WAF導入前に見られる課題とは
WAFの導入効果を見る前に、まずはWAF導入前に見られる課題について確認していきましょう。さまざまな業務に活用できるWebアプリケーションですが、WAFを導入していない場合、以下のような問題が発生します。
- ●攻撃の不安からWebアプリケーションを利用できない
- ●禁止したWebアプリケーションが使われ続ける
- ●Webアプリケーションに対する攻撃の対策が追いつかない
それでは詳しくみていきましょう。
攻撃の不安からWebアプリケーションを活用できない
WAF導入前の課題の一つは、Webアプリケーションを有効活用できないという問題です。Webアプリケーションは、Webブラウザさえあればどこからでも利用できますが、これはつまり、ウイルス侵入できる入口を与えているということになります。
Webアプリケーションにはセキュリティ上の脆弱性があるため、便利であることを認識しながら利用できないという状態に陥っている企業もありました。
対応できない攻撃がある
従来のファイアウォールやIPSなどのセキュリティ製品では対応できない攻撃もたくさんあります。Webアプリケーションに対する攻撃はもちろんですが、そのほかにもSQLインジェクションやクロスサイトスクリプティングといった攻撃に対応することができません。
WAFとファイアウォール、IPS・IDSは似たセキュリティ製品でありながら、異なる役割を果たしています。それぞれの違いについて詳しく知りたい方は以下の記事をご覧ください。
また、以下の記事ではWAFとSQLインジェクション、クロスサイトスクリプティングとの関係について詳しく解説していますので、WAFで防げる攻撃についてさらに知りたいという方は参考にしてみてください。
攻撃された後の対応が遅れる
最後に、一般的なファイアウォールなどでは、Webアプリケーションへの攻撃が行われた際、効果的な対策がとれないことも大きな課題です。一般的なセキュリティ製品は事前対策にフォーカスしているものがほとんどで、事後対策については考えられていないことも多いのが現状になっています。
WAF導入前の課題については以下の記事でも詳しく解説していますので、参考にしてみてください。
WAF導入の効果とは
WAF導入前の課題について解説してきました。ここからは、このような課題を解決するWAFの導入効果について見ていきます。
効果1.Webアプリケーションを脆弱性をカバーできる
WAFを提供するベンダー企業ではWebアプリケーションに関する最新情報を収集しています。特に新たな脆弱性が発見されたときは、迅速にWAFに反映する体制も整備済みです。そのため、脆弱性を発見するとすぐに、そのポイントから攻撃を受けないよう対応できます。
効果2.Webアプリケーションに対する最新の攻撃に対応
WAFはWebアプリケーションに対するさまざまな攻撃を検出する仕様になっています。具体的にWAFは以下のような攻撃を防御可能です。
- ●バッファオーバーフロー
- ●クロスサイトスクリプティング
- ●SQLインジェクション
- ●DDoS攻撃
- ●ブルートフォースアタック(総当たり攻撃)
- ●ディレクトリトラバーサル
WAFはここにあげたような攻撃に対応可能なため、Webアプリケーションがもつ脆弱性をカバーできるものとなっています。
しかし逆に、ファイアウォールやIPS・IDSで防げても、WAFでは防げない攻撃もあります。以下の記事にはWAFで防げない攻撃を紹介していますので、万全なセキュリティ対策をおこなためにも、一度目を通しておくことをお勧めします。
効果3.攻撃への事後対策ができる
WAFは、サイバー攻撃が発生した際、それ以上の被害が出ないよう事後対策を行うことが可能です。当然、原因究明のための時間は必要になってきますが、それまでの応急処置としても利用できます。
WAFを利用してアプリケーションの安全性を確保しよう!
ここまでWAF未導入で生じる課題と導入効果について確認してきました。WAFはWebアプリケーションを利用する企業にとって欠かせないセキュリティ製品です。ただし、WAFの効果が出るのは、自社にあった製品を導入できた場合に限られます。
まずは自社に導入する目的を洗い出し、以下の記事や資料請求を通して自社にあった製品を探すところから初めて見てはいかがでしょうか。
