WAFとSSLの関係性とは？証明書の必要性についても解説！

WAFとは？

まずはWAFとSSLの関係を把握するため、WAFとはどのようものか簡単に説明していきます。

HTTP通信を監視・制御するツール

WAFはWebサーバとクライアントの間に存在し、HTTP通信を監視し制御する役割があるセキュリティ対策製品です。一般的なファイアウォールとは、働きかける通信の階層が違います。そのため、ファイアウォールを導入している企業でも、WAFが必要とされるケースは少なくありません。

Webアプリケーションの脆弱性をカバー

WAFは、Webアプリケーションの脆弱性をカバーする役割を果たすセキュリティ対策製品です。Webアプリケーションも人の手で作られており、複雑な内容であればセキュリティにどうしても「穴」が発生してしまいます。脆弱性を狙ったゼロデイ攻撃など脅威の種類は拡大しているため、対策をしなければなりません。

そこで、WAFを利用すればアプリケーションの安全性を保つことが可能です。WAFは通常のファイアウォールでは確認できない、HTTP通信の中身までもチェックできます。Webアプリケーションのセキュリティ対策を行うためにはWAFが欠かせません。

WAFについてさらに知りたい方はこちらの記事をご覧ください。

関連記事

watch_later 2020.05.08

WAFとは？初心者にもわかりやすく一から徹底解説！

続きを読む ≫

SSLとは

では、SSLはどのようなものなのでしょうか。

HTTPS通信を暗号化する技術

SSLとは「Secure Sockets Layer」の略で、Webサーバとブラウザ間の通信を暗号化する技術です。仮に通信を盗聴されても、暗号化により中身を知られることはありません。また、通信内容の改ざんや通信傍受といったリスクも軽減可能です。

SSLで暗号化された通信はHTTPではなく「HTTPS」となり、WebページのURL左に鍵マークが表示されます。今では多くのWebページがSSLによる暗号化を実施し、SSL証明書を持っています。

不正な通信も暗号化するので注意

HTTPS通信によって安全になったとはいえ、SSLによる暗号化は全ての通信に適用されるため、不正な通信も暗号化してしまうというデメリットがあります。つまり、通信傍受や改ざんは防げるものの、不正な通信を通してしまう可能性があるということです。

WAFとSSLの関係

ここからはWAFとSSLの関係性について紹介していきます。

WAFはSSLで暗号化されたHTTPS通信の内容を見れない

先ほども述べた通り、SSLは通信を暗号化しHTTPSにするプロトコルで、不正な通信もHTTPS化します。その一方で、WAFはHTTP通信の内容しか監視できないため、HTTPS通信の中に不正アクセスがあっても見破ることができません。

WAFにSSL証明書をインストールすれば監視可能に

これを避けるためには、Webサーバーだけでなく、WAFにもSSL証明書をインストールする必要があります。WAFにSSL証明書をインストールすることで、見れなかったHTTPS通信が見れるようになり、管理、制御できるようになるのです。

SSL機器の後ろにWAFを置くことでも監視可能

SSL機能がないWAFの場合は、SSL機能を持つ機器とWebサーバの間に置くことが有効です。SSL機器と連携し、後ろの設置することで復号化された後の通信をWAFが検査できます。復号された通信であればWAFも監視することが可能であり、SSL通信との併用を実現できるでしょう。

SSL暗号化についてさらに知りたい方は以下の記事をご覧ください。

関連記事

watch_later 2019.11.28

SSL暗号化とは？暗号化の流れや役割、導入方法を詳しく解説！

続きを読む ≫

WAFとSSLの関係を理解して適切な対策を

WAFとSSLの関係性について、ご理解いただけたでしょうか。WAFとSSLの関係をしっかりと理解することで、より適切なセキュリティ対策につながります。

しかし、SSLは不審な通信も暗号化してしまうため、設置方法には注意が必要です。適切な組み合わせのWAFとSSLで安全な通信を実現しましょう。