サイト内の現在位置

WAF(Webアプリケーションファイアウォール)とは?
仕組みや導入メリットについて解説

WAF(Webアプリケーションファイアウォール)とは? 仕組みや導入メリットについて解説

Webアプリケーションファイアウォール(WAF:ワフ)は、Webアプリケーションの脆弱性を狙った攻撃を防ぐための専用ツールです。この記事では、WAFの概要や役割、仕組みや必要性といったWAFについての基本を解説。さらにWAFの機能やWAF導入を検討すべき組織、WAFで対応できる攻撃、WAFの種類や検知ロジック、導入前に検討したい注意点などを取り上げます。

WAF(Webアプリケーションファイアウォール)とは?分かりやすく説明

WAFは、Web Application Firewall(ウェブ アプリケーション ファイアウォール)の略で、「ワフ」と呼ばれます。その名前のとおり、Webアプリケーションの脆弱性を狙った攻撃を防ぐためのセキュリティツールです。

オンラインショッピングやネットバンキング、さまざまなマッチングサービスや会員サービスなど、多種多様なサービスがWeb上で提供されています。このようなサービスを実現しているのが、さまざまなWebアプリケーション。サービスの高度化・多様化とともに、Webアプリケーションは高度化・精緻化し、思わぬ脆弱性が潜んでいることがあり、攻撃者のターゲットとなってしまうことがあります。

Webアプリケーションファイアウォールは、顧客の個人情報やクレジットカード情報といった重要なデータを不正な攻撃から守り、安全で高品質なサービスを提供するために不可欠になっています。

IPS/IDSとの違いについて

IPS(Intrusion Prevention System)は「不正侵入防止システム」の略、IDS(Intrusion Detection System)は「不正侵入検知システム」の略です。さきほどの3つの仕組みで考えると、2番目のサーバレベルでのセキュリティ対策を行うハードウェア、あるいはソフトウェアのことです。

Webサーバでは、サーバOSやさまざまなミドルウェアが動いていますが、攻撃者はOSやミドルウェアの脆弱性を狙って攻撃を仕掛けます。IPSは攻撃者による不正な通信を監視し、アクセスをブロックします。一方、IDSは不正なアクセスやその兆候を検知して、管理者などに通知します。IDSが検知した攻撃を、IPSがブロックするわけです。IPSとIDSは、OSやミドルウェアを外部からの攻撃から守るために連携して機能します。

SSL証明書との違いについて

SSLは「Secure Sockets Layer」の略で、WebサーバとWebブラウザの間の通信を暗号化する技術をいいます。以前は個人情報を送信するフォームなどに利用されていましたが、今ではSSL証明書を利用していないWebサイトにアクセスするとブラウザが警告を出すようになっており、実質、SSL導入は当たり前のことになっています。

SSLは古い技術で、すでにTLS(Transport Layer Security)という新しい技術が使われていますが、慣例的に今でもSSLと呼ばれています。
SSLは、通信を暗号化できますが、不正な通信も暗号化してしまい、Webアプリケーションファイアウォールが不正な通信を検知できなくなることがあります。Webアプリケーションファイアウォールの導入にあたっては、SSLに対する注意が必要です。

ファイアウォールとの違いについて

Webアプリケーションファイアウォールとファイアウォールの違いは、Webアプリケーションが動く仕組みを考えると、理解しやすいでしょう。Webアプリケーションが動く仕組みは、大きく3つにわけて考えることができます。まずインフラであるネットワーク、次にネットワーク上に置かれたサーバ、そしてサーバ上に構築されたWebアプリケーションです。

ファイアフォールは、インフラとなるネットワークでのセキュリティを維持するためのツールです。ネットワークレベルでの不正な攻撃から、内部ネットワークを守るための「防火壁」のような役割を果たすため、ファイアウォールと呼ばれています。オンラインサービスやWebサービスを展開するときに、セキュリティ対策の第一歩となるのがファイアウォールです。

WAFの役割について

WAF(Webアプリケーションファイアウォール)の役割は、オンラインショッピング、ネットバンキングなど、Web上のさまざまなサービスを実現しているWebアプリケーションを、悪意を持った第三者の攻撃から守ることです。Webアプリケーションが動く仕組みと、ファイアウォール、IPS/IDSの違いを見てきましたが、それはそのままWebやWebサービス、Webビジネスの歩みに重なります。

もともとWebは情報共有の手段として誕生しました。ネット上のサーバに置かれているテキスト情報をブラウザを使って読むことから始まり、その際、セキュリティのためには外部から内部のネットワークに侵入できないようにしておくことが重要でした。その役割を担ったのがファイアウォールです。

そしてテクノロジーの進化とともに、静的な情報提供だけではく、データベースと連動した動的な情報提供が可能になり、Webサーバ、データベースと連動させるためのミドルウェアなどの重要性が大きくなりました。さらにWebサーバ上でさまざまなアプリケーションを動かし、より高度で精緻なサービスやビジネスが提供されるようになりました。それが現在の状況です。

テクノロジーやサービス、ビジネスの進化とともに、それを狙う悪意を持った第三者の攻撃スキルや技術も進化し、ファイアウォールだけでなく、IPS/IDS、そしてWebアプリケーションファイアウォールが登場。
Webアプリケーションの脆弱性を狙う攻撃者から、Webアプリケーションを守ることで、ユーザの個人情報といった具体的な財産はもちろん、企業の評判や信頼を守る。それがWebアプリケーションファイアウォールの役割です。

WAFの仕組みについて

WAF(Webアプリケーションファイアウォール)とは? 仕組みや導入メリットについて解説

Webアプリケーションファイアウォールは、攻撃を防ぐために「シグネチャ」を用います。シグネチャとは、簡単にいえば、攻撃者による不正アクセスのパターンをリスト化し、まとめたものです。Webアプリケーションに送られてくるさまざまなアクセスをシグネチャと照合し、アクセスを許可するか、遮断するかを判断することで、Webアプリケーションを攻撃から守ります。

シグネチャには、アクセスパターンを記載する方法の違いによって「ブラックリスト方式」と「ホワイトリスト方式」の2種類があります。それぞれその仕組みを見ていきましょう。

ブラックリスト型の仕組み

ブラックリスト型は、すでに知られている攻撃パターンをシグネチャに記載し、一致するアクセスを拒否することで攻撃を防ぐ仕組みです。既知の攻撃を確実に防ぐことができますが、一方で変化した攻撃、新しい未知の攻撃には対応できないというデメリットがあります。また、攻撃を防ぐためにはシグネチャを定期的にアップデートすることが不可欠です。
最近ではクラウドを介してWAFを提供する事業者も登場しており、サービス提供者がシグネチャを定期的に更新してくれるため、常に最新の状況で利用できるというメリットがあります。

ホワイトリスト型の仕組み

ホワイトリスト型は、ブラックリスト型とは逆に、許可するアクセスをシグネチャに記載し、一致しないアクセスを拒否することで攻撃を防ぐ仕組みです。ブラックリスト型とは違って、未知の攻撃にも対応できるというメリットがあります。
しかし一方で、許可するアクセスをすべて、漏れなく定義する必要があり、記載が漏れていると正規ユーザなのにアクセスできないという状況が生まれます。

WAFを導入するメリットや必要性とは?

Webアプリケーションファイアウォールは、ファイアウォールやIPS/IDSではカバーできないWebアプリケーションの脆弱性に対する攻撃を防ぐためのツール。ネットワークレベルのセキュリティにはファイアウォール、サーバレベルのセキュリティにはIPS/IDS、そしてWebアプリケーションレベルのセキュリティにはWebアプリケーションファイアウォールが必要であり、3つのセキュリティ対策が揃ってはじめて、顧客や取引先などに提供しているWebサービスやWebビジネスの安全性・信頼性を守ることができます。

またWebアプリケーションはますます高度化・精緻化しています。十分に安全性をチェックしていても、脆弱性を見逃してしまう可能性があります。さらにWebアプリケーションは自社で開発したものだけで展開するのではなく、他社のWebアプリケーションと連携してサービスを提供するケースが多くなっています。そうした場合、特に連携部分に脆弱性が生まれてしまうことがあります。

一方、攻撃者のスキルや手法も高度化・巧妙化しており、新たな攻撃手法が次々と登場しています。現時点では安全なWebアプリケーションでも、明日には新しい攻撃手法が登場し、攻撃対象となってしまう可能性があります。

さらに万一、脆弱性が見つかった場合、高度化・精緻化しているWebアプリケーションを改修することは、簡単なことではありません。多くのユーザが利用しているサービスであれば、いつ、どのように改修作業を行うかも難しい検討事項です。Webアプリケーションファイアウォールを導入していれば、Webアプリケーション自体の脆弱性への対応には一定の時間がかかるとしても、Webアプリケーションファイアウォール側で脆弱性に対する対応策を取ることができます。

WAFの主な機能

機能①通信監視・通信制御

WAFの基本機能となるのが、通信の監視と制御です。WAFは常にWebアプリケーションに送られてくる通信を監視し、シグネチャをもとにアクセスを許可するか、しないかを決定し、通信を制御します。
ブラックリスト型は、シグネチャに記載された攻撃パターンと一致する通信を拒否することで攻撃を防ぎます。
ホワイトリスト型は、シグネチャに記載された情報と一致する通信のみを許可することで、Webアプリケーションを攻撃から守ります。

機能②特定URL除外、IPアドレス拒否

WAFは、基本的にWebアプリケーションへの通信をすべて監視しているため、通信のパフォーマンスが落ちてしまうことがあります。外部のWebアプリケーションと連携してサービスを提供する場合、安全性が担保されているURL(=監視する必要のないURL)については、監視対象から除外することができます。逆に、不正アクセスなどの攻撃源として特定されているIPアドレスは、通信を監視する以前に該当のIPアドレスからのアクセスそのものを拒否できます。
これらの機能をうまく使えば、通信パフォーマンスの低下を最低限に抑えることができます。

機能③Cookie保護

Webブラウザの閲覧先や閲覧履歴などを記録しているCookie(クッキー)を保護する機能もWAFは備えています。不正アクセスなどのサイバー攻撃には、Cookieを狙うものも多く、不正に入手したCookieを使って、正規のユーザになりすましてアクセスしてくる場合があります。
WAFはこうしたCookieの不正入手を防ぐほか、万一、攻撃者がCookieを不正に入手して、正規ユーザになりすましてアクセスしてきた場合にも、Webアプリケーションを攻撃から守ります。

機能④シグネチャの自動更新

ブラックリスト型のシグネチャを利用するWAFでは、シグネチャを定期的に更新し、常に最新状況に対応したものにしておくことが不可欠です。WAFは提供形態に応じて、アプライアンス型、ホスト型、クラウド型がありますが(詳細は後述)、クラウド型なら、WAFサービス提供者がシグネチャを定期的に更新するため、更新作業の手間を省くことができます。
新しい攻撃手法が登場した際にも、短期間での対応が可能です。

機能⑤ログ・レポート

WAFによって検出された不正なアクセスやサイバー攻撃は、ログで確認することができます。また収集したログをもとに、攻撃元や攻撃パターン、アクセス数などを統計データとしてまとめるレポート機能を備えたWAFもあります。
収集したログやレポート機能を活用して、セキュリティ対策の改善や強化を進めることができます。

WAFがおすすめな組織の特徴

Webアプリケーションを使ったWebシステムを業務で利用していたり、ユーザにサービスを提供している場合、WAFの導入は必須です。Webアプリケーションに対する攻撃は、ファイアウォール、IPS/IDSでは防ぐことはできません。

具体的には、Webベースの基幹システムを構築し、取引先などとデータをやりとりしている企業、オンラインショッピングサイトを運営している企業、課金制のゲームやマッチングサービスなどユーザの個人情報を扱う企業などは、Webアプリケーションファイアウォールの導入は必須でしょう。

現在、不正アクセスやサイバー攻撃の多くは、Webアプリケーションの脆弱性を狙ったものになっており、攻撃者が狙う企業・団体は、大企業・大組織に限らなくなっています。たとえば、企業規模は大きくなくても、サプライチェーンの一部を担っている企業が攻撃者に狙われるケースも出てきています。

今後、Webアプリケーションを使ったWebシステム、Webサービスはますます増えていくと考えられます。いわゆるネット系企業だけでなく、Webを利用するあらゆる企業・組織に、WAFは必須のセキュリティ対策となるでしょう。

WAFで対応できる攻撃

種類①クロスサイトスクリプティング

入力フォームや掲示板などに罠(不正なスクリプト)を仕掛けて、ユーザを不正なサイトに誘導、仕込んだ罠を実行して、個人情報を盗み出したり、マルウェアに感染させたり、ユーザになりすます攻撃です。

種類②SQLインジェクション

SQLは、Webサイトに広く使われているデータベース言語です。SQLインジェクションはSOLを使ったサイトの脆弱性を狙って、不正なSQLを挿入(インジェクション)して、データベースを不正に操作する攻撃です。

種類③OSコマンドインジェクション

Webサイトの入力フォームや問い合わせ画面などに、OSに対するコマンド(命令文)を紛れ込ませた文字列を入力し、WebサイトのOSを不正操作する攻撃です。

種類④バッファオーバーフロー

Webサーバに処理能力を超える大量のデータを送りつけて、システムを誤作動させたり、ダウンさせて、その隙にサーバを乗っ取る攻撃です。乗っ取られたサーバは、他のサーバに対する攻撃の踏み台に利用されることもあります。

種類⑤DDoS攻撃

Webサーバに大量のデータを送って負荷をかけ、サーバを遅延させたり、ダウンさせる攻撃です。
バッファオーバーフローはサーバの脆弱性を狙いますが、DDoS攻撃はサーバに過剰に負荷をかけることで、サービス停止などを狙うものです。
「DDoS攻撃」は「Distributed Denial of Service attack」の略で、日本語では「分散型サービス拒否攻撃」と呼ばれます。攻撃が1台から行われるものは、DoS攻撃と呼ばれます。

種類⑥ブルートフォースアタック

パスワードを解読するために、考えられるすべてのパスワードを試す攻撃です。日本語では「総当たり攻撃」と言います。「ブルート フォース=brute force」は「強引」「力づく」という意味です。

種類⑦ディレクトリトラバーサル

公開されているファイルやフォルダから、相対パスを絶対パスに変換する仕組みを悪用して、非公開のファイルやフォルダに不正にアクセスする攻撃です。

WAFの種類について

アプライアンス型のWAFの特徴

アプライアンス型WAFは、専用機器を設置して運用するタイプのWAFです。自社の状況に応じて最適なWAFを選び、カスタマイズして、設置・運用することができます。
後述するホスト型とは違い、Webサーバに負荷を加えることはありません。アプライアンスの購入に費用がかかり、保守・運用のコストや、スキルを持ったスタッフが必要になるデメリットがありますが、複数のWebサーバを運用している企業であれば、初期費用、運用費用は相対的に低くなり、コストパフォーマンスは良くなります。

ホスト型のWAFの特徴

ホスト型WAFは、サーバにソフトウェアをインストールするタイプのWAFです。ソフトウェア型WAFともいいます。専用機器を購入するのではなく、すでにあるサーバにソフトウェアをインストールするので、ホスト型に比べると多くの場合、導入コストを抑えることができますが、サーバの台数が多い場合は逆にコストがかかり、保守・運用の手間も大きくなります。スキルを持ったスタッフが必要になることはホスト型と同じです。
また、WAFソフトウェアをサーバにインストールするため、攻撃を受けた際にはサーバの負荷が大きくなって、サーバが遅延したり、ダウンする可能性があります。

クラウド型のWAFの特徴

クラウド型WAFは、クラウド上に設置されているWAFを、インターネットを介して利用するタイプのWAFです。サービスとして提供されているWAFを利用する形態ともいえます。アプライアンス型、ホスト型とは異なり、自社で機器やソフトウェアを用意し、設置/インストールする必要はありません。導入コストは前述の2タイプと比べると、低く抑えることができます。また保守・運用はサービス提供者が行うため、専任スタッフを置く必要もありません。導入スピードが早いこともメリットのひとつです。
一方で、サービス内容や品質は外部の事業者に依存することになります。例えば、同じサービスを利用する別のユーザが攻撃を受け、WAFの負荷が高まった場合、その影響を受ける可能性があります。

検知ロジックとその種類

WAFは攻撃を防ぐために「シグネチャ」という仕組み(検査ロジック)を用いることはすでに説明したとおりです。シグネチャは、攻撃パターンをあらかじめ登録したもので、Webアプリケーションへのアクセスをシグネチャと照合して、アクセスを許可するか、拒否するかを判断する方法です。

最近では検査ロジックとして、シグネチャのほかに「スコアリング」という方法や、AI(人工知能)を利用してアクセスの可否を判断する方法が登場しています。それぞれ、見ていきましょう。

シグネチャ

シグネチャ(Signature)には「署名」「サイン」「対象を特定するための目印」という意味があります。WAFではシグネチャは、不正アクセスなどで良く見られる攻撃パターン(シグネチャ)をあらかじめ登録しておき、Webアプリケーションに送られてくる通信の内容がシグネチャとして登録されているものと一致した場合、攻撃と判断して、アクセスを拒否する検知方法です。事前に登録しておいたものと照合するという、比較的シンプルな検知方法です。
登録方法によって、拒否するアクセスを登録する「ブラックリスト型」、許可するアクセスを登録する「ホワイトリスト型」があります。検知ロジックがシンプルなため、WAFの動きを理解しやすいというメリットがありますが、新しい攻撃手法からシステムを防御するにはシグネチャの定期的な更新が不可欠、未知の攻撃には対応できないなどのデメリットがあります。

スコアリング

スコアリングは、リストを更新し続ける必要がある、未知の攻撃には対応できないといった、シグネチャのデメリットを解決するために開発された検知方法です。
スコアリングは、攻撃パターンを持つさまざまな要素をスコア化(点数化)しておき、Webアプリケーションへのアクセスを分析してスコア(点数)をつけ、ある一定の点数を超えた場合、アクセスを攻撃と判断する検知方法です。変化した攻撃や新しい未知の攻撃にも、スコア化によって対応が可能になるというメリットがあります。

AI

AI(人工知能)を攻撃の判断に使う、まったく新しい方法も登場しています。シグネチャやスコアリングは、あらかじめ設定したルールやロジックに基づいて、攻撃か否かを判断する手法でしたが、AIを利用したWAFでは、これまでの攻撃手法の研究やデータサイエンスなどの知見をAI化。攻撃の検知をより正確に、柔軟に行うことができます。すでにAIを使った攻撃が登場しており、WAFのAI化は時代の流れといえます。シグネチャやスコアリングと比べると、攻撃の誤検知は減少し、変化した攻撃手法、新しい未知の攻撃にも対応できます。
デメリットとしては、AIが攻撃を判断しているロジックが理解できず、ブラックボックス化してしまう点が挙げられます。各社からAIを活用したWAFが登場しているが、詳細がわかりにくく、性能や使い勝手を判断できないなどがあります。

WAFを導入する前に検討したい注意点

注意点①チューニングの重要性

シグネチャ、スコアリング、AIとWAFの技術や性能は進化していますが、一方で攻撃者の活動はグローバル規模に拡大し、スキルや技術も進化しています。WAFは日々、部外者なら驚いてしまうほどのアラートを出しており、WAFのセキュリティレベルを上げ過ぎると、正常な通信まで拒否してしまうことになります。WAFは導入すれば完了ではなく、攻撃のリスクを最小限に抑え、正常な通信を妨げないセキュリティレベルに日々チューニングしていくことが不可欠です。

注意点②運用コスト

継続的にチューニングが必要ということは、一般的な保守・運用コストに加えて、チューニングのためのコストが常に必要になることを意味します。アプライアンス型、ホスト型(ソフトウェア型)のWAFの場合、専任スタッフのほか、状況によってはベンダーにチューニングを依頼するケースも出てくるでしょう。
WAFをはじめ、セキュリティ対策は24時間365日止まることはありません。運用しているWebサーバの数、目的などに応じて、どのタイプのWAFを導入し、どのような運用体制を構築するか、十分な検討が必要です。

注意点③WAFの種類

WAFには「ソフトウェア型」「アプライアンス型」「クラウド型」があります。種類によって、導入方法・価格はもちろん、メンテナンスをベンダーに委託できるのか、自社で行うのかも変わってきます。予算や、WAFの運用予定、自社内のシステム担当の有無に合わせてどの型のWAFを導入するか検討しましょう。

注意点④サポート体制

WAFは導入して終わりではありません。導入後のサポート体制をどのようにするかも事前に検討するようにしましょう。攻撃を受けた場合の体制、社内のメール・電話での問い合わせを受け付けるのか、受け付ける場合はどのようなフローで受付対応をするのかなど。 その他にも、利用するWAFによっては付加サービスがある場合があります。定期的なレポート発行など、欲しい付加サービスがないかも事前に検討したうえで、導入するWAFを決めるのも良いでしょう。

WAFの導入を推奨する企業例

証券サイトなどのセキュリティ保護の重要性が高いサイト

証券サイトでは、お客さまのデータはもちろん、証券の売買に関するデータなども保持しているため、セキュリティ保護が重視されています。不正なコードの実行阻止など、外部からの不正アクセスなどによる情報搾取を防ぐためにWAFの導入がおすすめです。
例として証券サイトをあげましたが、お客さまのデータを保持しているなど、セキュリティ保護の重要性が高いと思われるサイトにはWAFの導入が効果的です。まだWAFを導入していない場合は、導入の検討をしてみても良いでしょう。

ECサイトなどの個人情報を取り扱うWebサービスサイト

ECサイトなどのお客さまの個人情報を取り扱うWebサービスサイトは、情報漏えいを目的としてデータベースに対して攻撃を受ける可能性が高いです。WAFを導入し、攻撃者からの通信を遮断することで、情報漏えいの対策となります。個人情報の取り扱いのあるWebサービスサイトはWAFの導入をお勧めします。

異なる環境で作成された同グループの複数サイト

AWSやAzureなど、サイトはさまざまな環境で作成ができます。異なる環境で作成をしたサイトを複数監視したい場合もWAFの導入がおすすめです。
WAFを導入すれば、サイトを作成した環境にかかわらず、Webサイトの一元管理が実現できます。一元管理することで、監視する際の効率アップにも繋げられます。

WebセキュリティならNECフィールディング

NECフィールディングのWebセキュリティ診断サービスは、Webサイトの脆弱性をチェック。攻撃者(悪意を持った第三者)による「なりすまし」「改ざん」「情報漏えい」の可能性など、ホームページセキュリティ診断を実施し、Webアプリケーションファイアウォールの導入、運用などをサポートします。

「セキュリティに関する事故が多発しているが、当社は大丈夫か」「インターネットでの商取引の際、なりすましによる不正取引の可能性はないか」「ユーザの個人情報が漏えいしないか」などの課題にお悩みではありませんか?

NECフィールディングのWebセキュリティ診断サービスなら、
 ・Webサーバへの入力パラメータによる不正操作の脆弱性
 ・アドレスバーへの不正入力による不正操作の脆弱性
 ・プラットフォームのセキュリティホール
などを広く確認。
さらにわかりやすい診断結果で、現状のリスクを可視化します。

▼NECフィールディングのWebセキュリティ診断サービス
https://www.fielding.co.jp/service/security/websecurity_check/

Webアプリケーションファイアウォールで万全のセキュリティ対策を

Webアプリケーションファイアウォールは、Webベースの業務システム、ECサイトや会員サイトといったさまざまなWebサービスを提供する際に欠かすことができないセキュリティ対策です。多くのサービスやビジネスがWeb上で展開されるようになった今、Webアプリケーションには思わぬ脆弱性が潜み、顧客情報の漏えいなどが発生すると企業にとっては、大きな経営リスクにつながります。

Webアプリケーションファイアウォールを導入し、万全のセキュリティ対策を整えておくことは必須の経営課題です。

発行元:NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。