WAFの必要性
WAFとは、「Web Application Firewall」の略で、Webアプリケーションを攻撃から守るセキュリティ製品です。では、WAFがなぜ必要とされているのか、その必要性を下記の3つの視点で解説していきます。
- ・Webアプリケーションを利用する機会が増えている
- ・Webアプリケーションには脆弱性がある
- ・他のセキュリティ製品では防御できない
Webアプリケーションを利用する機会が増えている
Webアプリケーションを利用する機会が急増しています。例えば、メールにしてもWebブラウザ上で利用するGmailを使う企業が増えていますし、表計算でも同時編集ができる利便性から、Googleスプレッドシートが使われることも多くなってきました。
さらに、YouTubeやSkypeなども普及してきており、Webアプリケーションだけであらゆることができる時代へと変わってきています。そのため、Webアプリケーションのセキュリティの重要性は利用する機会に比例して大きくなっているのです。
Webアプリケーションには脆弱性がある
Webアプリケーションには脆弱性があり、不正攻撃を受けやすいという問題があります。理由はインターネットにさえ繋がっていれば誰でも利用できるから。手軽さが悪用されているのです。
現代はWeb系プログラミング言語であるPHPやRubyを使えば、比較的容易にWebアプリケーションの開発が可能です。しかし、開発側のセキュリティ意識が低いと、完成したWebアプリケーションが不正攻撃の標的にされやすいという側面もあります。
自社のWebアプリケーションが攻撃にさらされると、大きな被害が発生する可能性があります。その場合、自社だけでなく、利用ユーザーや取引先にまで被害が及ぶケースもあるでしょう。
他のセキュリティ製品では防御できない
他のセキュリティ製品でWebアプリケーションの万全なセキュリティ対策を行うことは難しいです。ファイアウォールは基本的に内部ネットワークへの不正アクセスを守備範囲としており、IPS・IDSなど他の製品もWebアプリケーションに対して万全とはいえません。
そのため、GmailをはじめとするWebアプリケーションを万全な状態で利用するにはWAFの存在が不可欠といえるでしょう。
WAFを導入することによる効果
WAFが必要な理由について解説してきましたが、WAFを導入すると上記のような課題が解決できます。では、どのように解決してくれるのでしょうか。
Webアプリケーションの脆弱性をカバーできる
WAFを導入することで、Webアプリケーションの脆弱性をカバーできます。前述の通り、Webアプリケーションのセキュリティを完璧に構築するのはほぼ不可能です。しかし、WAFを適切に導入すれば、Webアプリケーションに脆弱性が残っている場合でも不正攻撃を防げます。
入口対策の精度が高まる
WAFを導入すれば、他の対策で防げないWebアプリケーションの防御が可能になり、入口対策の精度が高まります。
ファイアウォールやIPSなど、守備範囲の異なる製品と組み合わせることで、万全な入口対策ができるようになるでしょう。
WAFの注意点
WAFを導入する際には、下記のような点に注意する必要があります。
- ・WAFと他の対策を組み合わせた多層防御が必要
- ・WAFによる誤検知を防ぐチューニングが必要
- ・WAFの種類によってコストが異なる
WAFと他の対策を組み合わせた多層防御が必要
WAFは優秀なセキュリティ対策の1つですが、他の対策も取り入れて多層防御しましょう。複数の対策を組み合わせた多層防御の構築は、Webセキュリティ対策において重要です。
Webセキュリティ対策として、WAF以外にもファイアウォールやIPS、アンチウイルスソフトなどが挙げられます。WAFとファイアウォール・IPSは防御できる層が異なり、これらをすべて設置すれば、1箇所が突破されたとしても他の層で攻撃を阻止できます。
多層防御を構築することで、マルウェアやSQLインジェクション、標的型攻撃などからシステムを守ることができるでしょう。もちろん100%安全ではありませんが、少しでも防御を強化していくことはセキュリティ対策の基本です。
以下の記事ではサイバー攻撃の種類を紹介していますので、自社がどの攻撃に対応できていないか、洗い出す際の参考にしてみてください。
WAFによる誤検知を防ぐチューニングが必要
WAFを導入する際は、誤検知を防ぐチューニングをしっかり行いましょう。WAFは優秀なWebセキュリティ対策の1つですが、それ故ユーザーからの正常なアクセスも弾いてしまう可能性があります。それではWebアプリケーションの使い勝手に難が生じてしまいます。
それを防ぐため、チューニングを行って適切なセキュリティレベルに設定しなければならないのです。しかし、チューニングは非常に難しい作業になるでしょう。締め付けすぎると使い勝手が悪くなり、開放しすぎると外部からの攻撃を受ける可能性が高まってしまいます。
自社のリソースで適切なチューニングができない場合は、専門家にアドバイスを仰ぐことをおすすめします。
クラウド型のWAFであれば、ベンダー側でチューニングを行ってくれるため、自社にセキュリティの専門家がいなくても安心です。以下の記事ではクラウド型のWAFを紹介していますので、チューニングの手間をかけたくないという方は参考にしてみてください。
WAFの種類によってコストが異なる
WAFは種類によって、初期コスト・運用コストにバラつきがあります。
初期コストは、専用機器の購入費用や契約時の初期登録料のことです。サイトの規模が大きいほど高額になるでしょう。運用コストは、チューニング費用や月額利用料のことです。
一般的にアプライアンス型WAFは、ソフトウェアや機器が必要なので初期コストが高い傾向にあります。一方クラウド型WAFは、機器の設置が不要なので初期コストが低く、導入までのスピードも早いでしょう。
製品によって提供形態が異なるため、自社にあった提供形態を選ぶためには製品を知るところから始める必要があります。以下の記事ではWAF製品を徹底的に比較していますので、ぜひご覧ください。
WAFの必要性を理解して、万全なセキュリティ対策を!
Webアプリケーションのバグや脆弱性は不正攻撃の温床となります。そのため、Webアプリケーションの脆弱性をカバーできるWAFを設置することが望ましいしょう。
ただ、WAFは多くの製品があるため、自社にあった適切なWAFを選ぶことが成果に直結します。自社にあった製品を選ぶためにも、まずは一度資料請求を行い、製品について理解することをお勧めします。
