WAFでできるセキュリティ対策とは？機能や種類をご紹介

WAFのセキュリティ対策機能とは？

WAFにはどのようなセキュリティ対策機能が搭載されているのでしょうか。主な機能を２つ紹介します。

通信の監視と制御

WAFはWebサーバの前面に設置し、通信を監視・制御します。「シグネチャ（過去の不正な通信・攻撃パターンを定義化したファイル）」をもとに、通信の許可・ブロックを判断しています。

その判断方法は「ブラックリスト方式」「ホワイトリスト方式」の２つです。ブラックリスト方式ではブロックする通信パターンを、ホワイトリスト方式では通信を許可するパターンを事前に記録します。

なお、WAFの検出能力はシグネチャに依存しています。シグネチャの精度を高めるには、頻繁に更新を行って常に最新の状態を保つことが重要です。

攻撃の確認

WAFは、検出された不正と思われる通信を、ログで保存・閲覧することが可能です。また、不正な通信を行ったIPアドレスや攻撃種別のレポート出力ができる製品も存在します。これにより、特定のIPアドレスから行われるアクセスの制限をしたり、シグネチャを追加したりといった、適切な措置が施せるようになります。

WAFとその他のセキュリティとの違いは？

WAFと、ファイアウォール・IPS／IDS・SSLで防御範囲・対象がそれぞれ異なります。違いを詳しく見ていきましょう。

ファイアウォール：ネットワークを監視して防御する

WAFはWebアプリケーションレベルで通信を監視・制御し、その内容をチェックできます。しかし、ファイアウォールの監視対象は、インターネット回線やIPアドレスのみです。そのため通信の内容まではチェックできず、Webアプリケーションへの攻撃を防げません。

また、WAFはOSやWebアプリケーションの脆弱性を狙う攻撃に効果がありますが、ファイアウォールではそこまでカバーしきれません。したがって、Webアプリケーションの脆弱性を利用した攻撃である「SQLインジェクション」をファイアウォールで防ぐのは難しいでしょう。

IPS／IDS：OSやミドルウェアを監視して防御する

IPS（Intrusion Detection and Protection System）／IDS（Instrusion Detection System）における通信の監視・制御対象は、OSやミドルウェアです。IDSで不正なアクセスや侵入をリアルタイムで検出し、IPSで管理者への通報とアクセスの遮断を行います。

IPS／IDSは、ファイアウォールと同じく、Webアプリケーションへの攻撃を防ぐのは難しいです。なぜなら、巧妙化した高度な攻撃に対して検出力が下がった事例があるからです。WAFで検出した攻撃の半分以上を、IPS／IDSでは検出できなかったそうです。

SSL：アクセスした人の情報を守る

SSL（Secure Sockets Layer）は通信内容を暗号化し、Webサイトとユーザー間の通信を保護する技術です。通信を暗号化することで、悪意ある第三者に個人情報が盗まれるリスクを軽減させます。つまり、WAFはホームページを、SSLはサイトの訪問者を守るための技術だと言えるでしょう。

WAFの種類とは？

WAFは「アプライアンス型」「ソフトウェア型」「クラウド型」の３種類あります。それぞれの特徴を見ていきましょう。

アプライアンス型WAF

アプライアンス型WAFは、ベンダーが提供する専用機器やソフトウェアを購入し、自社で運用するタイプです。カスタマイズが可能で、高いセキュリティが実現します。

ただ、導入・運用に伴い、設定作業や高度な知識を要するので、専任の技術者は必須です。そして、人件費といった運用費用、機器の購入・設定作業にかかる導入費用が高額になるケースが多いです。そのため、費用に対して十分な効果を得られるのかを導入前に精査する必要があるでしょう。

ソフトウェア型WAF

ソフトウェア型WAFは、サーバにインストールして自社で運用するタイプです。専用機器が不要なので導入費用を抑えられ、短期間で利用を始めることが可能です。

しかし、検知設定を行う際は専門知識が求められるので、アプライアンス型と同じく専任の技術者を置かなければいけません。また、規模に伴い運用費用も大きくなるため、導入前は先を見越した検討が必要です。

なお、ソフトウェア型には「商用」「オープンソース」の２つがあります。商用タイプは有償ですが、詳細なマニュアルやサポートが提供されています。一方、オープンソースタイプは無償ですが、サポートがありません。しかし、ユーザーで形成するコミュニティが充実しているケースが多いです。

クラウド型WAF

クラウド型WAFは、ベンダーが運用するWAFをインターネット経由で利用します。導入時に必要なのは簡単な切り替え作業のみで、基本的に短期間での導入が実現します。

機器の購入は要らず、初期費用は導入する際の作業費しかかかりません。また、運用費用も月額か年額のサービス利用料を支払うだけです。運用はベンダーに一任できるため、専任の技術者を置く分の人件費をカットできるのです。

しかし、セキュリティの要であるシグネチャの精度はベンダーによって差があります。どのベンダーを選ぶかで自社のセキュリティレベルが変わってくるので、事前の精査が重要です。

WAFを活用してセキュリティ対策を万全に！

WAFはWebアプリケーションの通信監視・制御を行います。ファイアウォール・IPS／IDS・SSLと比較すると監視・制御対象が幅広く、検出の精度が高いです。そして、WAFにはカスタマイズ性に優れた「アプライアンス型」、短期間での導入が可能な「ソフトウェア型」、コストが抑えられる「クラウド型」の３つがあります。

自社に最適なWAFを導入し、セキュリティを向上させましょう。