WAFとは？初心者にもわかりやすく一から徹底解説！

WAFとは

では、まずはWAFについて説明していきます。

Webアプリケーションを攻撃から守るシステム

WAFとは、「Web Application Firewall」の略でありファイアウォールの一種で、従来のファイアウォールでは防げないWebアプリケーションに対する不正な攻撃を防御するセキュリティシステムです。WebアプリケーションはGmailやSkypeなど、Webブラウザ上で操作するアプリケーションのことを指します。

ファイアウォールとの違い：防御の対象

一般的なファイアウォールとWAFの大きな違いは、防御の対象です。一般的なファイアウォールが企業や官公庁の内部ネットワークへの不正アクセスを防ぐのに対し、WAFはWebアプリケーションやWebサーバへの不正アクセスを防ぎます。ただし、外部からの攻撃を防ぐ方法が同様であるため、WAFもファイアウォールの一種と考えられるでしょう。

WAFの細かい機能については以下の記事を参考にしてみてください。

関連記事

watch_later 2020.03.06

WAFの機能一覧！WAFでできることや防げる攻撃も解説

続きを読む ≫

そもそもファイアウォールとは

そもそもファイアウォールとは、どのようなものなのでしょうか。

内部ネットワークを守るシステム

「ファイアウォール」とは、インターネットの外から内部ネットワークやコンピュータに対する不正アクセスをブロックする仕組みのことです。火災時に建物を火の手から守る防火壁のように、システムを不正アクセスの被害から守る働きをするため、こう呼ばれています。

ファイアウォールの仕組み

ファイアウォールではアクセス元とあて先、そしてあて先のポート番号の組み合わせから、その通信を許可するか拒否するかを定義します。

「ポート番号」とはシステムに複数ある入り口にそれぞれ割り振られた番号の事です。一国の港のような役割を持つため「ポート(港)番号」と呼ばれているのです。

港で例えると、「アメリカから日本へ、横浜港への入港は許可するが、神戸港への入港は許可しない」「イギリスから日本へは神戸港への入港のみ許可する」というようにアクセスを制御することが可能です。

ただし、ファイアウォールは、アクセスの内容までは制御しません。例えばアメリカから日本へ、横浜港を介した入港であればどんな荷物を持っているかまではチェックせずに許可してしまうというわけです。

ファイアウォールについて詳しく知りたいという方は以下の記事をご覧ください。

関連記事

watch_later 2020.07.08

ファイアウォールとは？おすすめ製品を選んで比較！選び方も解説！

続きを読む ≫

WAFの仕組み

WAFでは「シグネチャ」を用いて不正アクセスを防止します。「シグネチャ」とはアクセスのパターンを定義したもので、このパターンに一致するアクセスがあった場合に、通信許可と拒否の判断を行うという仕組みです。

WAFの不正アクセス検知方式には「ブラックリスト方式」と「ホワイトリスト方式」の２種類があります。ここではそれぞれの検知方式について見ていきましょう。

ブラックリスト方式

ブラックリスト方式では既知の攻撃パターンをシグネチャに定義し、一致する通信を拒否することで不正アクセスを防止します。未知の攻撃に対応できないという弱点がある一方、過度なアクセス制限は防げるでしょう。

シグネチャは、定期的にアップデートすることで最新の攻撃を防ぎます。これまでベンダーが提供したものを自社でアップデートするのが基本でしたが、クラウド型WAFの普及によって、現在ではベンダーがクラウド上でシグネチャをアップデートしてくれる製品が多くなりました。

ホワイトリスト方式

ホワイトリスト方式では許可するべき通信をシグネチャに定義し、それに一致しない通信をすべて拒否することで不正アクセスを防ぎます。Webアプリケーションの作りに応じて柔軟にシグネチャを定義できるほか、未知の攻撃も防げるというメリットがあります。

ただし、ホワイトリスト方式では個々の企業でシグネチャを定義する必要があります。シグネチャにはWebアプリケーションのURLのほか、アプリケーションに渡す文字や数値なども細かく定義します。

それにはWebアプリケーションやセキュリティに詳しい技術者が必要不可欠です。そのため人員や運用にかかるコストが高く、技術者や十分な予算のない企業では運用が難しいといえるでしょう。

ホワイトリストについては以下の記事で更に詳しく解説していますので、参考にしてみてください。

関連記事

watch_later 2020.03.12

WAFのホワイトリスト方式とブラックリスト方式では何が違うの？

続きを読む ≫

WAFの必要性

なぜWAFを導入する必要があるのでしょうか？その必要性について解説します。

Webアプリケーションには脆弱性がある

プログラムに設計ミスや不具合があると、そこを突いて不正アクセスが行われます。脆弱性とはこのように、不正アクセスのための抜け穴となってしまうミスや不具合のことです。

どんなに優秀な人が作っても、どれだけ時間をかけて設計やテストを行っても、Webアプリケーションには多かれ少なかれ脆弱性が含まれてしまいます。

Webアプリケーションの製作段階で脆弱性を完全に排除するのは非常に困難でしょう。さらにWebアプリケーションは、インターネットを通じて常に世界中からアクセスが可能な状態になっています。だからこそ、WAFのように不正アクセスを検知し攻撃を遮断する仕組みが必要なのです。

WAFにしかブロックできない領域がある

一般的なファイアウォールでは、通信の中身や通信方法までチェックしません。システムへの入り口であるポートを通過してしまった通信は、その内容が不正なものであってもWebアプリケーションまで届いてしまうのです。

また、IDS(不正侵入検知システム)やIPS(不正侵入防御システム)ではWAFのようにシグネチャを用いて不正アクセスを検知しますが、Webアプリケーションに対する不正アクセスの検知制度は低く十分なセキュリティ対策を行うことができません。

Webアプリケーションへの攻撃はWAFにしかブロックできない領域なのです。

WAFの必要性については以下の記事でさらに詳しく解説しています。

関連記事

watch_later 2020.05.08

WAFの必要性とは？Webアプリケーションの防御に欠かせない理由を解説

続きを読む ≫

WAFの導入メリット

では、WAFにはどのような導入メリットがあるのでしょうか。見ていきましょう。

Webアプリケーションの脆弱性を補える

先程も紹介したように、Webアプリケーションには脆弱性があります。WAFはこの脆弱性を克服し、アプリケーションの安全性を高めてくれるのです。今ではWebアプリケーションに依存する企業も増えてきているため、危険から守ってくれるWAFは必須のアイテムと言えるでしょう。

事後対策ができる

WAFは事後対策ができるのもメリットの一つです。攻撃が続くことによってシステムに不具合が生じる前に検知し、迅速に対応できます。未知の攻撃が発生した際もいち早く対応し、被害の拡大を未然に防ぐ必要があるため、WAFによって事後対策ができれば心強いでしょう。

WAFのメリットについては以下の記事でもさらに詳しく解説していますので、ぜひご覧ください。

関連記事

watch_later 2020.05.08

WAFのメリット・デメリットを種類別にわかりやすく解説！

続きを読む ≫

WAFの種類

WAFは大きく次の３種類に分類されます。

• ■アプライアンス型
• ■ソフトウェア型
• ■クラウド型

それぞれの特徴やメリット・デメリットについて解説します。

アプライアンス型WAF

アプライアンス型WAFは、WAFの機能を持つ専用のハードウェアです。外部ネットワークとWebサーバの間に設置して使用します。

【メリット】

■大規模環境ではコスト削減効果がある

アプライアンス型WAFの導入台数はWebサーバやWebアプリケーションサーバの台数に依存しないため、多くのWebサーバ、Webアプリケーションサーバを運用している環境ではコストメリットを得ることができます。

■Webアプリケーションの性能劣化を防ぐ

独立した機器で稼働するためWebサーバ、Webアプリケーションサーバの性能に影響を及ぼす心配がありません。

【デメリット】

■導入・運用コストがかかる

アプライアンス型WAFは一般的に高価なので導入コストがかかります。既存のシステムに導入する場合はネットワーク構成の見直しが必要になる場合もあるでしょう。

初期設定や運用も複雑なので専用の知識を持つ技術者が必須であり、導入や運用にかかる人的なコストも大きなものとなります。

ソフトウェア（ホスト）型WAF

ソフトウェア（ホスト）型WAFは、既存のWebサーバやWebアプリケーションサーバにインストールして使用します。

【メリット】

■運用導入コストが安い

専用機器や新規のサーバを用意する必要がないので導入コストを低く抑えることが可能です。

■短期間での導入が可能

ネットワーク構成の変更や再設計が不要なため、短期間で導入することができます。

【デメリット】

■大規模システムではコストが高くなる場合がある

稼働するすべてのWebサーバ、Webアプリケーションサーバに導入する必要があるため、システムの数が多い環境では導入コストがアプライアンス型を上回る場合もあるでしょう。

■Webアプリケーション性能に影響

WAFが多くのリソースを使用してしまうとWebサービスの性能に影響を及ぼす危険もあります。

アプライアンス型とソフトウェア型をあわせてオンプレミス型と呼びます。以下の記事ではオンプレミス型に特化して、特徴を説明し実際の製品も紹介していますので、参考にしてみてください。

関連記事

watch_later 2020.05.08

オンプレミス型WAF３製品を徹底比較！特徴や選び方も解説！

続きを読む ≫

クラウド型WAF

クラウド型WAFは、セキュリティベンダーがサービスとして提供するWAFの機能をインターネット上で使用するというものです。

【メリット】

■超短期間導入が可能

導入時に企業側で行う必要があるのはDNSの設定変更のみ、サーバの構築やソフトウェアのインストールが不要なため、超短期間で導入することができます。

■コストメリットが高い

運用もサービス提供者が行うため、導入・運用コスト共に低く抑えることが可能です。

【デメリット】

■検知精度がサービスによって異なる

不正アクセスの検知精度はサービス提供者に依存するため、どのサービスを利用するか慎重に検討する必要があります。

以下の記事ではクラウド型のWAF製品を紹介し、メリットとデメリットについて解説していますので、現在主流となっているクラウド型のWAFに興味がある方は参考にしてみてください。

関連記事

watch_later 2020.05.08

クラウド型WAF10製品を徹底比較！初心者にわかりやすく特徴も解説

続きを読む ≫

WAFを理解して自社のセキュリティ対策をしましょう

WAFについて、ご理解いただけたでしょうか。WAFはWebアプリケーションが全盛となった今、どの企業にとっても必須のセキュリティアイテムと言えるでしょう。しかし、自社にあった製品を選ばなければ、その効果は得られません。

導入を検討するときは、以下の記事や資料請求ボタンから製品情報を取り寄せ、しっかりと検討した上で次のステージに進むことをおすすめします。

関連記事

watch_later 2020.06.04

【比較表付き】WAF製品15選を徹底比較！選定ポイントも解説！

続きを読む ≫