|
目次
|
昨今では、公開したWEBアプリケーションのセキュリティ対策として、WAFの導入を検討されるケースが増えています。新型コロナウィルスの影響で、対面販売が不要なネットショップや宅配サービス等、WEBアプリケーションの利用シーンが増えていることは、皆様も体感されているのではないでしょうか。WEBアプリケーションが増加する近年、それを狙ったサイバー攻撃もやはり増加が見込まれており、セキュリティ対策製品であるWAFの需要も拡大していると考えられます。
今回のコラムでは、「WAFとは一体どのようなものなの?」「WAFはファイアウォールやIPSとは何が違うの?」と疑問をお持ちの方に、WAFの概要、導入におけるメリット・デメリットや、防げるサイバー攻撃の種類についてもご紹介します。ぜひ参考にしてください。
1.WAFとは
「WAF」とは、「Web Application Firewall」の略称で、Webアプリケーションにある脆弱性を悪用した攻撃に対し、外部に公開されているWebサーバーを守るセキュリティシステムです。
Webサーバーは外部の顧客に対してのサービス提供や、自社商品の紹介を行う等、企業にとって重要な役割を持つことが多いシステムです。それゆえに、原則誰からもアクセスできる状態に晒されており、サイバー攻撃の標的にもなりやすいという特徴を持ちます。
特に狙われやすいのは、「Webアプリケーションの脆弱性」を突いた攻撃です。そのため、WAFによる保護が重要な役割を担うことになります。
ファイアウォール(FW)との違い
「ファイアウォール(FW)」とは、外部ネットワークと内部ネットワークの中間に配置され、外部からの危険なアクセス元からの通信や、内部からの望まない通信を防ぐ、セキュリティ対策です。IPアドレスやポート番号を元に、通信を許可もしくは拒否します。
WAFとファイアウォールは不正アクセスやサイバー攻撃を拒否し内部システムを保護するという点は共通しますが、制御する範囲が大きく異なります。
WAFは通信の内容を精査し、Webアプリケーションへの攻撃を検知します。一方、ファイアウォールはIPアドレスやポート番号に基づく通信制御となるため、ネットワークレベルでのセキュリティ対策であり、正常な通信を装う攻撃には対処できません。
IPSとの違い
「IPS」とは、「Intrusion Prevention System」の略であり、プラットフォームレベルで外部からの不正な侵入や攻撃からシステムを守ります。具体的にはOSやミドルウェア等の脆弱性を悪用した攻撃をパターン化し、それらを定義したルールを用いて、通信上に異常がないか調査します。
WAFがWebアプリケーションに対する攻撃に特化したシステムであるためIPSで検知できない攻撃を検知できるのに対し、IPSはWebサーバーだけでなく、WAFの範囲外となるOSの脆弱性に付け込んだ攻撃からもシステムを保護できます。IPSは対応できる範囲が広いことが特長となります。
2.WAFの仕組み
WAFはこれまでの不正アクセスや攻撃パターンを記録したシグネチャを用いて、通信が安全なものであるかそうでないかを判別します。
シグネチャに一致する通信だった場合は、その通信は拒否します。それを「ブラックリスト方式」と呼びます。反対に、予め許可する通信を定める方式の事を「ホワイトリスト方式」と呼びます。
以下にそれぞれの方式を利用する場合のメリットとデメリットをまとめました。
| メリット | デメリット | |
| ブラックリスト方式 | 複数のWebサーバーで共有して使用可能 | ・未知の攻撃だった場合、予め拒否できない ・都度、新たな拒否対象を登録する必要がある |
| ホワイトリスト方式 | 未知の攻撃に対して、通信を拒否できる | ・許可する通信の洗い出しに時間がかかる ・サーバーごとにホワイトリストの用意が必要 |
多くのWebサーバーを利用する場合は複数のサーバーに共通で適用できるブラックリスト方式が魅力的ですが、既存以外の攻撃を防ぎたい場合にはホワイトリスト方式を利用する方が良いでしょう。
3.WAFが注目される理由
インターネットが発達し、多くのWebサイトが登場してきたことに伴い、Webサーバーが標的となるケースが増加しています。
情報処理推進機構が集計している、ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第3四半期(7月~9月)]によると、届出受付開始からの脆弱性に関するものが累計で17,681件、そのうちウェブサイトに関するものは12,405件でした。ウェブサイトに関する届出が全体の約7割を締めています。
参考:ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第3四半期(7月~9月)]:IPA 独立行政法人 情報処理推進機構
脆弱性については、情報処理推進機構(IPA)の「情報セキュリティ白書2022」によると、実際にコロナ禍以降のテレワークで活用が進んだ VPN 等の対策がまだ十分でなく、 2021年12 月には広範囲の Webシステムに影響を及ぼす機能(Log4j)の脆弱性が報告されました。このような背景から2022 年の 10 大脅威では修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)が初めてランクインしています。
時代の変化と共に従来のファイアウォールでは対応できないwebサーバーへの攻撃に対応できるWAFの導入がより注目されているのです。
参考:情報セキュリティ白書2022:IPA 独立行政法人 情報処理推進機構
4.WAFを導入するメリット
外部に公開されるWebサーバーは常に脅威にさらされる事となり、セキュリティ脆弱性を完全に無くす事は現実的に不可能です。
ですが、WAFを導入する事で多くの不正アクセスやサイバー攻撃からWebサーバーを守れます。
以下はWAFで遮断できる攻撃の種類です。
- SQLインジェクション
- DDOS攻撃
- クロスサイトスクリプティング
- バッファオーバーフロー
- ブルートフォース攻撃
5.WAFを導入するデメリット
非常に便利なWAFですが、導入の際にはセキュリティの知識が必要です。守るべきWebアプリケーションを考慮した設計になっていないと正常な通信を遮断したり、アクセススピードの低下を招いたりすることになります。もちろん、利用の際には導入コスト以外にもランニングコストがかかります。
ただし、WAFにはクラウド型やソフトウェア型、アプライアンス型と多くの種類がありますので、導入するシステムに合わせて適切なWAFを利用することで、デメリットを軽減することが可能です。
6.WAFの種類
WAFは、設置をする方式によって3種類に分類されます。
- ソフトウェア型WAF
Webサーバーへインストールして使用するため、ネットワーク機器を増やさずに導入可能。インストールする台数が多いと導入・運用コストが大きくなる。初期導入のコストは低いが、設定や運用保守にコストがかかる。 - アプライアンス型WAF
WAF専用の機器を導入することで、複数の対象を一つの機器で制御することができる。高額な機器の導入が必要。初期導入時から保守運用コストがかかる。 - クラウド型WAF
WAFをサービスとして利用。低コストかつ短期間で導入可能。設定の自由度が低い。また、使用状態次第で運用コストが割高になることがある。一方でサービスベンダーに管理されているため運用保守の負荷は低い。
| 導入期間 | コスト | カスタイマイズ性 | |
| ソフトウェア型WAF | 中 | 中~高 | ○ |
| アプライアンスWAF | 高 | 高 | ○ |
| クラウド型WAF | 低 | 低~高 | × |
7.WAFの基本的な機能
WAFの基本的な機能は、下記の通りです。
- 通信の監視や制御が可能
WAFは通信を監視し、シグネチャに記録されたものと照合して、通信の許可・拒否を制御します。
これによってシステムを危険なアクセスから保護します。
- シグネチャを自動で更新する
WAFでは、シグネチャが自動で更新されます。これにより、新しいサイバー攻撃に対しても迅速に対応ができるようになります。シグネチャ更新の手間がなく、管理コストの削減が可能です。
- Cookieに対する攻撃からの保護
WAFはブラウザの閲覧情報が記録されているCookieを暗号化するなどして、攻撃(改ざんやなりすまし、セッション乗っ取り等)からCookie保護します。
- 特定のURLを除外およびIPアドレスの拒否
WAFでは全ての通信に対して監視を行っていると、全体のパフォーマンスが落ちる可能性があります。
そのような事態に備え、WAFでは事前にセキュリティに対して安全性が確認できているURLはチェックの対象から除外ができます。また、サイバー攻撃にて用いられることが多いIPアドレスは拒否できます。これによりためパフォーマンス低下を防ぐことが可能です。
- 攻撃されたログの収集や攻撃パターンを集計したデータの抽出
WAFでは危険性のある通信ログを集計し、レポートを作成することが可能です。どのような攻撃だったのか、どこからアクセスされているのか等、集計して確認できるため、今後のセキュリティ対策に役立てられます。
8.WAFで防げる攻撃の種類
WAFで防げる攻撃の種類は、下記の通りです。
WAFは、通信の中身をアプリケーションレベルで解析できるため、ファイアウォールでは防げない多くの脅威からWebサーバーを守れます。特に、標準的なファイアウォールでは「クロスサイトスクリプティング(XSS)」「SQLインジェクション」は防げないため、防御にはWAFの導入が必須となります。
- バッファオーバーフロー攻撃
- クロスサイトスクリプティング(XSS)
- SQLインジェクション
- OSコマンドインジェクション
- DDoS攻撃
- ブルートフォースアタック
- ディレクトリトラバーサル
- ゼロデイ攻撃
9.WAFで防げない攻撃の種類
WAFで防げない攻撃の種類は下記の通りです。
WAFはWebサーバーへの攻撃を防ぐものであるため、アプリケーション層以外の攻撃に関しては防げません。
そのため以下への攻撃に対してはファイアウォールやIPSの導入が必要となります。
- ネットワーク層に対する攻撃
- OSやミドルウェアに対する攻撃
- 繰り返して同じ行動をするbotを悪用し、同一のIDおよびパスワードを使用している人をターゲットに、様々なサイトへのログインを試みる攻撃(不正アクセス)
10.まとめ
WAFは、Webアプリケーションにある脆弱性を利用した攻撃を防ぐセキュリティ対策です。従来のファイアウォールやIPSでは保護できなかった範囲も保護できます。しかしWAFだけでは防げない攻撃もありますので、より安全性を高める為には複数のセキュリティ対策を組み合わせると良いでしょう。
クロス・ヘッドでは、物理からクラウド、コンテナまで幅広い環境を保護する多層防御・脆弱性対策ができるクラウド型セキュリティ「Trend Micro Cloud One Workload Security」や、お客様の代わりに責任を持ってシステム運用・監視業務を遂行する「運用・監視サービス」を提供しています。
セキュリティ対策にお悩みの方は、是非一度弊社へご相談ください。
クロス・ヘッド関連サービス
※Cloud Compassはクロス・ヘッド㈱が運営するクラウドサービスです。
