「WAFとは？」初心者にもわかりやすく徹底解説！

WAFとは

WAF（ワフ）とは「Web Application Firewall（ウェブアプリケーションファイアウォール）」の略であり、Webアプリケーションへの不正な攻撃を防ぐために開発された専用防御ツールのことです。まず、混同されやすいファイアウォールやIPSとの違いを簡単に説明します。

ファイアウォールとWAFの違いとは？

WAFとファイアウォールでは防御するレイヤーが異なります。WAFがWebアプリケーション層でのセキュリティ対策であるのに対し、ファイアウォールはIPアドレスやポート番号を元にアクセスを制限します。

IPSとWAFの違いとは？

IPS（Intrusion Prevention System：不正侵入防止システム）はサーバ・ネットワークと外部・内部通信を監視し、不正な通信の侵入を防止します。DoS・DDoS攻撃などの攻撃やWebサーバの脆弱性を狙った攻撃への対策として有効です。

WAFの機能や、防御できる攻撃の種類については以下の記事でも紹介しています。

関連記事

watch_later 2020.03.06

WAFの機能一覧！WAFでできることや防げる攻撃も解説

続きを読む ≫

WAFの仕組み

WAFでは「シグネチャ」を用いて不正アクセスを防止します。「シグネチャ」とは攻撃アクセスのパターンや通信の手法、ウイルスなどのデータをまとめたものです。このパターンに一致するアクセスがあった場合に、通信可否の判断を行います。

「シグネチャ」を用いた不正アクセス検知方式には「ブラックリスト方式」と「ホワイトリスト方式」の２種類があります。ここではそれぞれの検知方式について見ていきましょう。

ブラックリスト方式

ブラックリスト方式とは、既知の攻撃パターンをシグネチャに定義することです。一致する通信を拒否することによって、不正アクセスを防止できます。未知の攻撃に対応できないという弱点がありますが、過度なアクセス制限は防げるでしょう。最新の攻撃を防ぐためにはシグネチャの定期的なアップデートが必要です。

ホワイトリスト方式

ホワイトリスト方式とは許可すべき通信をシグネチャに定義し、それに一致しない通信をすべて拒否することで不正アクセスを防ぐものです。Webアプリケーションの作りに応じて柔軟にシグネチャを定義できるほか、未知の攻撃も防げるというメリットがあります。

ただし、シグネチャにはWebアプリケーションのURLのほか、文字や数値なども細かく定義する必要があり、Webアプリケーションやセキュリティに詳しい技術者が必要不可欠です。そのため人員や運用にかかるコストが高く、十分な予算が確保できない企業での運用は困難です。

WAFのホワイトリスト方式・ブラックリスト方式については、以下の記事で更に詳しく解説しています。

関連記事

watch_later 2021.06.03

WAFのホワイトリスト方式とブラックリスト方式では何が違うの？

続きを読む ≫

WAFの必要性

ここでは、WAFを導入する必要性について解説します。

Webアプリケーションには脆弱性がある

Webアプリケーションは高度化・複雑化しています。現状では問題のないプログラムでも、他システムとの連動によってセキュリティの脆弱性が発生し、攻撃の対象となります。こうしたWebアプリケーションの脆弱性に対処するためにも、WAFを導入する必要性があるでしょう

WAFにしかブロックできない領域がある

近年では、ファイアウォールやIPS(不正侵入防御システム)では防げないサイバー攻撃が増加傾向です。SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性への攻撃の手口は複雑・巧妙化してきています。

現在は安全なWebアプリケーションであっても、将来的な安全は保証されていません。WAFは、Webアプリケーションへの攻撃を防ぐために開発された専用防御ツールです。Webアプリケーションへの攻撃はWAFにしかブロックできない領域とも言えるでしょう。

事後対策ができる

WAFは事後対策ができるのもメリットの一つです。攻撃が続くことによってシステムに不具合が生じる前に検知し、迅速に対応できます。未知の攻撃が発生した際もいち早く対応し、被害の拡大を未然に防ぎます。

WAFの種類

WAFは大きく次の３種類に分類されます。

• ■アプライアンス型
• ■ソフトウェア型
• ■クラウド型

それぞれの特徴やメリット・デメリットについて解説します。

アプライアンス型WAF

アプライアンス型WAFは、WAFの機能を持つ専用のハードウェアです。外部ネットワークとWebサーバの間に設置して使用します。

【メリット】

■大規模環境ではコスト削減効果がある

アプライアンス型WAFの導入台数はWebサーバやWebアプリケーションサーバの台数に依存しないため、多くのWebサーバやWebアプリケーションサーバを運用している環境では、コストメリットを得られます。

■Webアプリケーションの性能劣化を防ぐ

独立した機器で稼働するため、Webサーバ・Webアプリケーションサーバの性能に影響を及ぼす心配がありません。

【デメリット】

■導入・運用コストがかかる

アプライアンス型WAFは一般的に高価なので導入コストがかかります。既存のシステムに導入する場合は、ネットワーク構成の見直しが必要になるでしょう。

初期設定や運用も複雑なので専用の知識を持つ技術者が必須であり、導入や運用にかかる人的なコストも大きくなります。

ソフトウェア（ホスト）型WAF

ソフトウェア（ホスト）型WAFは、既存のWebサーバやWebアプリケーションサーバにインストールして使用します。

【メリット】

■運用導入コストが安い

専用機器や新規のサーバを用意する必要がないので導入コストを低く抑えられます。

■短期間での導入が可能

ネットワーク構成の変更や再設計が不要なため、短期間で導入できます。

【デメリット】

■大規模システムではコストが高くなる場合がある

稼働するすべてのWebサーバ、Webアプリケーションサーバに導入する必要があるため、システムの数が多い環境では導入コストがアプライアンス型を上回る場合もあるでしょう。

■Webアプリケーション性能に影響

WAFが多くのリソースを使用してしまうと、Webサービスの性能に影響を及ぼす危険もあります。

アプライアンス型とソフトウェア型をあわせてオンプレミス型と呼称します。以下の記事ではオンプレミス型に特化して、特徴を説明し実際の製品も紹介しています。

関連記事

watch_later 2021.02.18

オンプレミス型WAFの特徴やメリットとは？選び方も徹底解説

続きを読む ≫

クラウド型WAF

クラウド型WAFは、セキュリティベンダーがサービスとして提供するWAFの機能をインターネット上で使用するというものです。

【メリット】

■超短期間導入が可能

導入時に企業側で行う必要があるのはDNSの設定変更のみ、サーバの構築やソフトウェアのインストールが不要なため、超短期間で導入できます。

■コストメリットが高い

運用もサービス提供者が行うため、導入・運用コストとともに低く抑えられます。

【デメリット】

■検知精度がサービスによって異なる

不正アクセスの検知精度はサービス提供者に依存するため、どのサービスを利用するか慎重に検討する必要があります。

以下の記事ではクラウド型のWAF製品を紹介し、メリットとデメリットについて解説しています。現在主流となっているクラウド型のWAFに興味がある方は参考にしてみてください。

関連記事

watch_later 2021.06.03

クラウド型WAFのメリット・デメリットとは？導入前の注意点も解説！

続きを読む ≫

WAFを理解して自社のセキュリティ対策をしましょう

WAFはWebアプリケーションが全盛となった今、多くの企業に必要とされるセキュリティアイテムと言えるでしょう。しかし、製品によって初期・運用コスト、セキュリティやサポート体制に差があるため、しっかりとチェックしたうえでの導入が必要です。

自社に合った製品を見つけるために、まずは気になる製品の資料を確認しましょう。求める条件をクリアしているか比較したうえで導入することをおすすめします。