- 会員限定
- 2021/08/13 掲載
WAFとは何かを専門家がわかりやすく解説、主要11社比較、導入メリットや他対策との違いを解説
記事をお気に入りリストに登録することができます。
WAF(Web Application Firewall:ワフ)とは、その名の通りサイバー攻撃からWebサイトを防御するセキュリティソフトウェアの一種だ。ただ、他のセキュリティ対策であるファイアウォールやIPS/IDS(不正侵入検知・防御システム)と混同しやすく、わかりにくい面もある。本稿では、AkamaiやImpervaといった国内外のWAFの主要製品11社を紹介するとともに、WAFの役割とその仕組み、他のセキュリティ対策との違いを図解しつつ、WAFで防御できるサイバー攻撃の種類やWAFの種類について、S&J 取締役コンサルティング事業部長 上原 孝之氏監修のもと解説する。
2017年5月より、神奈川県警察CSIRTアドバイザーを兼務。リクルートにて、メインフレーム系システムの設計・開発、マシンセンター運用・管理等に携わった後、1994年に株式会社ラックへ。オープン系システムの設計・開発業務を経て、1996年より同社の情報セキュリティ関連サービス事業の立ち上げ、推進に携わる。2000年より、マネジメントコンサルティング部門の責任者として、情報セキュリティポリシー策定、リスクアセスメント、情報セキュリティ監査等のサービスを主導する傍ら、執筆、講演活動を通じて国内の情報セキュリティ人材の育成に注力する。2015年より、S&Jにて、企業や公共機関等におけるサイバーセキュリティ強化、インシデント対応等に関するコンサルティング業務に従事。2017年5月より、神奈川県警察CSIRTアドバイザーを兼務。
S&J
サイバー攻撃対策システムの開発及び運用、サイバー攻撃監視やセキュリティ診断、コンサルティング、インシデント対応など、お客さまのニーズに応えることができる"最適なセキュリティサービス"を提供している。
https://www.sandj.co.jp/
WAFとは何か
WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙ったサイバー攻撃からWebサイトを防御する有効なセキュリティ対策の一つ。ネットワークからWebサイトへ送られてくる通信を解析、「攻撃」と判断した場合はその通信を遮断する。Webサイトの中でも、ユーザーからの入力を受け付けたり、リクエストに応じて動的にページを生成したりするサイトの保護に適した対策方法として知られる。Webアプリケーションの脆弱性は、サイバー攻撃を受けやすい。Webアプリケーションの開発時に脆弱性対策を行い、脆弱性診断も実施して問題部分の洗い出しと対策を確実に行うことで、サイバー攻撃を防御できる。しかし、Webアプリケーションを支えるミドルウェア(ApacheやStrutsなど)に脆弱性が発見された場合や、何らかの事情ですぐに脆弱性対策を行えないWebアプリケーションがある場合など、脆弱性を突かれる「スキ」は100%防げるとは言い切れない。ECサイトなどのようにユーザーからの入力を受け付けるWebサイトを運営する場合、WAFは有効なセキュリティ対策の1つである。
ファイアウォールやIPS/IDSとの違い
WAFは、ファイアウォールやIPS/IDS(不正侵入検知/防御システム)とは防御する層が異なる。その違いは以下の図の通りだ。
ファイアウォールは、ネットワーク層でのセキュリティ対策だ。送信元のIPアドレスやポート番号などを確認して不正な通信を遮断する。しかし、正常なポート番号を通過した通信の内容までは確認しない。
一方、IPS/IDSは、プラットフォームレベルのサイバー攻撃に対応するセキュリティ対策だ。OSやミドルウェアの脆弱性を悪用した攻撃やファイル共有サービスへの攻撃などはIPS/IDSの対応範囲である。
そしてWAFは、ネットワーク層やプラットフォームレベルのセキュリティ対策をくぐり抜け、アプリケーション層にまで達したサイバー攻撃に対処。Webアプリケーションの通信内容をチェックして、整合性の取れたデータが送信されているかどうかチェックする。
このように、ファイアウォール・IPS/IDS・WAFはそれぞれに守備範囲が異なる。攻撃の種類が多様化・巧妙化する昨今、セキュリティを高めるためには多層防御が求められることから、それぞれの対策を組み合わせる必要がある。
WAFの導入メリット4点
WAFの導入メリットは、次の4点だ。順番に解説しよう。Webアプリケーションへの攻撃を防御できる
Webサイトは、常に外部に公開されているためサイバー攻撃にさらされやすい。ECサイトやインターネットバンキングなど、特にお金に絡むWebサイトは、常に攻撃の危険が付きまとう。
Webアプリケーションの脆弱性に対する攻撃を防御するセキュリティ製品は、WAFが適している。ファイアウォールやIDS/IPSなど他のセキュリティ対策では防御できない部分をガードできる点は、WAFを導入する最大のメリットだ。
脆弱性の修正が困難な場合の暫定対策
Webアプリケーションの脆弱性と対策方法は、そもそも開発時に脆弱性対策を行うことがもっとも重要である。しかし、脆弱性が残ってしまう場合は、脆弱性発見後に修正モジュールを組み入れるなどして対応する。しかし、状況によっては、Webアプリケーションの脆弱性をすぐに修正できない場合もある。そのような場合の暫定対策としてもWAFは利用可能だ。
「自社のWebサイトは、常に脆弱性対策をしているから大丈夫」と思っていても、油断はできない。現在は脆弱性がなくても、ミドルウェアに未知の脆弱性が見つかるリスクをゼロにすることは難しい。発見されたミドルウェアの脆弱性はすぐに拡散され、「ゼロデイ攻撃」の標的になり得る。
脆弱性対策の均質化による運用負荷の軽減
複数のWebサイトを運営している場合や、複数の会社がWebアプリケーションを開発している場合、各Webサイトで脆弱性対策の品質にばらつきが出る可能性がある。WAFを導入すれば、脆弱性対策にばらつきがあっても、関係なく同じレベルで複数のWebサイトをある程度防御することは可能だ。ただ、WAFでも防御できない脆弱性もあるため、本来はセキュアなWebアプリケーションを開発するための基準や手順を整備し、開発会社による品質のばらつきを防ぐよう留意したい。
サイバー攻撃を受けた際の緊急対応にも使える場合がある
サイバー攻撃を受けた場合の緊急対策としてもWAFは役に立つ。サイバー攻撃を受けてから改修が完了するまでWebサイトを停止していると、販売機会の喪失など、さまざまな弊害が起こりかねない。しかし、その脆弱性に対する攻撃がWAFで防げることが確実な場合は、WAFを暫定対策として導入することで、被害の拡大を防ぎ、より早いWebサイト復旧をサポートすることができる。
WAFの主要ベンダー11社とは
WAFのソリューションを手がけるベンダーは数多くいるが、米ガートナーの「Magic Quadrant for Web Application Firewalls」によれば、以下のような企業が主要企業となる。| ポジション | ベンダー名 |
| リーダー | Akamai |
| Imperva | |
| ヴィジョナリー | Radware |
| Signal Sciences | |
| チャレンジャー | Cloudflare |
| F5 | |
| Fortinet | |
| Barracuda | |
| ニッチプレイヤー | Amazon Web Services |
| Microsoft |
なお、なお、ミック経済研究所が調査した「国内クラウド型WAF市場のベンダー別売上金額」によれば、日本国内ではセキュアスカイ・テクノロジーの「Scutum」がシェアトップだった。
【次ページ】WAFで防御できるサイバー攻撃の種類
関連タグ
関連コンテンツ
あなたの投稿
PR
PR
PR
