WAFで防げない攻撃は？絶対に知っておくべきセキュリティ対策

WAFとは

まずはWAFとはどのようなものか、WAFの基本をご説明します。

WebサーバやWebサイトを保護する製品

WAFは、サイバー攻撃からWebサーバやWebサイトを保護することに特化したセキュリティ対策です。そもそもWAFとはWeb Application Firewallの略称で、ファイアウォールの一種です。頭文字をとってWAF（ワフ）と呼ばれています。

以前は導入コストがかかる上、運用に専門知識が必要なためWAFを導入する企業は限られていました。しかし現在は初期費用が安く運用も簡単な製品が登場し、Webサイトのセキュリティ対策として導入する企業が増えています。

Webアプリケーションの脆弱性対策に有効

WAFの必要性が高まっている理由は、WAFがWebアプリケーションの脆弱性に対して有効なためです。

Webアプリケーションは開発要件や開発作業でのささいなミスで脆弱性を含んでしまうことがあります。しかし従来のセキュリティ対策だけではWebアプリケーションの脆弱性に対抗することができませんでした。

そこで効果を発揮するのがWAFです。WAFはファイアウォールと違い、通信データの中身もアプリケーションレベルで解析できるという特徴があります。Webアプリケーションの前面に配置され、不正だと判断した通信は全てシャットアウトします。

Webアプリケーション自体に脆弱性があったとしても、WAFなら攻撃を防ぐことが可能です。

WAFで防御可能な攻撃とは

Webアプリケーションのセキュリティ対策に特化したWAFは、他のセキュリティ対策では防げない攻撃も防ぐことが可能です。どのような攻撃に対して有効なのか、具体的にご説明します。

ファイアーウォールで防げない攻撃

WAFではファイアウォールでは防げない攻撃からもWebアプリケーションを守ることが可能です。

ファイアウォールはインターネット回線やIPアドレスを監視し、不正アクセスを防止します。一般的にネットワークにアクセスする際は、利用するポートやIPアドレスが定まっていることが多いです。ファイアウォールではそこに着目して通信を許可するかどうか判断しているのです。

しかし、通信の中身までは把握することができません。WAFでは通信の中身まで解析しています。ファイアウォールではチェックしきれなかった攻撃もシャットアウトできると言えるでしょう。

IPSで防げない攻撃

WAFはIPSでは防げない、未設定の新しい攻撃パターンや暗号化された通信などにも対処することが可能です。IPSは侵入防止検知システムのことで、リアルタイムでアクセスを監視できます。

悪意あるトラフィックを検知するとパケットを破棄し、アクセスそのものを切断して防御するセキュリティです。OSやミドルウエアに対しては有効なセキュリティだと言えるでしょう。

SSLで防げない攻撃

WAFはSSLでは防げないWebサイト自体への攻撃を防ぐことができます。WAFとSSLは攻撃から守る対象が違います。

WAFがWebサーバやWebサイト自体を保護するのに特化しているのに対し、SSLはサイトを訪問したユーザーを保護することに特化しているのです。ユーザーがサイトに入力した個人情報を暗号化し第三者に盗まれることを防ぐ役割があります。

そのため、SSLではWebサイト自体を攻撃から守ることはできませんので、サイトを守るにはWAFの導入が欠かせません。

WAFの注意点

続いてはWAFを使う際の注意点についてご説明します。

OS・ミドルウェアの攻撃は防げない

WAFはWebアプリケーションへの脆弱性に対する攻撃を防ぐことに特化していますので、その他の攻撃から防御できません。基本的に、OSやミドルウェアに対する攻撃はWAFのみでは守り切れないと言えるでしょう。

OSやミドルウエアに対する攻撃にも対処できるようにするならば、WAF・ファイアウォール・IPSを組み合わせるのが効果的です。

多層防御しなければならない

よりサイトの安全性を高めるためには、複数のセキュリティ対策を組み合わせて多層崩御しましょう。複数のシステムを同時に運用することになるため、コストの負担が増加する点や運用の手間がかかる点に注意しておくことが大切です。

入口・出口・内部で防御すべき

多層防御においては、サイトの入り口・出口・内部に分けて考え、それぞれに合ったセキュリティ対策を行うことが必要です。

例えば、サイトの入り口にWAFやファイアウォールなどを設置すると、不審な通信は突破できなくなります。しかし、それだけで安全とは言いきれません。

そこで、多層防御の際にはまず、内部を防御するためにエンドポイントの対策を行います。さらに出口にデータの持ち出しを制御するためにデータを暗号化できるシステムが導入されることが多いのです。

何重にも対策を実施し、セキュリティの１つが突破されても次のセキュリティが対処できる体制を整え、攻撃の目標を達成させないことが重要です。

WAFで防げない攻撃には多層防御で備えよう！

Webアプリケーションのセキュリティ対策として多くの企業に導入されているWAFですが、WAF、体では防げない攻撃もあります。自社サイトや訪問するユーザーをサイバー攻撃から守るためにも、用途に合わせて複数のセキュリティシステムを導入することが大切です。

製品の特徴やシステム同士の互換性なども十分検討して製品を選び、万全のセキュリティ対策を行いましょう。