WAFとは？仕組みやメリットなど初心者でもわかるように解説！

そもそもファイアウォールとは

WAFについてご説明する前に、まずはファイアウォールとは何かを解説します。

不正アクセスをブロックする壁

「ファイアウォール」とは、インターネットの外から内部ネットワークやコンピュータに対する不正アクセスをブロックする仕組みのことです。火災時に建物を火の手から守る防火壁のように、システムを不正アクセスの被害から守る働きをするため、こう呼ばれています。

ファイアウォールではアクセス元とあて先、そしてあて先のポート番号の組み合わせから、その通信を許可するか拒否するかを定義します。

「ポート番号」とはシステムに複数ある入り口にそれぞれ割り振られた番号の事です。一国の港のような役割を持つため「ポート(港)番号」と呼ばれているのです。

港で例えると、「アメリカから日本へ、横浜港への入港は許可するが、神戸港への入港は許可しない」「イギリスから日本へは神戸港への入港のみ許可する」というようにアクセスを制御することが可能です。

ただし、ファイアウォールは、アクセスの内容までは制御しません。例えばアメリカから日本へ、横浜港を介した入港であればどんな荷物を持っているかまではチェックせずに許可してしまうというわけです。

ファイアウォールはセキュリティの基本

複数あるセキュリティ対策の中で、ファイアウォールは最も基本的な機能です。WindowsやLinuxなどOSには標準でファイアウォール機能が搭載されていることからもそれが分かるでしょう。

コンピュータやシステムをネットワークに接続する場合には、最低限ファイアウォールを設定しましょう。

WAFとは

ファイアウォールの基本的な仕組みについて解説しました。ここからはいよいよWAFについてご説明します。

Webアプリケーションのファイアウォール

WAFとはWeb Application Firewallの略でファイアウォールの一種です。一般的なファイアウォールが内部ネットワークへの不正アクセスを防ぐのに対し、WAFはWebアプリケーションやWebサーバへの不正アクセスを防ぎます。

Webアプリケーションの脆弱性から守る

攻撃者は、Webアプリケーションに存在する脆弱性を狙って不正アクセスを試みます。WAFなら通信の中身まで確認し、脆弱性を突いた攻撃からシステムを保護することができます。

WAFの仕組み

WAFでは「シグネチャ」を用いて不正アクセスを防止します。「シグネチャ」とはアクセスのパターンを定義したもので、このパターンに一致するアクセスがあった場合に通信を許可または拒否を行います。

WAFの不正アクセス検知方式は「ブラックリスト方式」と「ホワイトリスト方式」の２種類です。ここではそれぞれの検知方式を解説します。

ブラックリスト方式

ブラックリスト方式では既知の攻撃パターンをシグネチャに定義し、一致する通信を拒否することで不正アクセスを防止します。

シグネチャはセキュリティベンダーから提供されるものを、企業側で定期的にアップデートします。これにより、常に最新のセキュリティ脅威に対応することが可能です。また、自身で複雑なアクセスパターンを定義する手間もかかりません。

ただしシグネチャを自由にカスタマイズすることができず、許可したい通信が拒否されてしまったり、反対に拒否したい通信が許可されてしまう場合があります。ベンダーの提供するシグネチャが自社のWebアプリケーションに適しているか事前の確認が必要です。

ホワイトリスト方式

ホワイトリスト方式では許可するべき通信をシグネチャに定義し、それに一致しない通信をすべて拒否することで不正アクセスを防止します。Webアプリケーションの作りに応じて柔軟にシグネチャを定義できるほか、未知の攻撃も防げるというメリットがあります。

ただし、ホワイトリスト方式では個々の企業でシグネチャを定義する必要があります。シグネチャにはWebアプリケーションのURLのほか、アプリケーションに渡す文字や数値なども細かく定義します。

それにはWebアプリケーションやセキュリティに詳しい技術者が必要不可欠です。そのため人員や運用にかかるコストが高く、技術者や十分な予算のない企業では運用が難しいといえるでしょう。

WAFの必要性・メリット

なぜWAFを導入する必要があるのでしょうか？その必要性やWAFを導入するメリットについて解説します。

Webアプリケーションには脆弱性がある

プログラムに設計ミスや不具合があると、そこを突いて不正アクセスが行われます。脆弱性とはこのように、不正アクセスのための抜け穴となってしまうミスや不具合のことです。

どんなに優秀な人が作っても、どれだけ時間をかけて設計やテストを行っても、Webアプリケーションには多かれ少なかれ脆弱性が含まれてしまいます。

Webアプリケーションの製作段階で脆弱性を完全に排除するのは非常に困難でしょう。さらにWebアプリケーションは、インターネットを通じて常に世界中からアクセスが可能な状態になっています。だからこそ、WAFのように不正アクセスを検知し攻撃を遮断する仕組みが必要なのです。

WAFにしかブロックできない領域がある

一般的なファイアウォールでは、通信の中身や通信方法までチェックしません。システムへの入り口であるポートを通過してしまった通信は、その内容が不正なものであってもWebアプリケーションまで届いてしまうのです。

また、IDS(不正侵入検知システム)やIPS(不正侵入防御システム)ではWAFのようにシグネチャを用いて不正アクセスを検知します。しかしWebアプリケーションに対する不正アクセスの検知制度は低く十分なセキュリティ対策を行うことができません。

Webアプリケーションへの攻撃はWAFにしかブロックできない領域なのです。

WAFの種類

WAFは大きく次の３種類に分類されます。

• ■アプライアンス型
• ■ソフトウェア型
• ■クラウド型

それぞれの特徴やメリット・デメリットについて解説します。

アプライアンス型WAF

アプライアンス型WAFは、WAFの機能を持つ専用のハードウェアです。外部ネットワークとWebサーバの間に設置して使用します。

【メリット】

■大規模環境ではコスト削減効果がある

アプライアンス型WAFの導入台数はWebサーバやWebアプリケーションサーバの台数に依存しないため、多くのWebサーバ、Webアプリケーションサーバを運用している環境ではコストメリットを得ることができます。

■Webアプリケーションの性能劣化を防ぐ

独立した機器で稼働するためWebサーバ、Webアプリケーションサーバの性能に影響を及ぼす心配がありません。

【デメリット】

■導入・運用コストがかかる

アプライアンス型WAFは一般的に高価なので導入コストがかかります。既存のシステムに導入する場合はネットワーク構成の見直しが必要になる場合もあるでしょう。

初期設定や運用も複雑なので専用の知識を持つ技術者が必須であり、導入や運用にかかる人的なコストも大きなものとなります。

ソフトウェア型WAF

ソフトウェア型WAFは、既存のWebサーバやWebアプリケーションサーバにインストールして使用します。

【メリット】

■運用導入コストが安い

専用機器や新規のサーバを用意する必要がないので導入コストを低く抑えることが可能です。

■短期間での導入が可能

ネットワーク構成の変更や再設計が不要なため、短期間で導入することができます。

【デメリット】

■大規模システムではコストが高くなる場合がある

稼働するすべてのWebサーバ、Webアプリケーションサーバに導入する必要があるため、システムの数が多い環境では導入コストがアプライアンス型を上回る場合もあります。

■Webアプリケーション性能に影響

WAFが多くのリソースを使用してしまうとWebサービスの性能に影響を及ぼす危険もあります。

クラウド型WAF

クラウド型WAFは、セキュリティベンダーがサービスとして提供するWAFの機能をインターネット上で使用します。

【メリット】

■超短期間導入が可能

導入時に企業側で行う必要があるのはDNSの設定変更のみ、サーバの構築やソフトウェアのインストールが不要なため、超短期間で導入することができます。

■コストメリットが高い

運用もサービス提供者が行うため、導入・運用コスト共に低く抑えることが可能です。

【デメリット】

■検知精度がサービスによって異なる

不正アクセスの検知精度はサービス提供者に依存するため、どのサービスを利用するか慎重に検討する必要があります。

WAFを理解して自社のセキュリティ対策をしましょう

WAFとは、Webアプリケーションの脆弱性を利用した不正アクセスからシステムを守るためのセキュリティ対策です。セキュリティ対策方式や機能の使用方法にはいくつかの種類があります。

それぞれに異なる特徴やメリット・デメリットを押さえ、自社のシステムに最適なセキュリティ対策を実施しましょう。