WAFとは?3つのタイプ別に仕組みや メリットを徹底解説!
WAFとは
DDoS攻撃、SQLインジェクション、ブルートフォース攻撃などサイバー攻撃の手口は日々増えています。 その他にも情報処理推進機構(IPA)による2023年に発生したセキュリティ脅威をまとめた「情報セキュリティ10大脅威2024」によれば、ランサムウェアによる被害、標的型攻撃による情報流出、修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)などが上位を占めています。
参照:IPA「情報セキュリティ10大脅威2024」
攻撃者は犯罪グループや産業スパイ、ハッカー集団など様々おり、その目的は金銭盗取や世間を騒がせて満足する愉快犯、国家や企業などのイメージダウンを狙う組織犯罪など攻撃者のタイプによって異なります。
彼らは様々な攻撃手段により偽のWEBサイトへの誘導・ウィルス感染・WEBサイト改ざん・ユーザー情報の取得などを狙い、上記目的を達成します。特に、Webアプリケーションは、開発の工程で曖昧な開発要件や開発者のミスなどにより脆弱性を含んでしまうことは珍しくなく、攻撃者にとっては格好の標的になります。
このような攻撃を防御するのがWAF(Webアプリケーションファイアーウォール)です。従来のファイアーウォールでは、IPアドレス、ポート番号による通信制御をしていましたが、WAFは、Webアプリケーションのレベルでアクセス管理をすることができます。
WAFの仕組み
WAFの仕組みとしては、Webサーバの手前に設置し、シグネチャと呼ばれるパターンファイルとマッチングすることで、既知の攻撃をWebサーバの手前で未然に防ぐことができます(ブラックリスト方式)。 未知の攻撃については、予め定義した通信のみを許可するホワイトリスト方式を使用することで、ゼロデイ攻撃にも対応することが可能です。
また、Eコマース、金融機関をはじめ、クレジットカードの情報保護を目的として策定されたPCI-DSS (Payment Card Industry Data Security Standard) のセキュリティ基準を満たすためには、WAFの導入が必要になります。 アプリケーションのテストには時間と労力がかかり、何重ものテストを実施しても、脆弱性のないアプリケーションを作ることは、非常に困難ですが、WAFを導入することで、セキュアな環境を実現できるのです。
WAF導入のメリットとは
1.ファイアウォールやIPSでは対応できない攻撃にも対応できる
WAFは、従来からあるファイアウォールやIPS(Intrusion Prevention System/不正侵入防止システム)では対応できない攻撃を検知・遮断することができます。
2.未対応の脆弱性もカバーできる
攻撃の検知に用いるシグネチャに対して「許可する通信」を定義するホワイトリスト方式においては、そのシグネチャと一致しなかった通信についてはすべて拒否するため、認識していない、もしくは対応できていない脆弱性がアプリケーションに存在していたとしても、攻撃を防ぐことが可能です。
3.万が一被害を受けても迅速な復旧が見込める
サイバー攻撃を受けた際には、WAFがあれば攻撃を防いでくれますが、万が一何らかの被害を受けてしまったとしても、WAFが原因の究明と攻撃に応じた対応ができるようサポートしてくれるため、迅速な復旧が見込めます。
4.PCI-DSSの要件もクリアできる
WAFを導入することで、先述のPCI-DSS(Payment Card Industry Data Security Standard)の要件をクリアできることで、Eコマースをスムーズに始められます。
ファイアウォールとの違い
WAFはファイアウォールの一種です。ファイアウォールは、一般的に、内部ネットワークと外部ネットワーク間の通信を制御することで、火災時の防火壁のごとくサイバー攻撃目的などの不正なアクセスから守ります。しかしWAFは一般的なファイアウォールとは異なります。相違点としては、防御の対象と防御できる攻撃の種類が異なることが挙げられます。
WAFの防御の対象はWebアプリケーションであるのに対し、ファイアウォールは内部ネットワークのインフラを対象とします。
またWAFは「SQLインジェクション」や「クロスサイトスクリプティング」などのWebアプリケーションへの攻撃を検知できます。一方、ファイアウォールは、それらの攻撃は検知できず「ポートスキャン」と呼ばれる、外部から特定のデータを送信して応答を確かめるという行為の検知を行います。
現在、サイバー攻撃は多様化しており、従来のファイアウォールでは、Webアプリケーションの脆弱性を突く攻撃をカバーできません。その点、WAFはWebアプリケーションに対する脅威を対策するのに必要な防御をするための壁となります。
IPSとの違い
IPS(Intrusion Prevention System/不正侵入防止システム)とは、ネットワークを流れるパケット通信の内容を検査して、不正アクセスを検出・防御するシステムです。
IPSとWAFとは、防御の対象と攻撃の種類が異なります。
WAFの防御の対象はWebアプリケーションであるのに対し、IPSはOSやミドルウェアを対象とします。そしてWAFが防御できる攻撃の種類は先述の通り「SQLインジェクション」や「クロスサイトスクリプティング」などのWebアプリケーションへの攻撃である一方で、IPSが防御できるのはOSやミドルウェアの脆弱性につけ込んだ攻撃や、ファイル共有サービスへの攻撃などになります。
IPSとともにIDS(Intrusion Detection System/不正侵入検知システム)がよく利用されますが、これはIPSと同範囲に、不正な通信を検知するものです。
WAFとIPS/IDSのカバー範囲には重なる部分がありますが、近年、Webアプリケーションへの攻撃が多様化しており、IPS/IDSではカバーしきれない範囲が出てきました。そのためWebアプリケーション層の防御に特化したWAFが欠かせない存在となってきているのです。
WAFが対応する攻撃の種類
WAFが対応する攻撃は、Webアプリケーションへの攻撃です。具体的な種類には次のものがあります。
・SQLインジェクション
データベースを用いて構築されているWebサイト・Webアプリケーションをねらい、データベースの言語であるSQLを使って、WebサイトやWebアプリケーションに設置された入力フィールドに不適切なSQL文を入力して特定のコマンドを実行させるようにし、データベースを不当に操作する攻撃です。これにより、データベース内のユーザー情報を窃盗されるなどします。
・クロスサイトスクリプティング
SNSや掲示板などのWebアプリケーションの脆弱性をねらい、不正なスクリプトを挿入して投稿する攻撃です。閲覧ユーザーがその悪意のあるリンクをクリックし、マルウェアに感染させるサイトに誘導されるといったことなどが生じます。
・パスワードリスト攻撃
複数サイトで同じログインIDやパスワードを使いまわすユーザーが多いことをねらい、あるサイトで入手したパスワードリストといったログイン情報を用いて、他のサイトで不正にログインを試すという攻撃です。ログインが成功してしまえば、クレジットカード情報や会員情報の流出など、個人情報の漏えいが生じます。
・DDoS攻撃
Webサーバダウンをねらいとし、複数のコンピュータから標的に対して大量の処理負荷を与えることで、サーバの機能停止に追い込む攻撃です。これにより、Webサイトは一定期間、停止に追い込まれます。
ダウンロード資料
WAF導入の勘所
Webサイトへの攻撃から効果的に守る方法を理解する上で、把握しておくべき考え方や運用のコツについて、誰にでもわかりやすくまとめました。
主なWAF利用形態3パターンと特徴
WAFを使いたいとき、大きく3つの利用形態に分けることができます。簡単な概要や選定の基準となることをお伝えします。
1. オンプレ・アプライアンス型
WAFが誕生した初期から存在していて、長らく使用されてきた標準的な利用形態です。
ユーザ自身で、データセンターやIaaSサービス基盤に、ハードウェアもしくはバーチャルアプライアンスソフトウェアのWAFを導入し運用・管理するタイプのものです。
2. クラウドサービス/SaaS型
数年前から、急速に普及しはじめた利用形態です。
いわゆる、SaaSと同じ感覚でWAFを自社のDCなどに設置しなくてもサービスとして利用できる形態です。
3. パブリッククラウドの標準サービス
AWSやAzureなど、パブリッククラウド上でサービスを展開する事は、一般的になりました。
パブリッククラウド事業者が、セキュリティサービスのメニューの一つとして用意しているWAFを利用するケースです。
それでは、それぞれの強み・弱み、特徴、利用するのに適しているケースを説明していきます。自社にとって、どのWAFを選ぶのが良いのか考える判断基準にしていただければと思います。
1.オンプレ・アプライアンス型WAF
一般的に、もっとも高価で、もっともセキュリティレベルを高めた柔軟な運用ができます。効果的に運用するには、セキュリティに関する知識や運用体制が必要となります。オンプレミスにあるWebサービスを防御したいときに、プロキシやタップモードとして設置します。専用の機器を設置する場合が多く、柔軟なセキュリティポリシーが設定でき、詳細なログを取得できます。
デメリットを挙げると、基本的には高価なこと、セキュリティの専門知識をもつ担当者が運用管理をする体制が必要なことが挙げられます。セキュリティの専門家が自社内で確保できないケースでは、セキュリティサービスのアウトソーシングを利用することも多くあります。
WAFで守りたいサービスが、自社にとって非常に価値があり、しっかりとセキュリティを担保していく必要がある場合に、最有力な候補となるでしょう。また、Webサービスのライフサイクルが長期にわたる場合には、トータルコストでは下記に紹介する2つの利用形態よりも安価になるケースもあるので、しっかりと比較・検討することをお勧めします。
2.クラウドサービス/SaaS型
DNSの設定を変更することで、ユーザのアクセスが、WAFクラウドサービスを経由するように切り替え、WAFサービスを通過したのちに自社のWebサービスに届くようにします。すぐに、ご利用いただくことができるため、非常に手軽かつ素早く導入できる点がメリットとして挙げられます。また、WAFで守りたいWebサイトが複数存在する場合も、その他の選択肢よりもずっとまとめて管理することができます。
デメリットを挙げると、オンプレミス型ほどセキュリティポリシーの細かく設定できないことやログの詳細までは取得しづらい事が挙げられます。また、サービス自体に障害があった場合、お客様のWebサイトにアクセス出来なくなってしまうこともありえます。実際にDCの障害により、サービスがダウンしてしまったケースがあります。サービス事業者が運用管理する事は、留意しておいた方が良さそうです。また、ネットワーク的に経路が伸びるので、レイテンシーにすごく厳しい要件やWebサービスであれば気をつけましょう。ただし、一般的な、Webサイトであれば、それほど神経質になる必要はないと言えます。
WAFで守りたいサービスが、自社で最重要なサイトではないけれども、ある程度 セキュリティを担保したい、まとめて複数のWebサービスを守りたいというケースに、最有力候補となるでしょう。
3.パブリッククラウドの標準サービスWAF(AWSやAzure)など
パブリッククラウドサービスに、Webサービスをホストし、あわせてセキュリティを強化されているWAFを利用する形態です。当然、クラウドサービスのメリットである、従量課金制やボタンを数クリックするだけで、WAFサービスを立ち上げるスピード感やシンプルさを持ち合わせている事が大きなメリットと言えます。また、WAF以外で提供されている標準のログ監視サービスや可視化サービスとシームレスに連携できることは、運用上の大きなアドバンテージです。
デメリットを挙げると、<2.クラウドサービス/SaaS型>とほぼ同じと言えます。オンプレミス型ほどセキュリティポリシーが細かく設定できないことやログの詳細までは取得しづらい事が挙げられます。ただ、パブリッククラウドサービスのWAFに<1.オンプレ・アプライアンス型WAF>レベルと同等のセキュリティポリシーの設定や運用が必要というケースでは、バーチャルアプライアンスをパブリッククラウドサービスにユーザ自身の判断で持ち込むことも可能です。
その他のデメリットとしては、パブリッククラウドサービス自体に障害があった場合には、ユーザは事業者に任せて待つという選択肢しかありません。詳細な障害解析レポートなどは出てこないケースがほとんどですので、求めるサービスレベルを事前に検討しておくことが必要です。パブリッククラウドサービスを使うのが前提で、そのサービスをWAFで守りたい。そして、そのWebサービスはすごく高度なセキュリティが必要なわけではないというケースに、最有力な候補となるでしょう。
ダウンロード資料
WAF導入の勘所
Webサイトへの攻撃から効果的に守る方法を理解する上で、把握しておくべき考え方や運用のコツについて、誰にでもわかりやすくまとめました。
F5が提供するWAFソリューション
F5が、現在あるいはこれから提供するWAFソリューションの紹介をします。F5は、先ほど紹介した「主要なWAF利用形態」で紹介した3つのパターン、全てのパターンの製品やサービスを提供しています。
1. オンプレ・アプライアンス型WAF
F5は、WAFという製品の黎明期(2004年ごろ)から製品を提供しているWAFの老舗のベンダーの一つです。「F5 Advanced WAF」という製品を、販売・サポートしています。
金融サイト、Eコマースサイト、政府機関のサイト、ゲーミングサイトなど、大量のトラフィックが集まりミッションクリティカルなWebサイトに数多く導入されています。特徴としては、ロードバランサーと統合されており、ネットワーク構成がシンプルになること。また、プロキシタイプなので、アプリケーションレイヤーの通信を解析して、きめ細かいセキュリティポリシー設定やログの出力ができることがあげられます。ガートナーの2017年版マジック・クアドランドのWEBアプリケーションファイアウォール分野でリーダーに選ばれており、L3からL7までネットワークトラフィックを包括的に理解し、30以上のDDoS攻撃を防御。検知性能も最高レベルの99.89%という数値を出しています。
2. クラウドサービス/SaaS型
F5は、2015年からSilverline Web Application Firewall(WAF)を提供しています。クラウドベースのWAFのサービスで、マネージドサービス、またはエクスプレス セルフサービスの2つのタイプを提供しています。このサービスは、進化しつづけている脅威から、Webサイトのデータを保護やコンプライアンス強化を実現できます。
特徴としては、F5が 24x7体制のサポートを提供しています。つまり、F5がSOCのサービスを含め提供しているので、お客様がWAFを効果的に活用できる十分なスキルを持つ専門家がいる必要がありません。Silverlineには、DDoS Protection(レイヤ3~7の大規模な大量DDoS攻撃でも、ネットワークの帯域消費などしないように、被害を検知および阻止)も提要されており、WAFサービスと合わせて利用できるので、Webサイトをサイバーリスクから包括的に保護できる視点で効果的なサービスです。
3. パブリッククラウドの標準サービスWAF(AWSやAzure)など
F5は、AWSやAzureのパブリッククラウドサービスと2タイプの連携をしています。
一つ目は、シンプルです。先に紹介した、「F5 Advanced WAF」の仮想アプライアンスソフトウェアをAWSやAzureなどのメジャーなパブリッククラウドプラットフォームに持ち込めるようにしています。どのようなときに役立つかというと、AWSやAzureの標準のWAFサービスでセキュリティの要件を満たさない、運用が合わない、など機能的な不足が発生するときに利用してもらえます。ライセンスをF5から購入し、そのままパブリッククラウドサービスに持ち込むこともできますし、AWS Marketplaceから使った分だけ支払うという従量課金も用意されています。個人情報を大量に含むWeb、オンプレミスから移行したWeb、高度なセキュリティレベルが求められるWebで利用さるケースがあります。
二つ目は、すこしユニークな提供形態です。「F5のAWS WAFマネージドルール」と呼ばれるサービスです。AWSが標準で提供しているWAFに、F5が独自で開発したセキュリティポリシーを組み合わせる方法です。EC2のインスタンスを別途 用意する必要がありませんので、AWS上とのシステムの親和性が高く使い勝手が優れています。パブリッククラウドの特長であるキャパシティプランニングを気にしなくて良い、従量課金で始められ、コストもすごくお手頃などの点を備えています。高度なセキュリティレベルまでは、求めていないが、AWSのWAFよりも、もっとセキュリティレベルを高めたいケースでは有効な選択肢です。
ダウンロード資料
WAF導入の勘所
Webサイトへの攻撃から効果的に守る方法を理解する上で、把握しておくべき考え方や運用のコツについて、誰にでもわかりやすくまとめました。
リソース
WAF導入検討者必見!無料オンラインセミナー
「実際WAFってどうなの?」「どのWAFが良いの?」その様な疑問をお持ちの方は是非、ユーザー・パートナー・ベンダーが、個々の立場からWAFについて率直な意見を交わす異色のイベント・『F5 Security Real Talk Day』の無料動画をご覧ください。
“現場の人”だから語れるWAFの様々なメリット・デメリットについて、包み隠さずお話しています。
無料オンラインセミナーを視聴する
製品・ソリューションに関する ご相談・お問い合わせ
