WAFでの多層防御とは？ネットを守る仕組みや必要システムを解説！

WAFを使った多層防御に必要なシステム

多層防御を行うにあたって、WAFは必要不可欠なセキュリティ製品ですが、「多層」という以上、他のセキュリティ製品と組み合わせて使うのが基本です。では、WAFを用いた多層防御に必要なセキュリティ製品を紹介していきます。

Webアプリケーションを保護する「WAF」

まずはWAFについて紹介します。WAF（Web Application Firewall）はアプリケーションの脆弱性を利用した攻撃に対し、通信の中身まで監視するセキュリティシステムです。

Webアプリケーションの前面に置かれ、不審な通信パターンを定義した「シグネチャ」に当てはまるものを攻撃と認識してブロックします。ファイアウォールやIPSと違い、通信を偽装する「SQLインジェクション」や「クロスサイトスクリプティング」などの攻撃も防御可能です。

WAFについてさらに知りたい方は以下の記事をご覧ください。

通信の出入口を制御する「ファイアウォール」

ファイアウォールは、ネットワークとの出入口であるポートを制御することで、外部からの攻撃がないか監視し、防ぐセキュリティシステムです。通信の中身は監視する機能がなく、常時ポートを開放するウェブサイトやサーバへの攻撃は防げません。

ファイアウォールについてさらに知りたい方は以下の記事を参考にしてみてください。

通信をリアルタイムで監視する「IPS」

IPS（Instruction Prevention System）は、侵入防止システムといわれ、第三者からの不正なアクセスを監視・防御します。

ウェブサイトやサーバに大量のアクセスを送り込んでアプリケーションをダウンさせる「DoS（Denial Of Service）攻撃」など、ファイアウォールでは防げないような攻撃に対応します。

IPS・IDSについてさらに詳しく知りたいという方は、以下の記事をご覧ください。

ここまで見てきたように、WAF、ファイアウォール、IPSはそれぞれ防御対象が異なっており、多彩なサイバー攻撃に対応するためには、これらを組み合わせた多層防御が必要になります。では、多層防御の仕組みを見ていきましょう。

WAFを使った多層防御の仕組み

WAFを使った多層防御はどのような仕組みなのか、見ていきましょう。

複数の手段を組み合わせたセキュリティ対策

多層防御とは、複数の手段やセキュリティツールのを組み合わせにより、あらゆるネットワーク上の脅威からアプリケーションを守る仕組みのことです。インターネットを利用した攻撃は多種多様で日々進化しているため、一つのセキュリティシステムだけでは安全とは言い切れません。

そのため、まずはファイアウォールで内部ネットワークへの侵入を防ぎ、IPSとWAFを用いて高度な攻撃を防ぐというように、階層を設けてセキュリティ対策を行いましょう。

複数箇所で施すセキュリティ対策

多層防御では、ネットワーク上の脅威に対し「入口」「出口」「内部」の３点で対策を施します。

■入口

悪意のある通信が内部ネットワークに入らないように対策する

■出口

不正アクセスされたことを前提にして、内部データが流出しないよう対策する

■内部

内部コンピュータや社内ネットワークを監視し、不正アクセスを検出する

多層防御は、ネットワーク上の脅威を内部に侵入させないことを第一としていますが、不正アクセスされた際に被害を最小限に食い止めるのも大切です。

多重防御との違いは「防御の範囲」

「多層防御」と「多重防御」は、ネットワーク攻撃に対する防御範囲が異なります。

多重防御とはセキュリティを「重ねる」ことで、ネットワーク上の脅威から内部環境を守る方法です。内部ネットワークと外部ネットワークの境界上に、何重ものセキュリティを構築するため強固に見えがちですが、一概にそうとも言えません。

例えば内部ネットワークへの玄関口に、何重もの鍵をかけたとしても鍵開け名人からすれば脅威ではありません。ひとつの鍵を開けられれば、次の鍵もなんなく開けられるからです。

一方、多層防御はいくつものセキュリティ層を構築する防御方法です。玄関口だけでなく「ブロック塀」や「監視カメラ」など、異なるセキュリティを構築。突破するのは多重防御よりもコストがかかるため、はるかに強固なセキュリティ対策となります。

多層防御についてさらに知りたいという方は以下の記事を参考にしてみてください。

WAFを用いた多層防御のメリット

ここではWAFを含めた多層防御の導入メリットを紹介していきます。

対応できる攻撃の種類が増える

サイバー攻撃は日々進化しており、新種のマルウェアも開発されています。今まで防げていた攻撃も、明日は防げないかもしれません。このような脅威を排除するには、一つのセキュリティシステムだけでは役不足です。

WAFはIPSやファイアウォールでは防げない多くの攻撃に対応している他、攻撃された後の事後対策にも長けているため、多層防御の最後の砦として活躍してくれるでしょう。

アクシデントに柔軟に対応できる

多層防御では、柔軟なカスタマイズが可能です。例えば、一層のセキュリティ製品で対策を行っていると、その製品に不具合が生じた瞬間に社内ネットワークが危機にさらされてしまいます。

その一方で、多層防御を行っていれば、他のセキュリティ製品に不具合が生じてもすぐに対応できます。また、それぞれの階層ごとに製品を選定できるため、力を入れたい部分にコストをかけ、そうでない部分を軽くするなど、柔軟なカスタマイズが可能です。

WAFを多層防御に組み込んで、万全のセキュリティを！

WAFはファイアウォール・IPSとの組み合わせにより、強力な多層防御を形成します。しかし、それぞれの製品が自社にあっていなければ、セキュリティ対策の効果は発揮できません。

まずはそれぞれの製品選びから始め、最適なカスタマイズをすることが重要です。以下の記事や資料請求で製品についての理解を深め、万全なセキュリティ体制を構築していきましょう。