WAFとは、「Webアプリケーションへの不正な攻撃を防ぐためのセキュリティ対策」のことです。
近年企業のIT化・働き方改革が進み次世代のセキュリティ対策が求められるようになりましたが、WAFはその重要な対策の一つになります。
この記事では、WAFの仕組み、種類、他のセキュリティ対策との違いをIT初心者の方にもわかりやすく解説します。
WAFとは?
WAFとは、「Web Application Firewall」の略称で、Webアプリケーションへの不正な攻撃を防ぐためのセキュリティ対策です。頭文字をとってよく「ワフ」と呼ばれます。Webアプリケーションとは、具体的にはネットショッピングができるECサイトやオンラインバンキング、企業のサイト等を指します。
と言ってもWebアプリケーション自体にWAFを実装するのではなく、エンドユーザーとWebサーバの間の境界に設置して、怪しい通信がないかを監視し、不正な攻撃だと検知した場合はその通信を遮断します。
FW、IDS/IPSとの違いは?
WAFは、同じく「境界を守るセキュリティ」であるFW・IPSとよく混同されますが、何が違うのでしょうか。一言で言うと、「守る階層」が違います。それぞれの違いは以下の通りです。守る階層が違うので、どれか一つを導入していればいいというものではなく、それぞれ導入することで万全なセキュリティ対策が可能になります。
| 階層 | 監視対象 | |
| FW | ネットワーク層 | IPアドレスやポート番号 |
| IDS/IPS | ミドルウェア層 | サーバやネットワークの外部との通信や内部通信 |
| WAF | アプリケーション層 | Webアプリケーション |
IDS/IPSについてはこちらの記事で詳しく解説しているので、合わせて読んでみてください。
WAFの仕組みとは?
WAFは、「シグネチャ」と呼ばれる攻撃のパターンや通信方法等のデータをもとに不正な通信かを判断します。このシグネチャには、以下の2通りのやり方があります。
①ブラックリスト型
一つ目は、ブラックリスト型です。「ブラックリスト」として既知の攻撃のパターンを登録しておき、このパターンの通信が来た際には通信を遮断します。既知のものを登録するので未知の攻撃には対応できないのがデメリットですが、定期的に最新の攻撃パターンを更新することで、ある程度の攻撃は防げます。
②ホワイトリスト型
二つ目が、ホワイトリスト型です。①ブラックリスト型の逆で、許可すべき通信のパターンを事前に登録しておき、それ以外の通信はすべて遮断します。未知の攻撃も防げるというメリットはありますが、ブラックリスト型と比べて設定が大変で、高度なセキュリティ知識を持った人材がいないと通していい通信までブロックしてしまう、といったトラブルが起きやすいというデメリットもあります。
WAFの種類は?
WAFの種類は大きく分けると3つあります。
①アプライアンス型
一つ目が、アプライアンス型です。WAFの機能を持つ専用のハードウェアを境界に設置します。専用機器はWebサーバとは別に独立しているので、Webサーバに負荷をかけることがなく、設定も柔軟に行うことができます。その分コストは高額になりますが、主に大規模システム向けに選ばれることが多い種類です。
②ソフトウェア型
二つ目が、ソフトウェア型です。保護対象のWebサーバーにWAFのソフトウェアをインストールし、通信内容を検査します。①アプライアンス型と違って専用のハードウェアが必要ないので、比較的低コストで導入することができます。また、既存のネットワーク環境の構成変更等も不要なので、他のサーバーなどへの影響もありません。
③クラウド型
三つ目が、クラウド型です。インターネットを経由してサービスとしてWAFの機能を利用します。コストとしては一番安価で導入も気軽にできますが、サービスなので設定等をカスタマイズすることはできない、サービス提供側の障害に影響を受けるなどのデメリットもあります。
おわり
いかがだったでしょうか。セキュリティ対策は、これひとつやればOK!というものは残念ながらなく、企業の形態に合わせて都度最適なセキュリティ対策を考えていく必要があります。WAF含め各種セキュリティ対策の仕組み、違いをしっかり理解していきましょう。
コメント