WAFを導入することで解決可能な課題

WAF導入前に見られる課題

さまざまな業務に活用できるWebアプリケーションですがWAF（Web Application Firewall)を導入していない場合、以下のような問題が発生します。

• 攻撃の不安からWebアプリケーションを利用できない
• 禁止したWebアプリケーションが使われ続ける
• Webアプリケーションに対する攻撃の対策が追いつかない

■攻撃の不安からWebアプリケーションを利用できない

Webアプリケーションは、Webブラウザさえあればどこからでも利用できます。しかし、これはだれでも「情報の入り口」であるサーバにアクセス可能であることを意味します。このため、バッファオーバフローなどを利用してWebアプリケーションを狙う攻撃が存在しています。

こういった攻撃による情報漏洩を懸念して、Webアプリケーションが便利であることを認識しつつも、利用を禁止している場合があります。

■禁止したWebアプリケーションが使われ続けている

「Webアプリケーションを禁止したが、企業内での利用が続き対策に頭を悩ませている」という問題があります。社外でも業務を効率的に遂行するには、Webアプリケーションの利用がもっとも効果的だからです。Webメールを業務に活用していた場合、あとからできた禁止のルールが浸透しない、というケースも考えられます。

■Webアプリケーションに対する攻撃の対策が追いつかない

一般的なセキュリティ対策のみを実施している企業では、Webアプリケーションを導入したが追加のセキュリティ対策に迫られている、というケースもあります。これは、一般的なファイアウォールなど通常の対策は、Webアプリケーションへの攻撃にあまり効果的でないことが原因です。

また、Webアプリケーションに対する攻撃は、日々変化しているのが現状です。新しい攻撃方法が発生する都度自社で対応するとなると、莫大な開発コストがかかってしまいます。

こういった問題は、WAFの導入で解決できます。WAFが具体的にどのような機能を持っているのか、紹介していきます。

WAFの導入メリット

導入メリット1.Webアプリケーションの安全性を確保できる

WAFはWebアプリケーションに対するさまざまな攻撃を検出する仕様になっています。WAFは以下のような攻撃を防御します。

• バッファオーバーフロー
• クロスサイトスクリプティング
• SQLインジェクション
• DDoS攻撃
• ブルートフォースアタック（総当たり攻撃）
• ディレクトリトラバーサル

ブルートフォースアタックはパスワードなどを総当たりで入力して侵入する攻撃、ディレクトリトラバーサルはファイル指定時に想定されていないディレクトリにアクセスする攻撃です。こういった単純なファイアウォールでは防げない攻撃も、WAFなら検出することが可能で、システムへの侵入を防ぐことができます。

導入メリット2.Webアプリケーションに対する最新の攻撃に対応

WAFを提供する企業では、Webアプリケーションの最新情報を収集しています。新たな脆弱性が発見されたときは、迅速にWAFに反映する体制も整備済みです。自社で開発コストや更新などの管理コストをかける必要はありません。

導入メリット3.アプリケーションを選択して利用可能に

WAFには許可したWebアプリケーションのみを動作させらされる仕組みが用意されています。業務に必要なWebメールを使用可能にしておき、不要なゲームなどは遮断して使用不能にする、といった運用も安全に行なえます。

導入メリット4.さまざまな形態で提供

WAFの提供形態は、オンプレミス、アプライアンス、クラウド、パッケージなどです。いよいよマイナンバー制度がスタートしたことで、企業には十二分な個人情報保護の対策が求められています。

まずは詳細な資料や製品の試用によって、導入の検討を開始してみましょう。