Web改ざん防止にWAFは有用なのか
WAFはWeb改ざんの防止に効果があるのでしょうか。ここでは、WAFのもつ2つの特長からその有用性を見ていきましょう。
攻撃パターンを読み取りアタックを防ぐ
WAFはシグネチャ(サイバー攻撃の手法をパターン化した情報)を基にホームページへの通信内容を監視・検知します。HTTPプロトコルやパラメータの名前・値などを検査し、不正な通信を検知すると自動でそれを遮断します。他にも、Cookieの暗号化や応答ヘッダの追加など、さまざまなWebアプリケーションの防御機能を搭載しています。
そのため、さまざまな手段を駆使して行われる攻撃者からのアタックを未然に防げます。
一時的な予防策や事後対策にも有用
ホームページやWebアプリケーションに脆弱性が見つかると、修正プログラムやパッチを行うまでの間にサイバー攻撃を受けるリスクが高まります。WAFは不正な通信を自動でブロックするため、解決手段が見つかるまでの一時的な予防策として有効です。
さらに、WAFはサイバー攻撃を受けてもただちにそれを食い止めることができ、被害を最小限に抑えられます。したがって、Webサイトがサイバー攻撃によりサービスを停止した場合でも、速やな復旧作業が可能です。
FWやIPSとの違い
WAFはFW(Firewall)やIPS(Intrusion Prevention System)と、どのような違いがあるのでしょうか。それぞれの違いを見ていきましょう。
FW:ネットワークを対象とした攻撃しか防げない
FWは、ネットワークやシステムに対する不正アクセスの防御が主な役割です。ポートを制御したり、IPアドレス、ポート番号などを基に通信の許可・不許可を判断したりします。
WAFと違って通信内容までは検査しないため、SQLインジェクションやクロスサイトスクリプティングといった通信内容を偽装した攻撃を防御できません。また、企業ホームページは常時ポートを開くよう設定しているため、FWでポートを閉じることはできません。すなわち、不正な通信があったとしてもFWではこれを制御できないのです。
IPS:ソフトウェアやOSを対象とした攻撃しか防げない
IPSは、ソフトウェアやOSに対する不正アクセスの防御が主な役割です。外部からの通信内容をシグネチャを基に検査し、通信の許可・不許可を判断します。通信内容を検査できるためFWよりも防御対象が広く、ソフトウェア・OSの不正アクセス防御が可能です。
一方、IPSはSQLインジェクションといった攻撃を防げはしますが、WAFと比べると精度が劣ります。HTTPプロトコルやパラメータの名前や値といった詳細な通信内容までは解析できません。
それぞれを組み合わせることがおすすめ
WAFやFW、IPSでは、それぞれ防御範囲・対象が異なります。そして、それぞれのセキュリティツールを単体で導入しても、サイバー攻撃に太刀打ちできません。すなわち、WAF・FW・IPSを組み合わせた多層防御を構築することがセキュリティ対策の基本となります。
WAFの導入における注意点
WAFを導入する際の注意点を2つ解説します。
誤検知や誤遮断の発生リスク
WAFは、サイバー攻撃の手法を基にシグネチャやソフトウェアを定期的に更新していきます。その際、セキュリティレベルを高く設定し過ぎるとWAFが誤検知・誤遮断を起こす可能性が高くなります。正常な通信を攻撃だと見なし、遮断してしまうのです。こういった事象がWebサイト上で度重なると、ユーザーが煩わしく感じるかもしれません。
シグネチャやソフトウェアの更新には専門的な知識が求められます。適切なセキュリティレベルを見極められる技術者の設置をおすすめします。
導入費用だけでなく運用費用も発生
WAFはハードウェアの購入費用だけでなく、ネットワーク構成の変更といったコストがかかります。
導入後は、シグネチャやソフトウェアの更新などの運用費用も発生します。自社で運用するのであれば専任の技術者が、外部に委託するのであればその分の費用が必要です。また、専用のソフトウェアをインストールするタイプのWAFは、サーバ数が増えるとライセンス費用もかかります。利用規模に応じてコストがかかることを覚えておきましょう。
なお、クラウド型のWAFであれば運用をベンダーに一任できます。そのため、運用コストは削減できますが、ランニングコストがかかります。
Webのセキュリティ対策としてWAFの導入を検討しよう
WAFは、Webサイトへの攻撃を未然に防ぐだけでなく、事後対策としても役立ちます。また、FWはネットワークが、IPSはソフトウェア・OSが防御対象です。すなわち、それらのツールを組み合わせた多層防御がセキュリティ対策の基本となります。なお、WAFには誤検知・誤遮断の発生リスクがあること、また導入・運用費用が相応にかかることも覚えておきましょう。
以上に留意し、WAFの導入を前向きに検討しましょう。
