WAFとSSLの違いは？問題なく併用するにはどうすべき？

WAFとは？

まずはWAFとSSLの違いを把握するため、WAFとはどのようものか簡単に説明していきます。

HTTP通信を監視・制御するツール

WAFはWebサーバとクライアントの間に存在し、HTTP通信を監視し制御する役割があります。一般的なファイアウォールとは、働きかける通信の階層が違います。

ファイアウォールを導入している企業でも、WAFが必要とされるケースは少なくありません。WAFの主な通信の制御方法は、シグネチャに定義された攻撃パターンを遮断するというものです。

Webアプリケーションの脆弱性をカバー

WAFは、Webアプリケーションの脆弱性をカバーする役割を持ちます。Webアプリケーションも人の手で作られており、複雑な内容であれば「穴」も発生してしまうでしょう。脆弱性を狙ったゼロデイ攻撃など脅威の種類は拡大しているため、対策をしなければなりません。

そこで、WAFを利用すればアプリケーションの安全性を保つことが可能です。WAFは通常のファイアウォールでは確認できない、通信の中身までもチェックできます。Webアプリケーションのセキュリティ対策を行うためにはWAFが欠かせません。

SSLとは？

セキュリティの中でも基本的な対策のSSLには、どのような役割があるのか見ていきましょう。

HTTPS通信を暗号化する技術

SSLとは「Secure Sockets Layer」の略で、Webサーバとブラウザ間の通信を暗号化する技術です。仮に通信を盗聴されても、暗号化により中身を知られることはありません。また、通信内容の改ざんやなりすましといったリスクも軽減可能です。

SSLで暗号化された通信はHTTPではなく「HTTPS」となり、Webページには鍵マークが表示される特徴があります。今では多くのWebページがSSLによる暗号化を実施しており、安全性が高まっているといえるでしょう。

不正な通信も暗号化するので注意

SSLによる暗号化は全ての通信に適用されるため、不正な通信も暗号化してしまうというデメリットがあります。通常は、認証されたサーバにしか発行されませんが、高度な技術を持った脅威であれば認証をかいくぐってしまうでしょう。

このように不正な通信を暗号化してしまうと、攻撃者からのアクセスに気づかない可能性が非常に高いです。それを避けるには、SSL通信を解読に対応しているソリューションを導入しなければなりません。

WAFとSSLの違いは？

WAFとSSLの最大の違いは、セキュリティ対策を行う目的です。通信の暗号化にはSSLが適していますが、Webサイトを守ることはできません。つまり、Webサイト自体を攻撃から守るためにはWAFを使う必要があるでしょう。

主にWAFはWebサイト自体を防御し、Webサーバにアクセスした顧客の通信はSSLで保護することが可能です。

WAFとSSLを併用する方法

どのようにすればSSLとWAFの両方を使うことができるのでしょうか。ここからはWAFとSSLを併用する方法について説明していきます。

WAFにSSL証明書を登録する

SSLで通信を暗号化しながらWAFを使うためには、証明書発行会社が提供しているSSL証明書が必要です。SSL証明書があれば暗号化された通信も復号できるため、不正な通信もWAFが検知できるようになります。WAF本体に登録することで対策が可能です。

SSL機器の後ろにWAFを置く

SSL機能がないWAFの場合は、SSL機能を持つ機器の後ろに置くことが有効です。SSL機器と連携し、後ろの設置することで復号化された後の通信をWAFが検査できます。暗号化されていない通信であれば、WAF本来の力を発揮することが可能であり、SSL通信との併用を実現できるでしょう。

WAFとSSLを用いて安全な通信を行いましょう

Webアプリケーションを守るWAFと、通信を暗号化するSSLは、両者ともセキュリティ強度を高める効果的な対策です。この２つは防御する内容が異なるため、より充実した対策を行うためには併用します。

しかし、SSLは不審な通信も暗号化してしまうため、設置方法には注意が必要です。適切な組み合わせのWAFとSSLで安全な通信を実現しましょう。