Web改ざん防止にWAFは有用なのか？FWやIPSとの違いも解説

2020年06月09日最終更新
WAF（Web Application Firewall）の製品一覧

Webサイトへの攻撃に特化したWAF。Webの改ざんも防げるのでしょうか。セキュリティ対策にWAFを考えているものの、有用性を確認できないと導入するのに躊躇してしまいますよね。

今回はWeb改ざん防止にWAFは有用なのかを解説します。あわせて、FW・IPSとの違いや導入時の注意点も紹介しますので、参考にしてください。

WAF（Web Application Firewall）の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

Web改ざん防止にWAFは有用なのか

WAFはWeb改ざんの防止に効果があるのでしょうか。ここでは、WAFのもつ２つの特長からその有用性を見ていきましょう。

攻撃パターンを読み取りアタックを防ぐ

WAFはシグネチャ（サイバー攻撃の手法をパターン化した情報）を基にホームページへの通信内容を監視・検知します。HTTPプロトコルやパラメータの名前・値などを検査し、不正な通信を検知すると自動でそれを遮断します。他にも、Cookieの暗号化や応答ヘッダの追加など、さまざまなWebアプリケーションの防御機能を搭載しています。

そのため、さまざまな手段を駆使して行われる攻撃者からのアタックを未然に防げます。

一時的な予防策や事後対策にも有用

ホームページやWebアプリケーションに脆弱性が見つかると、修正プログラムやパッチを行うまでの間にサイバー攻撃を受けるリスクが高まります。WAFは不正な通信を自動でブロックするため、解決手段が見つかるまでの一時的な予防策として有効です。

さらに、WAFはサイバー攻撃を受けてもただちにそれを食い止めることができ、被害を最小限に抑えられます。したがって、Webサイトがサイバー攻撃によりサービスを停止した場合でも、速やな復旧作業が可能です。

FWやIPSとの違い

WAFはFW(Firewall)やIPS（Intrusion Prevention System）と、どのような違いがあるのでしょうか。それぞれの違いを見ていきましょう。

FW：ネットワークを対象とした攻撃しか防げない

FWは、ネットワークやシステムに対する不正アクセスの防御が主な役割です。ポートを制御したり、IPアドレス、ポート番号などを基に通信の許可・不許可を判断したりします。

WAFと違って通信内容までは検査しないため、SQLインジェクションやクロスサイトスクリプティングといった通信内容を偽装した攻撃を防御できません。また、企業ホームページは常時ポートを開くよう設定しているため、FWでポートを閉じることはできません。すなわち、不正な通信があったとしてもFWではこれを制御できないのです。

IPS：ソフトウェアやOSを対象とした攻撃しか防げない

IPSは、ソフトウェアやOSに対する不正アクセスの防御が主な役割です。外部からの通信内容をシグネチャを基に検査し、通信の許可・不許可を判断します。通信内容を検査できるためFWよりも防御対象が広く、ソフトウェア・OSの不正アクセス防御が可能です。

一方、IPSはSQLインジェクションといった攻撃を防げはしますが、WAFと比べると精度が劣ります。HTTPプロトコルやパラメータの名前や値といった詳細な通信内容までは解析できません。

それぞれを組み合わせることがおすすめ

WAFやFW、IPSでは、それぞれ防御範囲・対象が異なります。そして、それぞれのセキュリティツールを単体で導入しても、サイバー攻撃に太刀打ちできません。すなわち、WAF・FW・IPSを組み合わせた多層防御を構築することがセキュリティ対策の基本となります。

WAFの導入における注意点

WAFを導入する際の注意点を２つ解説します。

誤検知や誤遮断の発生リスク

WAFは、サイバー攻撃の手法を基にシグネチャやソフトウェアを定期的に更新していきます。その際、セキュリティレベルを高く設定し過ぎるとWAFが誤検知・誤遮断を起こす可能性が高くなります。正常な通信を攻撃だと見なし、遮断してしまうのです。こういった事象がWebサイト上で度重なると、ユーザーが煩わしく感じるかもしれません。

シグネチャやソフトウェアの更新には専門的な知識が求められます。適切なセキュリティレベルを見極められる技術者の設置をおすすめします。

導入費用だけでなく運用費用も発生

WAFはハードウェアの購入費用だけでなく、ネットワーク構成の変更といったコストがかかります。

導入後は、シグネチャやソフトウェアの更新などの運用費用も発生します。自社で運用するのであれば専任の技術者が、外部に委託するのであればその分の費用が必要です。また、専用のソフトウェアをインストールするタイプのWAFは、サーバ数が増えるとライセンス費用もかかります。利用規模に応じてコストがかかることを覚えておきましょう。

なお、クラウド型のWAFであれば運用をベンダーに一任できます。そのため、運用コストは削減できますが、ランニングコストがかかります。

Webのセキュリティ対策としてWAFの導入を検討しよう

WAFは、Webサイトへの攻撃を未然に防ぐだけでなく、事後対策としても役立ちます。また、FWはネットワークが、IPSはソフトウェア・OSが防御対象です。すなわち、それらのツールを組み合わせた多層防御がセキュリティ対策の基本となります。なお、WAFには誤検知・誤遮断の発生リスクがあること、また導入・運用費用が相応にかかることも覚えておきましょう。

以上に留意し、WAFの導入を前向きに検討しましょう。

WAF（Web Application Firewall）製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

このカテゴリーに関連する記事

WAFとは？初心者にもわかりやすく一から徹底解説！

WAFにおける「シグネチャ」とは？初心者にわかりやすく解説！

WAFとファイアウォールの違いは？攻撃との関連も解説！

WAFとSSLの関係性とは？証明書の必要性についても解説！

無料OSSのWAF製品比較４選！メリットや注意点を分かりやすく解説

WAFの機能一覧！WAFでできることや防げる攻撃も解説

WAFのホワイトリスト方式とブラックリスト方式では何が違うの？

【比較表付き】WAF製品17選を徹底比較！選定ポイントも解説！

WAFで防げない攻撃は？防げる攻撃と利用のポイントも解説！

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「Web改ざん防止にWAFは有用なのか？FWやIPSとの違いも解説」というテーマについて解説しています。WAFの製品導入を検討をしている企業様は、ぜひ参考にしてください。

1月11日(月) 更新
	国内のクラウド型WAF市場シェア連続 NO.1のWAF【Scutum（スキュータム）】株式会社セキュアスカイ・テクノロジー
	導入15,000件、Webサイトを守るクラウド型WAFクラウドブリック(Cloudbric) ペンタセキュリティシステムズ株式会社
	4,000円で始められるWebサイトセキュリティサービス！！AIONCLOUD 株式会社モニタラップ
一覧を見る