WAFのホワイトリスト方式とブラックリスト方式では何が違うの？

WAFとは?

WAF（ワフ）とは、「Web Application Firewall（ウェブアプリケーションファイアウォール）」の略で、Webアプリケーションへの不正な攻撃からWebサイトを保護するセキュリティ対策ツールです。特にWebアプリケーションの防御に特化しており、パターンのマッチングだけではなく、複雑・巧妙なサイバー攻撃にも対応できます。

WAFホワイトリスト方式とブラックリスト方式の違い

WAFのホワイトリスト方式とブラックリスト方式の違いは、検知方法です。具体的な違いについて見ていきましょう。

ホワイトリスト方式

ホワイトリスト方式は、あらかじめ定義された正当パターンに該当する通信を許可する方式です。具体的には害のない安全な通信パターンを定義し、他の通信はすべてブロックします。

ホワイトリスト方式は定義した通信以外を遮断するため、攻撃パターンが変化してもリストの更新は必要ありません。また自動化された動的なホワイトリスト作成機能を利用すれば、管理コストを削減しつつ、強固な防衛体制で運用が可能です。

ホワイトリスト方式のメリット

ホワイトリスト方式のメリットは、不正アクセスを確実に遮断できる点です。許可する通信のみを定義しているため、不正なアクセスはその定義に一致することはありません。

ホワイトリスト方式のデメリット

ホワイトリスト方式のデメリットは、事前に定義しておかなければ、正常なアクセスもブロックされてしまう点です。場合によっては、業務がストップしてしまう可能性もあるでしょう。

ブラックリスト方式

「ブラックリスト」は、あらかじめ定義された不正パターンに該当する通信を検知・防御します。具体的にはシグネチャと呼ばれる定義された不正パターンのリストと通信を照合し、一致した通信をブロックします。

Webアプリケーションに対して常に新しい攻撃手法が生み出されているため、企業側は最新の対策を講じなければなりません。その点、WAFはシグネチャ更新機能により、最新の状態で攻撃を検出できます。

ブラックリスト方式のメリット

ブラックリスト方式のメリットは、ホワイトリスト方式とは逆に、正常なアクセスを妨げない点にあります。チューニングの強度によっては誤検知が発生する場合もありますが、誤検知は事前の設定で防げます。

ブラックリスト方式のデメリット

ブラックリスト方式の最大のデメリットは、新たな攻撃を通してしまう点です。とはいえ、WAFには事後対策の機能が備わっており、攻撃に対して被害を最小限に抑えられます。

ホワイトリスト方式とブラックリスト方式、どちらを選ぶ？

ホワイトリスト方式とブラックリスト方式それぞれの特徴を踏まえたうえで、どちらを選べばよいのでしょうか。

近年、Webアプリケーションは目まぐるしい変化に対応するため、次々にバージョンアップが進んでいます。そのため、Web通信の更新も当然早いペースで進む傾向にあるでしょう。

これらの背景により、許可する通信を更新しなければならないホワイトリスト方式よりも、異常が発生した場合にのみシグネチャを更新すればよいブラックリスト方式が一般的となっています。もちろん業種やサービスの更新頻度などによってはホワイトリスト方式という選択もありますが、現状中心となっているのはブラックリスト方式です。

なお、WAFを効果的に運用するには、検知方式を気にするだけでは不十分です。以下の記事では運用のコツを詳しく解説しているので、ぜひ参考にしてみてください。

WAFの防御範囲

WAFはファイアウォールやIPSといったセキュリティ製品では防げない攻撃に対応しています。具体的に、WAFはどのような攻撃に対応しているのでしょうか。

SQLインジェクション

Webアプリケーションの脆弱性を突き、データを不正に操作する攻撃です。被害事例として、データの改ざんや情報漏えい、不正ログインなどが挙げられます。

以下の記事では、SQLインジェクション攻撃について詳しく解説しています。SQLインジェクション攻撃の仕組みや被害事例について理解を深めたい方は参考にしてください。

XXS（クロスサイトスクリプティング）攻撃

Webサイトの脆弱性を突き、ユーザーを悪質なサイトに誘導するスクリプトを埋め込むことで、個人情報などを詐取する攻撃手法です。

Webサイト側に被害はなく、Webサイトを閲覧していたユーザーが被害にあってしまいます。

以下の記事では、XXS攻撃とその対策について解説しています。

パスワードリスト攻撃

不正に入手したID・パスワードのリストをもとに、不正アクセスを行うサイバー攻撃です。複数のWebサービスで同じパスワード・IDを使用することで、被害に遭いやすいでしょう。そのためパスワードを使い回さない、二段階認証を利用するなどの対策が求められます。

以下の記事では、WAFでパスワードリスト攻撃を防ぐ方法について解説しています。

WAFの種類とは

WAFには、大きく分けて3種類存在します。それぞれのメリット・デメリットについて解説します。

ホスト型WAF(ソフトウェア)

すでに存在するWebサイトに、ソフトをインストールする方法です。

■メリット

• ・安価(台数が少ない場合)
• ・設置するスペースいらず

■デメリット

• ・Webサーバーの環境に依存する

ゲートウェイ型WAF(ハードウェア)

ネットワーク機器として新たに設置します。

■メリット

• ・安価(台数が多い場合)
• ・Webサーバーの環境に依存しない

■デメリット

• ・ネットワークの構成によっては導入不可
• ・設置するスペースを確保する必要あり

クラウド型WAF(サービス)

サービスとしてクラウドなどで提供されている WAF を利用します。

■メリット

• ・ネットワークの構成を変更する必要なし
• ・導入コストが安価

■デメリット

• ・運用コストが高価

クラウド型は現在WAFの導入において、最も一般的な提供形態です。以下の記事では、クラウド型WAFの特徴について解説しています。

他のセキュリティソフトとの違い

ここでは、WAF登場以前からあるセキュリティツールとの違いについて解説します。

ファイアウォールとの違いは検知範囲

ファイアウォールは、送信元情報と送信先情報（IPアドレス、ポート番号ほか）を元にネットワークレベルで防御を行うことに特化しています。例えると、ネットワーク同士の境界に関所を設け、通信をチェックすることで攻撃を防ぎます。通常、通信可能になった中身までは追うことができませんが、WAFでは中身まで検知できるのが特長です。

WAFとファイアウォールの違いについてさらに詳しく知りたい方は、以下の記事を参考にしてみてください。

IPSとの違いは検知対象

IPSは「不正侵入防止システム」とも呼ばれ、プラットフォームレイヤーからネットワーク・Webシステム・Webサーバへの不正アクセスを防御します。通信の中身を含む全体を解析し、悪意のある通信の防御を自動的に行います。ただしメール添付などのファイルに関しては解析できません。一方でWAFはWebアプリケーションを主な防御対象としています。

IPSについて詳しく知りたい方は、以下の記事を参考にしてみてください。

WAFで防げることを正しく認識しよう！

WAFには２種類の検知方法があり、それぞれに特徴があることはご理解いただけたでしょうか。自社にあったWAFを見つけるためにも、まずは資料請求を行い、製品についての理解を深めましょう。