WAFにおけるホワイトリスト方式とブラックリスト方式とは

WAFとは?

WAFとは、従来のファイアウォールやIPSでは防御することができずに、すり抜けてきた攻撃を防ぐことができるものです。特にWebアプリケーションの防御に特化しており、パターンのマッチングだけではなく、複雑・巧妙なサイバー攻撃にも対応可能です。特に通信の中身を完全に把握し、複数の検知システムで対応することができます。

WAFの検知方法とは

WAFの検知方法に関しては「ブラックリスト」と「ホワイトリスト」があります。ここではそれぞれの検知方法の違いについて解説していきます。

ブラックリスト方式

「ブラックリスト」は、あらかじめ定義された不正パターンに該当する通信を検知・防御します。具体的にはシグネチャと呼ばれる定義された不正パターンのリストと通信を照合し、一致した通信をブロックします。

Webアプリケーションに対しては常に新しい攻撃手法が生み出され、企業のサーバが攻撃対象になっています。このためWAFではシグネチャ更新機能により、常に最新の状態で攻撃を検出できるようになっています。

ホワイトリスト方式

ホワイトリスト」は、あらかじめ定義された正当パターンに該当する通信を許可します。具体的には害のない安全な通信パターンを定義し、他の通信はすべてブロックします。

ホワイトリスト方式は定義した通信以外を遮断するため、攻撃パターンが変化してもリストの更新を必要にすることはありません。また自動化された動的なホワイトリスト作成機能を利用すれば、管理コストを削減しつつ、強固な防衛体制で運用することが可能です。

WAFの防御範囲とは

もしWAFを導入しておらず攻撃を受けてしまうと、個人情報の流出・長期的なWebサイトの閉鎖・社会的信用の欠落などといった被害が考えられます。

また被害状況の把握・問い合わせ窓口の設置・Webサイトの修繕などにコスト・時間が非常にかかる恐れもあります。では、具体的にどのような攻撃を防御の対象にしているのかについて説明していきます。

SQLインジェクション

ウェブのセキュリティの脆弱なところを突き、データを不正に操作される攻撃です。操作される攻撃例をあげると、Webサイトの改ざん・アカウント漏洩・クレジットカード番号の流出につながります。

また以下の記事ではSQLインジェクション攻撃について詳しく解説しています。SQLインジェクション攻撃の仕組みや被害事例について理解を深めたい方は参考にしてください。

▼SQLインジェクションについて詳しく知ろう！
参考記事：WAFによるSQLインジェクション攻撃対策とは｜被害事例も解説！

XXS（クロスサイトスクリプティング）攻撃

ユーザーが「悪意のある Web サイト」を閲覧してしまい、地雷のような形で不正なプログラムを埋め込まれてしまいます。その後「セキュリティが甘いWebサイト」を閲覧した際に、初めてユーザー側で不正プログラムが働きます。

その結果、ユーザーの個人情報が盗み出されたり、PC上のファイルが破壊されたりします。つまり、Webサイト側に被害はなく、Webサイトを閲覧していたユーザーが被害にあってしまうのです。

また以下の記事ではXXS攻撃とその対策について解説しているので参考にしてください。

▼XXS攻撃について詳しく知ろう！
参考記事：WAFによるXSS（クロスサイトスクリプティング）攻撃の対策とは

パスワードリスト攻撃

複数回あらゆるパターンを入力され、パスワード・IDを特定されてしまう攻撃です。もし別Webサイトでも同じパスワード・IDを使用していた場合、被害拡大につながってしまう恐れがあります。また、似たようなパスワード・IDを使用していた場合、ログインを何度もトライすることで、カード番号・住所・名前などの情報を奪われてしまいます。

WAFの種類とは

WAFには、大きく分けて3種類存在します。ここでは、それぞれのメリット・デメリットについて解説していきます。

ホスト型WAF(ソフトウェア)

すでに存在するWebサイトに、ソフトをインストールする方法です。

■メリット

• ・安価(台数が少ない場合)
• ・設置するスペースいらず

■デメリット

• ・Webサーバーの環境に依存する

ゲートウェイ型WAF(ハードウェア)

ネットワーク機器として新たに設置します。

■メリット

• ・安価(台数が多い場合)
• ・Webサーバーの環境に依存しない

■デメリット

• ・ネットワークの構成によっては導入不可
• ・設置するスペースを確保する必要あり

クラウド型WAF(サービス)

サービスとしてクラウドなどで提供されている WAF を利用します。

■メリット

• ・ネットワークの構成を変更する必要なし
• ・導入コストが安価

■デメリット

• ・運用コストが高価

他のセキュリティソフトとの違い

サイバー攻撃はいくつもあり、それぞれに適したセキュリティ対策が必要になります。では、WAF登場以前からあるセキュリティツールを簡単にご紹介します。

ファイアウォールとの違いは検知範囲

ポート番号とIPアドレスからOSやネットワークを防御します。つまり、アクセスの制御です。例えると、ネットワークの同士の境界に関所を設け、通信をチェックすることで攻撃を防ぎます。通常、通信可能になった中身までは追うことができませんが、WAFでは中身まで検知します。

IPSとの違いは検知対象

IPSはプラットフォームレイヤーからネットワーク・Webシステム・Webサーバーを防御します。つまり、サイバー攻撃の検知・防御です。通信の中身を含む全体を解析し、悪意のある通信の防御を自動的に行います。ただしメール添付などのファイルに関しては解析することができません。一方でWAFの場合は、危険なオブジェクトは閲覧できません。

WAFで防げることを正しく認識しよう！

WAFに関しての理解は深まりましたでしょうか。WAFは、Webサイトの安全を確保するためには、なくてはならない存在になりました。ファイアウォールやIPSとは異なるネットワークレベルでサイバー攻撃を防ぐため、WAFだけでは安全を確保できないということを認識していてください。