WAFとファイアウォールの違いは？それぞれの特徴を解説！

ファイアウォールとは？

まずはファイアウォールについての知識を深めていきましょう。頻繁に耳にする言葉ですが、ファイアウォールとは一体どのような存在なのでしょうか。

不正アクセスをブロックする壁

ファイアウォールはセキュリティ対策の基本であり、ネットワーク上の不正アクセスをブロックできます。火災時に建物を守る防火壁のように、サイバー攻撃からPCや内部ネットワークを守る、という意味でファイアウォールと呼ばれます。

ファイアウォールを設置しないまま外部との通信を行うのは非常に危険です。 ただ、一般的なファイアウォールは通信の中身までは閲覧しないため、制御の柔軟性に欠ける面もあります。

ファイアウォールは、主にポートを制御することで不正アクセスの遮断を行います。ポートは0～65535番まで存在し、それぞれのアプリやソフトウェアごとに異なるポートを用いて通信を行います。

しかし、ソフトウェアの構造によっては開いたままになってしまうポートがあり、そこが不正アクセスの温床になるケースもあります。そういったポートを適時閉じることで、侵入を防ぐのがファイアウォールです。

内部環境と外部環境の間に存在する

ファイアウォールは、通常内部環境と外部環境の間に設置されています。内部ネットワークと外部ネットワーク間の通信を制御することで、不正なアクセスを弾くことができます。

もちろん、外部からの攻撃だけでなく、設定次第では内部からの情報流出を防ぐことも可能です。ただし、適切な設定を行わないとファイアウォール本来の機能が損なわれてしまう可能性もあります。

また、ファイアウォールの中には「パーソナルファイアウォール」と呼ばれるものもあります。パーソナルファイアウォールは内部と外部のネットワーク間ではなく、コンピュータに導入するファイアウォールのことを指します。

通信の制御を行うという点では同じですが、パーソナルファイアウォールと通常のファイアウォールでは設置する場所が違います。両者を混同しないよう気をつけましょう。

WAFとは？

では、次にWAFについて見ていきましょう。WAFとは、一体どのようなものなのでしょうか。

Webアプリケーションに特化したファイアウォール

WAFとはWeb Application Firewallの略で、Webアプリケーションの保護に特化したファイアウォールのことです。つまり、WAFはファイアウォールの一種。下記の点が通常のファイアウォールとの違いです。

• ■Webアプリケーション層を保護する
• ■通信の中身を閲覧可能

通信の中身を閲覧して制御できるため、通常のファイアウォールでは弾けなかった攻撃を防げます。

セキュリティの事前・事後対策に有効

WAFを導入することで、セキュリティの事前・事後対策を行うことができます。それぞれについて解説します。

【事前対策】

事前対策は、攻撃を受ける前に行う対策です。たとえば、開発したWebアプリケーションに脆弱性がある場合、攻撃者はそこを突いて侵入してくることが想定されます。アプリの改修が難しいような場合、WAFが有効でしょう。

【事後対策】

事後対策は、攻撃を受けた後、被害拡大を防ぐために行う対策です。こちらに関しても、根本的な対処として原因の究明とアプリの改修が必要ですが、急場を凌ぐ方法としてWAFの導入は有効です。WAFで被害を最小限にとどめつつ、根本的な対策を行いましょう。

WAFが必要性となった背景

ここでは、ファイアウォールだけでなくWAFが必要になった背景について解説します。なぜWAFの導入が重要視されるようになったのでしょうか。

Webアプリケーションの脆弱性

WAFを導入することで、Webアプリケーションの脆弱性をカバーできます。本来、Webアプリケーションに脆弱性があっては大問題です。しかし、脆弱性を完全に取り去るのは難しいでしょう。

開発メンバー全員がセキュリティに関する技術に長けているとも限りません。アプリが開発される現場の状況はそれぞれ大きく異なるため、セキュリティ対策を技術者に依存するのは限度があります。

もちろん、基礎的なセキュリティ対策を怠っている場合は開発側に責任があるでしょう。しかし、開発の高度化と共に、どこまでを開発側の責任として求めるのかが曖昧になってきている面もあるのではないでしょうか。

Webアプリケーションは常にネット上に晒されることになるため、本来はアプリの開発段階で脆弱性が入り込まないプログラミングが必要です。しかし、限られた開発予算とスケジュールの中で実施するのは困難な場合もあるでしょう。

サイバー攻撃の多様化

もう１つの原因として考えられるのは、サイバー攻撃の多様化です。テクノロジーの発展と共にハッカーの攻撃手法が多様化し、従来の方法では防げないものが増えてきました。

ファイアウォールやIDS・IPSのみではセキュリティ対策として不十分です。ファイアウォールはネットワーク層を、IDS・IPSはミドルウェア層を保護しますが、アプリケーション層は保護できません。そこでWAFが必要となるのです。

もちろん、WAFだけ導入すれば良いわけではありません。それぞれ保護するレイヤーが違うため、組み合わせた対策が有効でしょう。

WAFとファイアウォールで適切なセキュリティ対策を！

ファイアウォールは防火壁という言葉の通り、外部からの不正アクセスや内部からの情報流出を防ぎます。

一方、WAFはWebアプリケーションの保護に特化したファイアウォールです。WAFを導入すれば、ファイアウォールで防げない攻撃を防御でき、セキュリティの事前・事後対策としても有効です。

WAFとファイアウォールの違いを理解し、適切なセキュリティ対策を行いましょう。