セキュリティ強化のために知っておきたいWAF

ファイアウォールやIDS・IPSだけでは防ぎきれない

ファイアウォールやIDS・IPSでは防げない不正な攻撃が相次いでおり、被害に遭ったケースの中には、Webサイトの改ざんや不正アクセスによる社内機密の漏洩などがあり、Webサイトのセキュリティ強化はおろそかにできない状況になっています。

その中でも、Webアプリケーションに特化したセキュリティシステムがWAFと呼ばれるものです。年々、複雑化しているWebアプリケーションの脆弱性を狙った不正な攻撃に対応するのは、多くの企業にとって急務と言えるでしょう。

コストを抑えながらも、必要なWebアプリケーションの保護を行うためにはWAFの導入が欠かせません。ファイアウォールはイントラネットと外部ネットワークの中継地点に設置し、ネットワークを保護する機能を有しています。また、IDS・IPSはOSとサーバーを保護しており、WAFはWebアプリケーションに特化したセキュリティシステムなのです。

インターネットを使ったマーケティング手法が一般化する中、ほとんどの企業がインターネットを利用しています。Webアプリケーションの脆弱性を狙った不正アクセスには、ファイアーウォールやIDS・IPSでは対処することができないのです。

WAFには2種類ある

WAFは、ソフトウェア型とハードウェア型の2種類に大分されます。ソフトウェア型は、WebサーバーやOSに幅広く対応しており、既存のサーバーに導入することで運用することができます。加えて、シグニチャ更新時の再起動も不要なため、汎用性に富んだ製品と言えるでしょう。

一方で、ハードウェア型はWebサーバーに拠らず、ファイアウォールの設定の見直しやネットワークの再構成などが必要となります。また、シグニチャ更新時の再起動も必要なため、専門的な担当者を抱えている企業であれば、自社に最適の設定を行うことができるでしょう。

アクセス可否の設定方法

WAFのアクセスの可否の設定方法は、ブラックリスト式とホワイトリスト式の2種類があります。ブラックリスト式は、WAFを通過させないものを設定することで、セキュリティ機能を果たします。また、WAFベンダから提供され、更新サービスも提供されるため、設定項目作成のコストを削減し、最新の保護を受けることが可能です。

一方、ホワイトリスト式は、WAFを通すものを設定します。ユーザー自身でパラメーターなどを設定し、設定項目の作成に時間を要しますが、専門のセクションを有する企業であれば、自社に最適の設定を行うことでより強固なセキュリティを構築することも可能です。

今後ますます必要になるWAF

WAFは、Webアプリケーションに焦点を当てたセキュリティシステムです。ブロック機能や、モニタリング機能、ログ機能、シグネチャ機能、ソフトウェアの自動更新、指定したURLの設定からの除外、SSL通信による暗号化など、ネットワークセキュリティを向上させる豊富な機能を備えています。

WAFを導入する目的は、外部ネットワークからの侵入を防ぐことにあります。Webアプリケーションを常に監視し、その動きを詳細に管理することで、強固なセキュリティを実現するのです。

また、WAFはWeb（http、https）を保護し、Webアプリケーションに特化しているため、不正検知の精度は極めて高いのが特徴です。ドッグイヤーという、猛烈な速度で進化を遂げているのはインターネットだけではありません。

それに比例して、不正アクセアスの手口も巧妙かつ悪質で、気がつきにくいものに日々進化しています。WAFを導入することで、自社のネットワークセキュリティを万全に保つことが可能となります。