WAFとは
まずはWAFとSSLの関係を把握するため、WAFとはどのようものか簡単に説明していきます。
HTTP通信を監視・制御するツール
WAFはWebサーバとクライアントの間に存在し、HTTP通信を監視し制御する役割があるセキュリティ対策製品です。一般的なファイアウォールとは、働きかける通信の階層が違います。そのため、ファイアウォールを導入している企業でも、WAFが必要とされるケースは少なくありません。
Webアプリケーションの脆弱性をカバー
WAFは、Webアプリケーションの脆弱性をカバーする役割を果たすセキュリティ対策製品です。Webアプリケーションも人の手で作られており、複雑な内容であればセキュリティにどうしても「穴」が発生してしまいます。脆弱性を狙ったゼロデイ攻撃など脅威の種類は拡大しているため、対策をしなければなりません。
そこで、WAFを利用すればアプリケーションの安全性を保つことが可能です。WAFは通常のファイアウォールでは確認できない、HTTP通信の中身までもチェックできます。Webアプリケーションのセキュリティ対策を行うためにはWAFが欠かせません。
WAFについてさらに知りたい方はこちらの記事をご覧ください。
SSLとは
では、SSLはどのようなものなのでしょうか。
HTTPS通信を暗号化する技術
SSLとは「Secure Sockets Layer」の略で、Webサーバとブラウザ間の通信を暗号化する技術です。仮に通信を盗聴されても、暗号化により中身を知られることはありません。また、通信内容の改ざんや通信傍受といったリスクも軽減可能です。
SSLで暗号化された通信はHTTPではなく「HTTPS」となり、WebページのURL左に鍵マークが表示されます。今では多くのWebページがSSLによる暗号化を実施し、SSL証明書を持っています。
SSL証明書とは
SSL証明書とは、Webサイトの正当性を証明し、暗号化通信を可能にするための電子証明書です。信頼された認証局(CA:Certification Authority)が発行し、サイト運営者の情報や公開鍵などが含まれています。
ユーザーがWebサイトにアクセスすると、ブラウザはSSL証明書を確認し、信頼できるサイトかどうかを判断。そして、証明書に含まれる公開鍵を使って情報を暗号化し、サーバーが対応する秘密鍵で復号化することで、安全なHTTPS通信が実現されます。
この仕組みにより、通信内容の盗聴や改ざんを防ぐと同時に、なりすましサイトのリスク軽減にもつながります。
不正な通信も暗号化するので注意
HTTPS通信によって安全になったとはいえ、SSLによる暗号化は全ての通信に適用されるため、不正な通信も暗号化してしまうというデメリットがあります。つまり、通信傍受や改ざんは防げるものの、不正な通信を通してしまう可能性があるということです。
WAFとSSLの関係
ここからはWAFとSSLの関係性について紹介していきます。
WAFはSSLで暗号化されたHTTPS通信の内容を見れない
先ほども述べた通り、SSLは通信を暗号化しHTTPSにするプロトコルで、不正な通信もHTTPS化します。その一方で、WAFはHTTP通信の内容しか監視できないため、HTTPS通信の中に不正アクセスがあっても見破ることができません。
WAFにSSL証明書をインストールすれば監視可能に
これを避けるためには、Webサーバーだけでなく、WAFにもSSL証明書をインストールする必要があります。WAFにSSL証明書をインストールすることで、見れなかったHTTPS通信が見れるようになり、管理、制御できるようになるのです。
SSL機器の後ろにWAFを置くことでも監視可能
SSL機能がないWAFの場合は、SSL機能を持つ機器とWebサーバの間に置くことが有効です。SSL機器と連携し、後ろの設置することで復号化された後の通信をWAFが検査できます。復号された通信であればWAFも監視することが可能であり、SSL通信との併用を実現できるでしょう。
SSL暗号化についてさらに知りたい方は以下の記事をご覧ください。
まとめ
WAFとSSLの関係をしっかりと理解することで、より適切なセキュリティ対策につながります。
しかし、SSLは不審な通信も暗号化してしまうため、設置方法には注意が必要です。適切な組み合わせのWAFとSSLで安全な通信を実現しましょう。
