WAFでSQLインジェクション攻撃を防ぐ仕組みを徹底解説！

2019年05月29日最終更新
WAFの製品一覧

WAFでSQLインジェクションを防げるのはなぜでしょうか。この攻撃は通常のファイアウォールでは防げません。そのため、SQLインジェクション攻撃を防ぐためには何が必要なのか、詳しく知りたい人は多いでしょう。

この記事では、WAFがSQLインジェクションを防ぐ仕組みや、WAF以外の対策方法を紹介します。ぜひ参考にして、自社のWebサイトを守ってください。

WAF の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAFの資料請求ランキングで製品を比較！今週のランキング第1位は？

WAFがSQLインジェクション攻撃を防ぐ仕組み

WAFがSQLインジェクション攻撃を防ぐ仕組みを見ていきましょう。

SQLインジェクション攻撃はWebサイトの脆弱性を狙う

SQLインジェクションとは、Webサイトの脆弱性を狙った攻撃です。そもそも、SQLとはデータベースを作成・維持するためのプログラミング言語の一つです。

一般的なWebサイトには、SQLによるデータベースを利用したWebアプリケーションが使われています。そのため、SQLを利用したWebサイトへの攻撃が可能であり、これをSQLインジェクションと呼びます。SQLインジェクションによる被害例は以下のとおりです。

■不正ログイン
■データベース上の情報漏洩
■Webサイトの改ざん

WAFはWebアプリケーションの脆弱性をカバーする

WAFは「Web Application Firewall」の略で、Webアプリケーションの脆弱性をカバーします。

どれほど注意しても、開発には不備が生じ、セキュリティに脆弱性が生じます。さらに、Webアプリケーションは通常のファイアウォールの防御範囲外です。

そこで、Webアプリケーションの前面にWAFを設置することで保護できます。通信内容を機械的に解析し、悪質な通信をブロックできます。Webアプリケーション自体に脆弱性があってもそれを補えるため、その利便性の高さが注目されています。

SQLインジェクション攻撃の被害事例

SQLインジェクション攻撃により、具体的にどのような被害が生じるのでしょうか。２社の例を紹介します。

【通販サイトを運営するA社の例】: A社のWebサーバが不正アクセスを受け、顧客情報が流出したことが判明しました。会員IDやパスワード、クレジットカード情報など、約13万件の顧客情報が流出しています。
【リサーチサイトを運営するB社の例】: B社のWebサイトが不正アクセスを受け、約６千名分の情報が流出したことが判明しました。海外子会社向けのモニター登録サイトから侵入され、共通のデータベースを使ったサイトが被害に遭っています。; WAFを導入していたものの、設定に不備があったために被害が生じました。

SQLインジェクション攻撃を防ぐ方法

SQLインジェクション攻撃を防ぐにはどうすればよいのでしょうか。

プレースホルダを利用する

プレースホルダを利用することで、不正なSQLの実行を阻止できます。

SQLインジェクションは、不正なSQL文を入力して攻撃する手法です。たとえば、ログイン画面のID欄に、IDではなく特殊な命令文を記述するなどの方法があります。つまり、攻撃を防ぐには、入力内容をSQL文であると認識しないようにする必要があります。

そこで有効なのがプレースホルダです。プレースホルダとは、特別な文字で一部を仮置きし、あとで別の内容に置き換える方法です。

プレースホルダで置き換えた内容はすべて単なる値（命令を意味しない文字列）として処理できます。どのような内容が入力されても、それを命令として実行する可能性がなくなるため、SQLインジェクション攻撃を阻止するのに有効です。

安全なWebサイトを作成する

Webアプリケーションを開発する際は、脆弱性の少ない設計にするよう心がけましょう。

すべての脆弱性を取り除いたWebアプリケーションを開発するのは困難です。そのため、脆弱性を補う手段としてWAFなどが存在します。しかし、Webアプリケーション自体の脆弱性も最小限に抑えたほうがよいのは間違いありません。

開発の際には、独立行政法人情報処理機構（IPA）が公開するマニュアルを参考にするとよいでしょう。また、外注する場合は要件にセキュリティ対策をしっかりと含めておきましょう。そして、脆弱性が発見された場合には、すみやかに対策することが大切です。

脆弱性診断を行う

定期的に脆弱性診断を行いましょう。

脆弱性診断とは、疑似的な攻撃を行って脆弱性を発見する方法です。実際に被害に遭う前に、外部からの攻撃を想定したシミュレーションを行うことで対策が可能になります。

具体的な方法はサービスにより異なりますが、ツールと人の手を組み合わせた診断が一般的です。そして、発見された脆弱性はレポートにまとめられ、質疑応答や対策方法の検討が行われます。

クラウドWAFを導入する

SQLインジェクション対策のために、クラウドWAFを導入しましょう。WAFはWebアプリケーションを守るためのセキュリティですが、その中でもクラウド型は手軽なのが特徴です。制約が多かった従来のWAFと比較すると以下のような特徴があります。

■短期間で導入できる
■導入に伴うインフラ整備が不要
■運用をベンダーに任せられる
■常にアップデートされ、最新の状態を維持できる
■初期費用が安い
■短期のスポット利用など、柔軟な利用が可能

導入が簡単なクラウド型WAFをぜひ検討してみましょう！

Webアプリケーションの脆弱性を狙うSQLインジェクションにより、個人情報の流出やサイト改ざんの被害が想定されます。SQLインジェクションを防ぐには、以下の方法があります。

■プレースホルダの利用
■安全なWebサイトの構築
■定期的な脆弱性診断
■クラウドWAFの導入

この中で最も敷居が低いのはクラウドWAFです。自社や顧客の情報を守るため、クラウドWAFの導入を検討してはいかがでしょうか。

WAF の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAFの資料請求ランキングで製品を比較！今週のランキング第1位は？

このカテゴリーに関連する記事

WAFにおけるホワイトリスト方式とブラックリスト方式とは

WAF導入の注意点とは？検知・チューニングコストについて解説！

WAFとは？仕組みやメリットなど初心者でもわかるように解説！

WAFの種類と3つの選び方とは|検知方式や必要性もやさしく解説！

WAFによるXSS（クロスサイトスクリプティング）攻撃の対策とは

WAFによるSQLインジェクション攻撃対策とは｜被害事例も解説！

WAFとSSLの違いは？問題なく併用するにはどうすべき？

OSSのWAF製品比較４選！特徴や注意点を分かりやすく解説

WAFの機能とは？防げる攻撃や検知方式も同時に解説！

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「WAFでSQLインジェクション攻撃を防ぐ仕組みを徹底解説！」というテーマについて解説しています。WAFの製品導入を検討をしている企業様は、ぜひ参考にしてください。

8月12日(月) 更新
	国内のクラウド型WAF市場シェア連続 NO.1のWAF【Scutum（スキュータム）】株式会社セキュアスカイ・テクノロジー
	世界の専門家達が認めたグローバル・スタンダード。クラウド型WAFcloudbric ペンタセキュリティシステムズ株式会社
	導入社数・導入サイト数国内No.1のクラウド型WAF【攻撃遮断くん】株式会社サイバーセキュリティクラウド
一覧を見る