資料請求リスト
0

WAFで防げない攻撃は?防げる攻撃と利用ポイントも解説

WAFで防げない攻撃は?防げる攻撃と利用ポイントも解説

「WAFは万能だと聞くけど、防げない攻撃はないの?」と疑問に思っている方は多いのではないでしょうか。実はWAFにも防げない攻撃はあります。

WAFで防げない攻撃を知っておかないと、WAFを導入したことで満足し、十分な対策ができないまま放置してしまう可能性もあるでしょう。

この記事ではWAFで防げない攻撃を紹介すると同時に、防げる攻撃も紹介しますので、参考にしてみてください。


  WAF紹介ページ遷移画像

WAFで防げない攻撃

Webアプリケーションを守るセキュリティ製品として、多くの攻撃をブロックするWAFですが、決してすべての攻撃を防げるわけではありません。ここでは、WAFで防げない攻撃を紹介していきます。

ネットワークに対する標的型攻撃

まず一つ目にあげられるのが、ネットワーク層に対する攻撃です。WAFは「Web Application Firewall」という名前の通り、Webアプリケーションに対する攻撃を中心に対応するセキュリティ製品です。

そのため、基本的にファイアウォールが守備範囲としているネットワーク層に対する攻撃には対応できません。

標的型攻撃についてさらに詳しく知りたい方は以下の記事をご覧ください。

OS・ミドルウェアへの標的型攻撃

ネットワーク層だけでなく、基本的に、OSやミドルウェアに対する攻撃もWAFのみでは守り切れないと言えるでしょう。OSやミドルウエアに対する攻撃にも対処できるようにするならば、WAFにIPSを組み合わせるのが効果的です。

IPSの概要についてさらに知りたい方は以下の記事を参考にしてみてください。

関連記事 IDS・IPSとは?違いや種類、仕組みをわかりやすく解説

botによる不正アクセス

最後にあげられるのが、botによる不正アクセスです。botは同じ作業を繰り返すプログラムのことで、他のWebサイトで使われているIDとパスワードの組み合わせを利用して、ログイン作業を繰り返します。

そのため、他のサイトと自社サイトで同じID/パスワードを利用しているユーザーは個人情報を抜き取られ、クレジットカードを利用されたり、ポイントを盗まれたりといった金銭的被害が発生しています。

botによる不正アクセスはWebサイトの脆弱性につけこんだものではないため、脆弱性に対して防御を行うWAFの守備範囲ではないのです。

このように、WAFは万能ではありません。以下の記事にはWAFのデメリットを紹介していますので、客観的に判断する材料にしてみてください。

WAFで防御可能な攻撃とは

WAFで防げない攻撃について説明してきました。では反対に、WAFで防げる攻撃はどんなものなのでしょうか。

Webアプリケーションの脆弱性を狙った攻撃

WAFが効果を発揮する攻撃はWebアプリケーションの脆弱性を狙ったものです。Webアプリケーションはどんなに修正を繰り返しても脆弱性を完全に無くすのは難しいため、対策が必要ですが、ファイアウォールやIPSでは防御できませんでした。

そこで効果を発揮するのがWAFです。WAFはファイアウォールと違い、通信データの中身もアプリケーションレベルで解析できるという特徴があります。Webアプリケーションの前面に配置され、不正だと判断した通信は全てシャットアウトします。

Webアプリケーション自体に脆弱性があったとしても、WAFなら攻撃を防ぐことが可能です。

ゼロデイ攻撃

WAFはゼロデイ攻撃に対応できます。ゼロデイ攻撃は新たな脆弱性が発見された際、それに対する処置が行われる前に攻撃するというものです。また、暗号化された通信などにも対処することが可能です。

WAFとゼロデイ攻撃の関係性については以下の記事を参考にしてみてください。

関連記事 WAFはゼロデイ攻撃対策として有効?原因やセキュリティ対策を紹介

SSLで防げない攻撃

WAFはSSLでは防げないWebサイト自体への攻撃を防ぐことができます。WAFとSSLは攻撃から守る対象が違います。

WAFがWebサーバやWebサイト自体を保護するのに特化しているのに対し、SSLはサイトを訪問したユーザーを保護することに特化しているのです。ユーザーがサイトに入力した個人情報を暗号化し第三者に盗まれることを防ぐ役割があります。

そのため、SSLではWebサイト自体を攻撃から守ることはできませんので、サイトを守るにはWAFの導入が欠かせません。

WAFとSSLの関係性について知りたい方は以下の記事をご覧ください。

関連記事 WAFとSSLの関係性とは?証明書のメリットや必要性についても解説!

このほかにも、SQLインジェクションや、クロスサイトスクリプティングといった攻撃にも対応していますので、以下の記事を参考にしてみてください。

関連記事 WAFでSQLインジェクションは防げる?改ざん事例や事後対策も解説!
関連記事 WAFによるXSS(クロスサイトスクリプティング)攻撃対策の方法を解説

WAF利用のポイント

続いてはWAFを使う際のポイントについてご説明します。

多層防御する

よりサイトの安全性を高めるためには、複数のセキュリティ対策を組み合わせて多層防御する必要があります。複数のシステムを同時に運用することになるため、コストの負担が増加する点や運用の手間がかかる点に注意しておくことが大切です。

多層防御についてさらに知りたいという方は以下の記事をご覧ください。

関連記事 WAFでの多層防御とは?ネットを守る仕組みや必要システムを解説!

導入形態をじっくり検討する

WAFの導入形態を検討し、自社にあったものを導入することがとても重要です。WAFにはアプライアンス型・ソフトウェア型・クラウド型の3種類があり、それぞれにメリットとデメリットがあります。クラウド型が現在では一般的となっており、コストや運用の手間がかからず、手軽に運用できます。

クラウド型のWAFについて興味を持った方は以下の記事を参考にしてみてください。

関連記事 クラウド型WAFとは?仕組みやメリット・デメリット、製品比較も紹介!

WAFで防げない攻撃を知って、適切なセキュリティ体制を

Webアプリケーションのセキュリティ対策として多くの企業に導入されているWAFですが、WAFだけでは防げない攻撃もあります。自社サイトや訪問するユーザーをサイバー攻撃から守るためにも、用途に合わせて複数のセキュリティシステムを導入することが大切です。

まずはWAF製品について理解し、自社にあった製品を導入したうえで、万全なセキュリティ体制の構築を考えてみてはいかがでしょうか。

関連記事 【最新ランキング】WAF製品の比較14選!失敗しない選び方も解説
WAF紹介ページ遷移画像
この記事を読んだ人は、こちらも参考にしています

話題のIT製品、実際どうなの?

導入ユーザーのリアルな体験談

電球

IT製品を導入しDXに成功した企業に

直接インタビュー!

電球

営業・マーケ・人事・バックオフィス

様々なカテゴリで絶賛公開中

私たちのDXロゴ
bizplay動画ページリンク
動画一覧を見てみる
IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「WAFで防げない攻撃は?防げる攻撃と利用ポイントも解説」というテーマについて解説しています。WAF(Web Application Firewall)の製品 導入を検討をしている企業様は、ぜひ参考にしてください。
このページの内容をシェアする
facebookに投稿する
Xでtweetする
このエントリーをはてなブックマークに追加する
pocketで後で読む
認知度、利用経験率No.1のITトレンド WAF(Web Application Firewall)年間ランキング
カテゴリー関連製品・サービス
カテゴリー関連製品・サービス
Cloudbric WAF+
ペンタセキュリティ株式会社
☆☆☆☆☆
★★★★★
★★★★★
5.0
BLUE Sphere
株式会社アイロバ
☆☆☆☆☆
★★★★★
★★★★★
4.8
MSS for Imperva Incapsula
SBテクノロジー株式会社
☆☆☆☆☆
★★★★★
★★★★★
0.0
Cloud Application Protection Services
株式会社アズジェント
☆☆☆☆☆
★★★★★
★★★★★
0.0
【攻撃遮断くん】
株式会社サイバーセキュリティクラウド
☆☆☆☆☆
★★★★★
★★★★★
4.2
【SiteGuard】
EGセキュアソリューションズ株式会社
☆☆☆☆☆
★★★★★
★★★★★
0.0
サイバー攻撃可視化ツールPrimeWAF
バルテス株式会社
☆☆☆☆☆
★★★★★
★★★★★
4.0
イージスWAFサーバセキュリティ
株式会社ロケットワークス
☆☆☆☆☆
★★★★★
★★★★★
0.0
Cloudbric WMS for AWS WAF
ペンタセキュリティ株式会社
☆☆☆☆☆
★★★★★
★★★★★
5.0
ITトレンドへの製品掲載・広告出稿はこちらから
WAF(Web Application Firewall)の製品をまとめて資料請求