多くの企業でWebアプリケーションが利用されている今日、Webアプリケーションを狙った攻撃も多様化し、対応を迫られている企業も多いと思います。Webアプリケーションのセキュリティ対策の代表が「WAF」です。WAFは、Webアプリケーションへの通信を監視し、攻撃性のある通信を遮断するセキュリティ対策ですが、数ある製品の中からどのような基準で選べばよいのでしょうか。
ここでは、WAFの概要と機能やメリット、種類に加え、選ぶ際のポイントまで解説します。
WAFとは?
まず、WAFの概要について解説します。WAFとは、Webアプリケーションに対するセキュリティ対策の一種です。ここでは、FW、IPS/IDSといったその他のセキュリティ対策との相違についてもご紹介します。
WAFとは
WAFとは、「Web Application Firewall」の略称で、文字通りWebアプリケーションの防御に特化したファイアウォールを指します。ショッピングサイトやSNSといった、「Webアプリケーション」と呼ばれる多くのWebサイトをサイバー攻撃から守るために使われています。WAFはWebアプリケーションの前面に配置され、脆弱性を悪用した攻撃からWebアプリケーションを守ります。一般にWebアプリケーションは、クライアント(ユーザー)からサーバーにリクエストが送られ、サーバー側がリクエストに応じたレスポンスをクライアントに返す、という仕組みで成り立っています。WAFはクライアントからの通信をサーバーが受ける前に解析し、攻撃性のあるものを検知・防御することで、Webアプリケーションを攻撃から守ります。WAFを配置することで、Webアプリケーションに脆弱性があっても被害に遭うリスクを低減することができます。もちろん脆弱性がないように改修することが根本的な対策ですが、改修が難しい脆弱性がWebアプリケーションにある場合や、修正に時間がかかる場合にWAFは重宝します。
FW、IPS/IDSとの違い
Webアプリケーションを守るセキュリティ対策として、WAFと並んでよく知られているのが、「FW」と「IPS/IDS」です。両者とWAFはどのように異なるのでしょうか。「FW」は「Fire Wall」の略称です。FWはネットワークレベルでのセキュリティ対策で、通信の送信元と送信先の情報(IPアドレスやポート番号)を元にしてアクセスを制限します。通信の内容を確認しない、という点でWAFとは異なり、正常な通信を装った攻撃には対処しきれません。「IPS/IDS」はそれぞれ「Intrusion Prevention System/Intrusion Detection System」の略称です。共にプラットフォームレベル、つまりOSやミドルウェアに対するセキュリティ対策で、IPSは攻撃の検知と遮断が、IDSは攻撃の検知ができます。WAFとは違い、IPS/IDSはアプリケーション層に対するセキュリティ対策ではありません。
WAFの機能とメリット
具体的にWAFにはどのような機能があるのでしょうか。ここではWAFの機能とメリットについて、さらに詳しくご紹介します。
WAFの機能
WAFの主な機能として、「通信監視」「Cookie保護」「シグネチャー更新」「ログ収集と分析」といったものが挙げられます。
・通信監視
通信監視は、WAFの最も基本的な機能です。Webアプリケーションに送られてくる通信を常に監視して、攻撃性の高い通信を拒否することで、Webアプリケーションを保護します。
・Cookieの保護
Webアプリケーションを狙った攻撃の中には、Cookieを狙った攻撃も多数あります。Cookieにはログイン中のセッション情報など、重要な情報が含まれており、保護する必要があります。WAFはCookieの暗号化などの機能を備えており、Cookieを狙った攻撃からWebアプリケーションを守ります。
・シグネチャー更新
WAFの中には、は通信を監視する際、「シグネチャー」と呼ばれる攻撃的な通信のパターンと照合することで許可/不許可を判断するタイプがあります。シグネチャーを更新しないと、いつまでも古い攻撃にしか対応できません。WAFには、シグネチャーの更新機能があり、常に最新の攻撃に対応できるような仕組みを保っています。
・ログ収集と分析
WAFが拒否した通信の内容は、ログやレポートに記録されていきます。後からこのログを確認することで、最新の攻撃手法や対策を講じやすくなります。
WAFのメリット
WAFのメリットとして、「多くの攻撃を防げる」「効率のいい防御」「事後対策ができる」といった点が挙げられます。
・多くの攻撃を防げる
今日、Webアプリケーションを狙った攻撃には多くの種類があります。脆弱性を突いた攻撃のすべてに対する対策を施すにはコストも時間もかかります。WAFによっては対応しきれないものもあるため注意が必要ですが、多くの攻撃を防ぐことができます。
・効率のいい防御
WAFはWebサーバーの前面に配置して通信を監視するセキュリティ対策です。そのため、一つのWebサーバーに複数のアプリが配置されている場合でも、WAF一つで効率的にセキュリティ対策を施すことができます。
・事後対策ができる
万一セキュリティインシデントが発生した場合でも、WAFを配置することでサービスを復旧させ、脆弱性の改修に着手することができます。事前的な対策としてのみならず、WAFは事後対策としても有効なセキュリティ対策です。
WAFの種類
WAFにはいくつか種類があります。設置形態によって、「ソフトウェア型」「アプライアンス型」「クラウド型」の三種類があり、クラウド型はさらに「シグネチャー方式」と「ロジックベース」に分かれます。
3種類のWAF
「ソフトウェア型」のWAFは、既存のWebサーバーに直接インストールするタイプのWAFです。ハードを用意する必要はありませんが、複数のサーバーにインストールする場合には台数分のコストがかかります。また、サーバーに直接インストールするため負荷がかかるというデメリットもあります。「アプライアンス型」のWAFは、クライアントとサーバーの間に機器を設置するタイプのWAFです。サーバーの台数に関わらず一台で済みますが、ハードを用意する必要があり、ネットワークの変更などの手間もかかります。「クラウド型」のWAFは、クラウドを経由して利用できるWAFです。他の2種類に比べてコストが低いのが特徴で、運用もベンダー側に任せることができます。クラウド型のWAFは、攻撃の検知の仕方によって「シグネチャー方式」と「ロジックベース」にさらに分かれます。
・クラウド型WAF:シグネチャー方式
「シグネチャー方式」は、主な攻撃のパターンを含む「シグネチャー」と通信を照合することで攻撃を検知する仕組みです。シグネチャー方式は既存の攻撃パターンに対する防御としては有効ですが、新しい攻撃が見つかるたびにシグネチャーを更新しなければならず、シグネチャーを増やせば増やすほどリソースを消費します。シグネチャーがまだ用意されていないゼロデイ攻撃に対応できない、という点にも注意すべきでしょう。
・クラウド型WAF:ロジックベース
「ロジックベース」は、事前に定められたロジックに従って攻撃を検知するタイプです。様々な攻撃パターンを解析することでロジックを導き出して攻撃の検知に用います。つまり、「攻撃パターンのパターン」をロジックとして使うため、シグネチャー方式に比べて必要なリソースをかなり抑えることができます。処理速度と性能を高いレベルで保ったまま、攻撃を防ぐことができます。パターンそのものを用いて攻撃を検知するシグネチャー方式とは違い、ゼロデイ攻撃にも対応できるというメリットもあります。
WAF導入時にチェックすべきポイント
数あるWAFの中からどれを選ぶべきか、迷うこともあると思います。ここでは、WAF導入時にチェックすべきポイントとして、「費用」「セキュリティ機能」「サイトの処理性能への影響」「サポート体制」を解説します。
・費用
一点目は「費用」です。WAF専用機器の設置やソフトウェアにかかる初期費用と、導入後にかかる運用費用の二種類があります。一般に、ソフトウェア型やアプライアンス型よりも、クラウド型の方がコストを抑えやすく、月額数万円単位で利用できるというメリットがあります。
・セキュリティ機能
二点目は「セキュリティ機能」です。いくらコストが低くても、セキュリティ機能に難があれば意味がありません。セキュリティサービスとして十分なレベルの機能を有しているか、確認する必要があるでしょう。
・サイトの処理性能への影響
三点目は「サイトの処理性能への影響」です。WAFはWebアプリケーション、Webサイトを守るために配置されるため、WAFの導入はサイト自体への負荷につながります。そのため、WAFを導入した際にWebアプリケーションの利用が大きく妨げられないか、配慮する必要があります。事前にベンダーと相談のうえ、導入を検討しましょう。
・サポート体制
四点目は「サポート体制」です。WAFの使い方への質問や、セキュリティインシデントが発生した場合などにベンダーが迅速に対応してくれるか、といった点も重要です。インシデントに対して迅速に対応できないと、クライアントの信頼を失いかねません。ベンダーの実績やサポート内容を確認しましょう。
まとめ
WAFの導入は今や必須になりつつあります。多種多様なサイバー攻撃から効率よくWebアプリケーションを防御できるため、脆弱性の改修に手間がかかる場合の保険的対策としても有効です。WAFを選ぶ際には、費用や機能、サポート体制といったポイントに注意して複数の種類があるWAFの中で企業の環境と用途に応じ、最適なWAFを導入しましょう。Cloudbric WAF+はクラウド型サービスであり、WAF機能だけではなく、DDoS攻撃防御、SSL証明書の発行、悪性Bot・脅威IP遮断機能まで利用することができます。マネージドサービスも提供しているため、社内にセキュリティ担当者がいなくても手軽に導入・運用することができるサービスので、ぜひ検討してみてください。