WAFとファイアウォールの違い
では早速、WAFとファイアウォールの違いを見ていきましょう。
防御する対象
まず、WAFとファイアウォールでは、防御の対象が異なります。WAFがWebアプリケーションを主に防御の対象とするのに対して、ファイアウォールは内部ネットワークを対象にしています。
また、IPS(不正侵入防御)は基本的にサーバーOSを防御の対象としているため、何を守る対象に置くかによって異なるセキュリティ製品が必要になるでしょう。
IPSについては以下の記事をご覧ください。
防御できる攻撃の種類
次に、防御できる攻撃の種類が異なります。WAFはWebアプリケーションのセキュリティ上の不備を故意に利用するSQLインジェクションや、脆弱性をもつWebサイトの閲覧者に対して、不正なスクリプトを読み込ませて被害を引き起こすクロスサイトスクリプティングなどを検知することが可能です。
一方でファイアウォールはこのような攻撃には対応できません。一方で、ポートスキャンと呼ばれる、外部から特定のファイルを送信してその反応を確かめるという攻撃を検知し入口で防ぎます。
WAFとSQLインジェクション、クロスサイトスクリプティングの関係についてさらに知りたい方は、以下の記事をご覧ください。
ファイアウォールとは?
WAFとファイアウォールの主な違いについて紹介してきましたが、ここで今一度ファイアウォールに関する知識をインストールしておきましょう。
不正アクセスをブロックする壁
ファイアウォールはセキュリティ対策の基本であり、ネットワーク上の不正アクセスをブロックできます。火災時に建物を守る防火壁のように、サイバー攻撃からPCや内部ネットワークを守る、という意味でファイアウォールと呼ばれます。
ファイアウォールは、先ほども紹介したように、主にポートスキャンを制御することで不正アクセスの遮断を行います。以下の記事では、ファイアウォールについて詳しく解説していますので、ぜひご覧ください。
内部環境と外部環境の間に存在する
ファイアウォールは、通常内部環境と外部環境の間に設置されています。内部ネットワークと外部ネットワーク間の通信を制御することで、不正なアクセスを弾くことができます。
もちろん、外部からの攻撃だけでなく、設定次第では内部からの情報流出を防ぐことも可能です。ただし、適切な設定を行わないとファイアウォール本来の機能が損なわれてしまう可能性もあります。
また、ファイアウォールの中には「パーソナルファイアウォール」と呼ばれるものもあります。パーソナルファイアウォールは内部と外部のネットワーク間ではなく、コンピュータに導入するファイアウォールのことを指します。
通信の制御を行うという点では同じですが、パーソナルファイアウォールと通常のファイアウォールでは設置する場所が違います。両者を混同しないよう気をつけましょう。
WAFとは?
では、次にWAFについて見ていきましょう。WAFとは、一体どのようなものなのでしょうか。
Webアプリケーションに特化したファイアウォール
WAFとは「Web Application Firewall」の略で、Webアプリケーションの保護に特化したファイアウォールのことです。つまり、WAFはファイアウォールの一種なのですが、先ほど述べたような違いがあります。
セキュリティの事前・事後対策に有効
WAFを導入することで、セキュリティの事前・事後対策を行うことができます。それぞれについて解説します。
事前対策
事前対策は、攻撃を受ける前に行う対策です。たとえば、開発したWebアプリケーションに脆弱性がある場合、攻撃者はそこを突いて侵入してくることが想定されます。アプリの改修が難しいような場合、WAFが有効でしょう。
事後対策
事後対策は、攻撃を受けた後、被害拡大を防ぐために行う対策です。こちらに関しても、根本的な対処として原因の究明とアプリの改修が必要ですが、急場を凌ぐ方法としてWAFの導入は有効です。WAFで被害を最小限にとどめつつ、根本的な対策を行いましょう。
WAFが必要となった背景
ここでは、ファイアウォールだけでなくWAFが必要になった背景について解説します。なぜWAFの導入が重要視されるようになったのでしょうか。
Webアプリケーションの脆弱性
WAFを導入することで、Webアプリケーションの脆弱性をカバーできます。本来、Webアプリケーションに脆弱性があっては大問題です。しかし、脆弱性を完全に取り去るのは難しいでしょう。
また、開発メンバー全員がセキュリティに関する技術に長けているとも限りません。アプリが開発される現場の状況はそれぞれ大きく異なるため、セキュリティ対策を技術者に依存するのは限度があります。
サイバー攻撃の多様化
もう1つの要因として考えられるのは、サイバー攻撃の多様化です。テクノロジーの発展と共にハッカーの攻撃手法が多様化し、従来の方法では防げないものが増えてきました。
先ほども説明した通り、ファイアウォールやIDS・IPSのみではセキュリティ対策として不十分です。ファイアウォールはネットワーク層を、IDS・IPSはミドルウェア層を保護しますが、アプリケーション層は保護できません。そこでWAFが必要となるのです。
もちろん、WAFだけ導入すれば良いわけではありません。それぞれ保護するレイヤーが違うため、組み合わせた対策が有効でしょう。
WAFとファイアウォールの違いを理解して適切な対策を
WAFとファイアウォールの違いをご理解いただけたでしょうか。適切なセキュリティ対策を行うためには、それぞれの特徴と違いをしっかり理解して、適材適所の配置を行うことが重要です。
WAFの導入を検討される際は、まず以下の記事や資料請求を行い、製品情報を手元に置いたうえで自社のセキュリティ課題を洗い出し、じっくりと検討していきましょう。
