• TOP
  • 特集記事
  • WAFの仕組みとは?活用メリットから手軽に利用する方法まで

WAFの仕組みとは?活用メリットから手軽に利用する方法まで

WAFの仕組みとは?活用メリットから手軽に利用する方法まで

最終更新日:2023-12-15

Webサイトの防御のためにWAFはそろそろ入れないとまずいかな、簡単に入れる方法がないかなという方へ、WAFについて基本的な仕組みから、安価に手軽に導入できる方法までをご紹介します。

目次

WAFとは?

WAFとは、Webアプリケーションの脆弱性を狙った攻撃を検知・遮断し、Webサイトを保護するセキュリティサービスです。「Webアプリケーションファイアウォール(Web Application Firewall)」の略称で、WAF(ワフ)と呼ばれています。通常のファイアウォールと異なり、通信内容をアプリケーションレベルで検査できるのが特長です。

Webアプリケーションの開発時には、主要な悪意ある攻撃を想定して脆弱性対策を施しますが、完全かつ完璧に網羅するのは困難です。日々進化する攻撃手法からの防御手段としてWAFを活用することが増えています。

WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

“WAF”の 一括資料ダウンロードする(無料)

 

クラウド型WAFとは?

クラウド型WAFは、導入のしやすさから近年よく取り入れられている形態です。

インストール型WAFは、WAF専用のサーバーを用意、あるいはWebサーバーに同居するかたちにしてインストールして利用するため、自社で運用管理する必要があり、コストや工数がかかるのがネックです。

一方、クラウド型WAFは、専用ハードウェアやネットワーク構成変更が必要なく、DNS切り替えのみですぐに利用開始できます。WAFの運用やソフトウェアのアップデート、サーバー管理などをサービス提供事業者に任せることができるため、手間がかからないのがメリットです。

運用負荷をできるだけ抑えたいという場合は、クラウド型WAFの導入が有力候補になるでしょう。

 

サイバー攻撃とWAFの防御対象

サイバー攻撃には主に以下のような攻撃があります。その中で、WAFはWebアプリケーションへの攻撃である、「SQLインジェクション」、「OSコマンドインジェクション」、「クロスサイトスクリプティング」、「ゼロデイ攻撃」、「ブルートフォースアタック」、「パスワードリストアタック」等の攻撃を防ぎます。

  • OS・ミドルウェア・Webアプリケーションの脆弱性を狙った攻撃
    - SQLインジェクション
    - OSコマンドインジェクション
    - クロスサイトスクリプティング
    - ゼロデイ攻撃
  • Webアプリケーションのパスワード流出を狙った攻撃
    - ブルートフォースアタック
    - パスワードリストアタック
  • サーバーやアプリケーションへの過負荷を狙った攻撃
    - DDos攻撃
    - バッファオーバーフロー
  • 悪意あるソフトウェアを用いた攻撃(マルウェア)
    - ウィルス
    - ランサムウェア

 

WAFの仕組みと防御方法

攻撃手法が一口に「SQLインジェクション」や「OSコマンドインジェクション」といっても、Webアプリケーションの脆弱性のどこを狙っているか、どのような攻撃をしているかは様々です。

そこで、WAFでは攻撃手法に対して、不正な通信・不正な攻撃のパターンをまとめた定義ファイルである「シグネチャ」を用いて、防御を行います。動作としては、ウィルス対策ソフトウェアのパターンファイルと同様で、既に知っている攻撃手法に対する防御方法が用意されており、該当攻撃が行われると、その通信の遮断等を行うとともに、アラート通知が行われます。

もちろん、日々新たな攻撃方法が生まれますので、シグネチャを継続的に更新し続ける必要があります。そのため、WAFの選び方で重要なのは、最新のシグネチャが作成されるタイミング・頻度や、その精度です。

WAFはWebアプリケーションの防御向けなので、Webアプリケーションの前に設置する必要があります。ただし、物理的に近くに置く必要はなく、守りたいWebサイトのURLをWAFのサーバーにして、WAFで通信をチェックした上で、WAFからWebサイトのサーバーにつなげるかたちになります。そのため、インターネット上のWebサイトにおいては、クラウドWAFを用いて防御できるようになります。

 

ファイアウォールやIDS/IPSとの使い分け

攻撃の防御として重要なファイアウォールは、防御できる範囲が異なるので、併用して利用することになります。ファイアウォールは、IPアドレスやポートを見て通信を許可するか決め、不正侵入検知システムであるIDS/IPS*は、OSやWebサーバー等の脆弱性を狙った攻撃を防ぐのが中心であり、Webアプリケーションの動作までは見ていません。WAFは、Webアプリケーションの防御専門のため、ファイアウォールやIDS/IPSと併用して利用することになります。

* IDS(Intrusion Detection System)は不正侵入検知システム、IPS(Intrusion Prevention System)は不正侵入防止システムであり、IPSは検知だけなのに対して、防御まで行うのがIPSです。

 

WAFのメリット

個人情報や決済情報などの重要な情報をWebで扱う際には、WAFはほぼ必須と言えます。

Webアプリケーションで防御できない攻撃を即座に防げる

Webアプリケーションで攻撃を想定して防御できればよいのですが、網羅的に防御対策考え、アプリケーションに実装するのは時間もコストもかかります。そのため、Webアプリケーションの脆弱性対策は行いつつも、WAFでさらに安全を確保することがおすすめです。

取引先の信頼確保

法人向けのWebサービスの場合、各社のセキュリティ・ポリシーに合致したサービスであるか、セキュリティ・チェックリストで確認を受ける場合があります。その中に、WAFを用いた対策が行われているか、という項目があることが多いため、取引先に安心してご利用いただくためにも、WAFを導入していると言えるのは重要です。

 

WAFのデメリット

勝手に通信を遮断してしまう可能性がある

正式な運用開始前のセットアップ時のあるあるだと思いますが、WAFを入れたらなぜかWebサイトにつながらない、ということがあります。その要因としては、WAFをWebサイトの前に入れるためのDNSの設定ミスということや、WAFが正常な通信を誤検知してしまい、勝手に通信を止めてしまうこともあります。原因がわかってDNSの設定や、WAFでの通信の除外設定等を行えば解決するのでしょうが、そこに至るまでに時間を費やしてしまうことはあり得ます。

Webサイトへのアクセススピードが遅くなる

Webサイトへの通信をパケットレベルで解析するので、通信量が増えると、解析が追い付かず、サイトへのアクセスが遅くなる、という事態が想定されます。Webサイトへのアクセススピードは、快適なWebサービスには不可欠なので、WAFがボトルネックにならないようにする必要があります。そのため、定期的に、WAFの負荷をモニタリングするとともに、負荷が高いようであれば、CPUやメモリをアップグレードする等の対策が必要です。

場合によっては運用に手間がかかる恐れあり

前述の通り、WAFがWebサイトへのアクセスを阻害する可能性があるため、そのような気配がないか日々の負荷率の確認や、攻撃を正しく検知できているか、ログの確認が必要になります。負荷かかる恐れがないのであれば、ある程度そのままでもWAFは運用できますので、必ずしも手間になるとはいえませんが、セキュリティを高めるという観点では、ログの点検や攻撃を検知した場合のアラート内容の確認やそれに基づいた対策の実施等、やるべき作業が発生します。

 

WAFを手軽に利用する方法

ある程度予算があるのであれば、導入や運用管理の負荷が高くないクラウド型WAFの利用がおすすめです。

予算がそれほどなく、安価になんとかWAFを利用したいという場合であれば、IaaS等のクラウドサーバーを提供しているサービスの中のWAFが安価です。

AWS WAF

アマゾン・ウェブ・サービス(AWS)のWAFである「AWS WAF」は、セットアップがすぐに行え、範囲が小さければ月額数千円からでも利用できる安価なサービスです。

AWSに慣れた方であればそんなに問題ありませんが、AWSやIaaS等に慣れていない方には、セットアップ作業に最低限の知見が必要なのです、少し時間がかかる可能性があります。

なお、WAFの場合はルール設定に苦戦することがありますが、「マネージドルール」という、おすすめの設定が予め作成されているオプションを選ぶのもおすすめです。

SiteGuard Server Edition(をさくらのクラウドサービスで利用)

WAFの中でも実績あるソフトウェアである「Site Guard」は、WAFを選ぶ際に有力な選択肢になりますが、導入費用が1ライセンスで年間約25万円と、気軽とは言えない可能性があります。

ところが、さくらインターネット社のクラウドサーバーである「さくらのVPS」や「さくらのクラウド」であれば、「SiteGuard Server Edition」に関しては、無料で利用できるようになっています。「さくらのVPS」は、月額1,000円以下からでも利用できるサービスのため、低価格でWAFを利用することができます。

WAFの複雑なルール設定も不要で使い始めることができますので、月額1万円以内でWebサーバーの用意から、WAFの準備まで手軽に行いたいという場合は、有力な選択肢になります。

 

WAFの運用管理を任せる方法

複数のシステムを運用しており、WAFの設定やログ分析を通じたチューニングが大変、問題発見時の対応が不慣れ、ということであれば、有人監視付のWAFを利用するのも手です。

例えば、「マネージドWAFサービス(セコムトラストシステムズ株式会社)」では、WAFの導入に加えて、24時間365日の有人監視、シグネチャ更新、ポリシーの変更管理、万が一の障害対応や月次レポートなどもセットで提供されています。

 

まとめ

少し前まではWAFの導入は必要だけれど高額、というイメージがありましたが、最近ではIaaSのオプションとして安価に導入できることも増えてきました。Webサイトへの攻撃は増え続けている中、WAFによる防御は当たり前、と言われてきている状況のため、最初は手軽なWAFからでも導入して利用してみることをおすすめします。

WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

“WAF”の 一括資料ダウンロードする(無料)

 

インタビューやサービス詳細はこちら

BLUE Sphere(ブルースフィア)|インタビュー掲載

株式会社アイロバ

クラウド型のWAF/DDoS防御/改ざん検知機能を備えた総合セキュリティサービス。Webサイトのあらゆる脅威にオールインワンのセキュリティで対応できます。...

Cloudbric WAF+

ペンタセキュリティ株式会社

企業のWebシステムを守る一石五鳥のWebセキュリティ・プラットフォーム・サービス。社内にセキュリティ専門家がいなくても手軽に運用・導入ができます。...

攻撃遮断くん

株式会社サイバーセキュリティクラウド

導入サイト数20,000以上。トップクラスの実績を持つ国産クラウド型WAF。あらゆるWebシステムに導入でき、複数サイトでも定額利用可能。24時間365日、日本...

SiteGuard Cloud Edition

EGセキュアソリューションズ株式会社

15年以上の販売実績を持つソフトウェアメーカーが提供するマネージド型純国産WAF。SiteGuardシリーズは累計導入サイト数150万サイト超、国内WAF市場シ...

Ray-SOC WAF

株式会社レイ・イージス・ジャパン

高性能なAIエンジンで、ヘッダーやボディに埋め込まれた攻撃も防御。運用状況はRay-SOCセンターが監視するため、社内で行う必要はありません。...

記事をシェア

  • Facebook
  • Twitter
  • LINE


CLOSE
ログイン

<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。

会員パスワード変更

アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。

再設定依頼メール送信完了

パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。

メールが届かない場合

ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。

ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。

CLOSE
登録完了

ご登録いただき、ありがとうございました。
資料ダウンロードを選んだ方は、送信されたメールのURLをクリックして資料をダウンロードしてください。

CLOSE
更新完了

登録内容を変更しました。

CLOSE
アンケートにご回答ください。

サービスの導入検討状況を教えて下さい。

本資料に含まれる企業(社)よりご案内を差し上げる場合があります。

  • 資料請求後に、当該資料に含まれる「サービス提供会社」や弊社よりご案内を差し上げる場合があります。
  • ご案内のため、アスピックにご登録いただいた会員情報を弊社より「サービス提携会社」に対して電子データにて提供いたします。
  • 利用規約プライバシーポリシーに同意の上、ダウンロードいただきます。
CLOSE
ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。
ご確認ください。