Webサイトの防御のためにWAFはそろそろ入れないとまずいかな、簡単に入れる方法がないかなという方へ、WAFについて基本的な仕組みから、安価に手軽に導入できる方法までをご紹介します。
“WAF”の 一括資料ダウンロードする(無料)
WAFとは、Webアプリケーションの脆弱性を狙った攻撃を検知・遮断し、Webサイトを保護するセキュリティサービスです。「Webアプリケーションファイアウォール(Web Application Firewall)」の略称で、WAF(ワフ)と呼ばれています。通常のファイアウォールと異なり、通信内容をアプリケーションレベルで検査できるのが特長です。
Webアプリケーションの開発時には、主要な悪意ある攻撃を想定して脆弱性対策を施しますが、完全かつ完璧に網羅するのは困難です。日々進化する攻撃手法からの防御手段としてWAFを活用することが増えています。
WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“WAF”の 一括資料ダウンロードする(無料)
クラウド型WAFは、導入のしやすさから近年よく取り入れられている形態です。
インストール型WAFは、WAF専用のサーバーを用意、あるいはWebサーバーに同居するかたちにしてインストールして利用するため、自社で運用管理する必要があり、コストや工数がかかるのがネックです。
一方、クラウド型WAFは、専用ハードウェアやネットワーク構成変更が必要なく、DNS切り替えのみですぐに利用開始できます。WAFの運用やソフトウェアのアップデート、サーバー管理などをサービス提供事業者に任せることができるため、手間がかからないのがメリットです。
運用負荷をできるだけ抑えたいという場合は、クラウド型WAFの導入が有力候補になるでしょう。
様々なサイバー攻撃のうち、主にWAFで防御できるのはWebアプリケーションへの攻撃です。どのような攻撃があるのか、以下の表にまとめました。
| 攻撃名 | 概要とWAFでの防御方法 |
|---|---|
| SQLインジェクション | ユーザー入力にSQL文を埋め込み、DBを不正操作する攻撃。入力内容を検査・遮断することで、攻撃を防ぐ |
| OSコマンドインジェクション | 不正なOSコマンドを実行させる攻撃。不正な文字列やパターンを検出してブロックする |
| クロスサイトスクリプティング | Webページに悪質なスクリプトを挿入する攻撃。HTMLタグやスクリプトの挿入を検知し、攻撃を無効化する |
| ディレクトリトラバーサル | ディレクトリ内部に不正アクセスして、ファイルを閲覧・書き換えする攻撃。異常なパス指定を検出・ブロックする |
| ゼロデイ攻撃 | 発見された脆弱性を解消するまでの期間(ゼロデイ)に行われる攻撃。仮想パッチや振る舞い検知で一部対応可能 |
| ブルートフォースアタック | 総当たりでログインを試みる攻撃。レート制限・IPブロック機能で一部対応可能 |
| パスワードリストアタック | 流出パスワードを使ってログイン試行する攻撃。レート制限・IPブロック機能で一部対応可能 |
攻撃手法が一口に「SQLインジェクション」や「OSコマンドインジェクション」といっても、Webアプリケーションの脆弱性のどこを狙っているか、どのような攻撃をしているかは様々です。
そこで、WAFでは攻撃手法に対して、不正な通信・不正な攻撃のパターンをまとめた定義ファイルである「シグネチャ」を用いて、防御を行います。動作としては、ウィルス対策ソフトウェアのパターンファイルと同様で、既に知っている攻撃手法に対する防御方法が用意されており、該当攻撃が行われると、その通信の遮断等を行うとともに、アラート通知が行われます。
もちろん、日々新たな攻撃方法が生まれますので、シグネチャを継続的に更新し続ける必要があります。そのため、WAFの選び方で重要なのは、最新のシグネチャが作成されるタイミング・頻度や、その精度です。
WAFはWebアプリケーションの防御向けなので、Webアプリケーションの前に設置する必要があります。ただし、物理的に近くに置く必要はなく、守りたいWebサイトのURLをWAFのサーバーにして、WAFで通信をチェックした上で、WAFからWebサイトのサーバーにつなげるかたちになります。そのため、インターネット上のWebサイトにおいては、クラウドWAFを用いて防御できるようになります。
攻撃の防御として重要なファイアウォールは、防御できる範囲が異なるので、併用して利用することになります。ファイアウォールは、IPアドレスやポートを見て通信を許可するか決め、不正侵入検知システムであるIDS/IPS*は、OSやWebサーバー等の脆弱性を狙った攻撃を防ぐのが中心であり、Webアプリケーションの動作までは見ていません。WAFは、Webアプリケーションの防御専門のため、ファイアウォールやIDS/IPSと併用して利用することになります。
* IDS(Intrusion Detection System)は不正侵入検知システム、IPS(Intrusion Prevention System)は不正侵入防止システムであり、IDSは検知まで、IPSは防御までをそれぞれ行います。
IDS/IPSについては、「IDS/IPSの比較11選!ほかのセキュリティ対策との違いや選び方を解説」で詳しく解説しているので、ぜひご参照ください。
個人情報や決済情報などの重要な情報をWebで扱う際に、WAFはほぼ必須と言えます。導入することで、主に以下のようなメリットが期待できます。
Webアプリケーションにすべての攻撃を想定した防御策を実装するのは、開発コストや時間の面から現実的ではありません。そのため、WAFを導入することで、アプリケーションに存在する脆弱性を補完し、外部からの攻撃を即時にブロックするという対策が有用です。アプリケーション側での対策と併用することで、より堅牢なセキュリティを実現できます。
法人向けのWebサービスの場合、各社のセキュリティ・ポリシーに合致したサービスであるか、セキュリティ・チェックリストで確認を受ける場合があります。その中に、「WAFを用いた対策が行われているか」という項目があることが多いため、取引先に安心して利用してもらうためにもWAFの導入が欠かせません。
正式な運用開始前のセットアップ時のあるあるだと思いますが、WAFを入れたらなぜかWebサイトにつながらない、ということがあります。その要因としては、WAFをWebサイトの前に入れるためのDNSの設定ミスということや、WAFが正常な通信を誤検知してしまい、勝手に通信を止めてしまうこともあります。原因がわかってDNSの設定や、WAFでの通信の除外設定等を行えば解決するのでしょうが、そこに至るまでに時間を費やしてしまうことはあり得ます。
Webサイトへの通信をパケットレベルで解析するので、通信量が増えると、解析が追い付かず、サイトへのアクセスが遅くなる、という事態が想定されます。Webサイトへのアクセススピードは、快適なWebサービスには不可欠なので、WAFがボトルネックにならないようにする必要があります。そのため、定期的に、WAFの負荷をモニタリングするとともに、負荷が高いようであれば、CPUやメモリをアップグレードする等の対策が必要です。
前述の通り、WAFがWebサイトへのアクセスを阻害する可能性があるため、そのような気配がないか日々の負荷率の確認や、攻撃を正しく検知できているか、ログの確認が必要になります。負荷かかる恐れがないのであれば、ある程度そのままでもWAFは運用できますので、必ずしも手間になるとはいえませんが、セキュリティを高めるという観点では、ログの点検や攻撃を検知した場合のアラート内容の確認やそれに基づいた対策の実施等、やるべき作業が発生します。
ある程度予算があるのであれば、導入や運用管理の負荷が高くないクラウド型WAFの利用がおすすめです。
予算がそれほどなく、安価になんとかWAFを利用したいという場合であれば、IaaS等のクラウドサーバーを提供しているサービスの中のWAFが安価です。
アマゾン・ウェブ・サービス(AWS)のWAFである「AWS WAF」は、セットアップがすぐに行え、範囲が小さければ月額数千円からでも利用できる安価なサービスです。
AWSに慣れた方であればそんなに問題ありませんが、AWSやIaaS等に慣れていない方には、セットアップ作業に最低限の知見が必要なのです、少し時間がかかる可能性があります。
なお、WAFの場合はルール設定に苦戦することがありますが、「マネージドルール」という、おすすめの設定が予め作成されているオプションを選ぶのもおすすめです。
WAFの中でも実績あるソフトウェアである「Site Guard」は、WAFを選ぶ際に有力な選択肢になりますが、導入費用が1ライセンスで年間約25万円と、気軽とは言えない可能性があります。
ところが、さくらインターネット社のクラウドサーバーである「さくらのVPS」や「さくらのクラウド」であれば、「SiteGuard Server Edition」に関しては、無料で利用できるようになっています。「さくらのVPS」は、月額1,000円以下からでも利用できるサービスのため、低価格でWAFを利用することができます。
WAFの複雑なルール設定も不要で使い始めることができますので、月額10,000円以内でWebサーバーの用意から、WAFの準備まで手軽に行いたいという場合は、有力な選択肢になります。
「複数システムを運用しているため、WAFの設定やチューニングにかかる負荷を軽減したい」「問題発見時に迅速に対応できる専門人材がいない」といった場合には、有人監視付きのWAFを利用するのも手です。
例えば、「マネージドWAFサービス(セコムトラストシステムズ株式会社)」では、WAFの導入に加えて、24時間365日の有人監視、シグネチャ更新、ポリシーの変更管理、万が一の障害対応や月次レポートなどもセットで提供されています。
また「GMOサイバーセキュリティ WAFエイド(GMOサイバーセキュリティ byイエラエ株式会社)」のように、高度な独自シグネチャや自動遮断機能によって、WAFの運用を自動化できるサービスも。
WAFは、Webアプリケーションを標的とした高度なサイバー攻撃から守るための必須対策です。近年、ランサムウェアの巧妙化、生成AIを悪用したフィッシング、地政学リスクによるサイバー攻撃の激化といった脅威が増加傾向に。こうした中、導入が容易なクラウド型WAFの需要が高まり、AIを活用した検知精度の向上も進んでいます。
WAFを導入することで、主に以下のようなメリットが期待できます。
また、WAFを効果的に運用管理するには、詳細なルール設定やチューニング、シグネチャの更新といった手間がかかります。社内リソースが不足している場合は、運用負荷軽減に強みを持つサービスを選ぶのがおすすめです。サイバー攻撃からWebアプリケーション、ひいてはユーザーを守るために、WAFの導入をぜひ検討してみてください。
WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“WAF”の 一括資料ダウンロードする(無料)
株式会社アイロバ
クラウド型のWAF/DDoS防御/改ざん検知機能を備えた総合セキュリティサービス。Webサイトのあらゆる脅威にオールインワンのセキュリティで対応できます。...
ペンタセキュリティ株式会社
企業のWebシステムを守る一石五鳥のWebセキュリティ・プラットフォーム・サービス。社内にセキュリティ専門家がいなくても手軽に運用・導入ができます。...
EGセキュアソリューションズ株式会社
15年以上の販売実績を持つソフトウェアメーカーが提供するマネージド型純国産WAF。SiteGuardシリーズは累計導入サイト数150万サイト超、国内WAF市場シ...
株式会社レイ・イージス・ジャパン
独自開発の高度なAIエンジンを搭載し、ヘッダーやボディに埋め込まれた高度な攻撃を防御するクラウド型のWebアプリケーションファイアウォール(WAF)Ray-SO...
GMOサイバーセキュリティ byイエラエ株式会社
AWS WAFおよびCloudflare WAFに対応した、WAFの自動運用サービス。高度な検知シグネチャや自動遮断機能を備え、専門知識がなくても効果的なWAF...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
