WAFの仕組みとは？ファイアウォールやIPSとの違い、種類も解説！

WAFの仕組み

WAFは、「Web Application Firewall」の略で、Webアプリケーションの前に置くファイアウォールです。

通信のパターンを定義した「シグネチャ」というファイルの情報をもとに、アクセスがシグネチャに定義されたパターンと一致した場合に通信の許可や拒否を行い、アクセス制限を行うという仕組みを持っています。

また、WAFの仕組みにはブラックリスト方式とホワイトリスト方式の二種類があり、それぞれでアクセス制限の方法が異なりますので、一つずつ見ていきましょう。

ブラックリスト方式：不正なアクセスを拒否する

ブラックリスト方式は、シグネチャにブロックすべき攻撃を登録し、それに合致するアクセスがあったときに通信を拒否する方式です。

ブラックリスト方式におけるシグネチャは過去の攻撃パターンをもとに作成されています。そのため、シグネチャに記載がない新しい攻撃には対処できません。そのため、セキュリティベンダーがシグネチャ内容を更新することで新しい脅威への対策が実現します。

ホワイトリスト方式：特定のアクセスだけを許可する

ホワイトリスト方式は、あらかじめシグネチャに許可する通信を設定し、それ以外の通信をすべてシャットアウトする方式です。

ホワイトリスト方式の強みは未知の脅威にも対抗できることです。ブラックリスト方式ではシグネチャに情報がない脅威を悪質と判断できません。一方で、ホワイトリスト方式では正常と定義したもの以外はすべて排除の対象となるため、正常なアクセスも拒否してしまうことがあります。

WAFと他のセキュリティ製品との仕組みの違い

WAFはほかのセキュリティ対策とどう違うのでしょうか。

ファイアウォール：社内ネットワークを守る

ファイアウォールは外部から社内ネットワークへの攻撃阻止などに有効です。一方、WAFはWebサイトやWebサービスが対象です。ファイアウォールではWebサイトやWebアプリケーションの対策が不十分なため、両方必要であるといえるでしょう。

WAFとファイアウォールの違いについては以下の記事も参考にしてみてください。

関連記事

watch_later 2020.05.08

WAFとファイアウォールの違いは？攻撃との関連も解説！

続きを読む ≫

IPS・IDS：Webサーバーを守る

IPS・IDSは、基本的にはWebサーバーに対する不正アクセスを検知し防御するシステムで、具体的な保護対象はソフトウェアやOS、Webサーバなどです。

ファイアウォール、WAF、IPS・IDSは保護対象とする層が異なり、役割が補完関係にあります。強固なセキュリティを実現するためには、組み合わせて利用しなければなりません。

IPS・IDSについてさらに詳しく知りたい方は以下の記事をご覧ください。

関連記事

watch_later 2021.03.17

IDS・IPS（不正侵入検知・防御）の違いとは？種類や仕組みを徹底解説

続きを読む ≫

もちろん、WAFで防げない攻撃を知らなければ、どのシステムと組み合わせればいいのかわかりません。以下の記事ではWAFで防げない攻撃を解説していますので、参考にしてみてください。

関連記事

watch_later 2021.06.03

WAFで防げない攻撃は？防げる攻撃と利用のポイントも解説！

続きを読む ≫

WAFの種類

WAFにはどのような種類があるのでしょうか。

アプライアンス型WAF

アプライアンス型は、専用サーバやWAFをインストールした汎用サーバを設置するタイプです。ネットワーク上でWebサーバの前面に設置することで、ユーザーにWAFを経由させ、その通信内容を精査します。

以下のようなメリット、デメリットがあります。

【メリット】

専門の技術者により柔軟にカスタマイズ可能
→安全性を高められる

【デメリット】

WAF用のサーバなど設備を整える必要あり
→費用がかかる

ホスト型WAF

ホスト型WAFは、Webサーバに直接WAFをインストールするタイプです。WAF用のサーバを準備する必要はありません。そのため、以下のようなメリット、デメリットがあります。

【メリット】

ハードウェアを用意しなくてもいい
→初期費用が安い

【デメリット】

攻撃を遮断する際サーバに負荷がかかる
→パフォーマンスの低下へつながる可能性あり

クラウド型WAF

クラウド型WAFは、Webサービスとして提供されるWAFです。そのため、アプライアンス型やホスト型のように自社で何かを整える必要はありません。クラウド型WAFには以下のメリット、デメリットがあります。

【メリット】

• ・専用機器の購入不要
  →初期費用が安い
• ・導入や運用の手間が少ない
  →負担が減る

【デメリット】

セキュリティの質はベンダーに依存

クラウド型のWAFは今後主流になっていくと考えられます。以下の記事ではクラウド型WAFの製品例と特徴について詳しく解説していますので、ぜひ参考にしてみてください。

関連記事

watch_later 2021.06.03

クラウド型WAFのメリット・デメリットとは？導入前の注意点も解説！

続きを読む ≫

WAFの仕組みを知って万全な対策を！

WAFはシグネチャを使ってWebアプリケーションを保護するセキュリティシステムです。ファイアウォールやIPSなどと組み合わせて利用することで万全なセキュリティ対策を実現できるでしょう。

ただし、WAFを選ぶ際は製品から入ることが重要です。製品と自社のセキュリティ状況を照らし合わせ、最適なWAFを選ぶ必要があるでしょう。実際の製品例は資料請求することによって見ることができますので、下のボタンから資料を請求したうえで、じっくりと検討しましょう。