インターネットを利用した企業活動が当たり前となり、もはやインターネットサービスの活用なしでは企業活動が成り立たなくなっております。Webサイトを活用してのサービス展開・拡大や、利用者の利便性の発展が進む一方、クレジットカード情報をはじめとする個人情報をWebサイト上に登録する機会は増加の一途をたどっています
悪意ある攻撃者にとって、「攻撃対策なきWebサイト」は格好の標的であり、運営企業の大小は関係なく早期の対策が求められております。
そこで、本記事では「始めたばかりだがセキュリティ管理は自社で行っている」「既に対策に乗り出しているが課題感を感じている」といったご担当者を想定して「WAFとは?」をテーマにわかりやすく解説いたします。
そもそもWAF(web application firewall)とは
サイバー攻撃対策には「脆弱性(セキュリティ)診断の定期実施」「エンドポイントセキュリティツールの導入」などいくつかあります。WAF(web application firewall)はWebアプリケーションの脆弱性に対して仕掛けられた攻撃を防御するセキュリティ対策の一つです。
システムイメージ
利用者とホームページをはじめとしたサーバー(運営者環境)の間にWAFを設置する事で「防御の壁」を作って不正アクセス・不正な通信からシステムを防御します。
導入方法
導入するWAFの種類(後述)にもよりますが、クラウド型WAFを例で導入方法をご説明します。サービス運営(導入)者自身で行うツール、WAFの提供会社で導入サポートを行うツールと様々な種類がありますが、DNS(Domain Name System)の切り替えで設定を行う事が一般的です。
設定
WAFにはあらかじめ「防御ロジック」や「攻撃パターンの設定」という機能があり標準パターン、個別カスタマイズ対応可能が可能なものもあります。防御パターンをWAFで設定した後は「防御ロジック」に合致するアクセスがあった場合、自動的に「悪意あるアクセス」とみなし、攻撃を遮断する事でWebサイトの安全性を守ってくれます。
導入後
利用者は、防御ツールが入っているかどうか、を意識してWebサイトを利用する事はありません。運営担当者もツールの管理画面で攻撃状況や傾向、どのような攻撃があったかなどをチェックすれば基本的にはOKです。月次レポートなどもだせるため社内外への報告とりまとめも省力化されています。
※利用者のアクセス数やシステム環境によっては導入前に対しアクセスパフォーマンスが低下する場合もありますのでその点は留意が必要です。(各WAFツールはパフォーマンスダウンとならないよう留意した開発を行っています)
WAFの種類・できることをわかりやすく紹介
WAFの種類
大きく分けると3つの種類に分ける事ができます。
- クラウド型
- ソフトウェア(自社サーバーにインストールする)型
- アプライアンス型
昨今は導入の容易性から①クラウド型を選定利用する企業が多いのではないでしょうか。ネットで検索してもクラウド型WAFのツールが目立っています。
「WAFならどれでもいい」という選定方法は危険です。「守りたい守備範囲」「コスト」「サポート体制」など多くの情報を収集し、メリット・デメリットを把握したうえで、自社に合ったツールを選定する事が重要かと思います。
また初期費用も重要な確認点です。月額費用のみ確認し実際御見積書を取ると「あれ?こんなにかかるのか」と想定と異なる場合がありますのでご注意ください。
WAFでできること
できることの代表例
- 通信の監視
- 攻撃の発見、およびその通信のブロック
- 攻撃ログやレポートの出力による可視化
監視、防御できる攻撃としてSQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクションなどが代表的な攻撃として挙げられます。昨今のサイバー攻撃方法で話題となった「DDoS攻撃」については、標準対応しているツール、オプション扱いとなるツールがありますので検討時に確認が必要です。
また新たに確立された攻撃(ゼロデイ攻撃などともいわれます)についても、サービス(ツール)ベンダー側で防御ロジックを構築する事により対策可能となります。
WAFによる防御が有効な攻撃として、REST APIサービスに対するAPIの脆弱性を狙ったものがあります。REST APIとはHTTPS通信の使用したAPI設計であり、APIの脆弱性があるWebアプリケーションをWAFで防御することができます。
実際、昨今の攻撃方法は多岐にわたり、個人で最新の脆弱性把握、対策を(出来る限り)リアルタイムに講じる事は難しいでしょう。WAFを導入する事でWebアプリケーション脆弱性に対する対策が「かんたんに」「専門担当者の目線で」できます。より安心安全な環境をユーザーに提供する事は、御社の情報を守る点で有効な手段となります。
なぜWAFを採用する企業は増え続けているのか?
ここまでWAFの概要をご紹介しましたが、実際のところ国内での状況はどのようになっているのでしょうか。
2020年度のWAF運用監視サービスの市場規模は前年比11.6%増の105億8,000万円、2025年度には166億円規模にまで拡大する事が見込まれています。
(出典:ITRプレスリリース「ITRがWAF運用監視サービス市場規模推移および予測を発表」
2021年12月2日 https://www.itr.co.jp/company/press/211202PR.html)
WAF市場は大変活況で毎年二桁以上の成長が見込まれています。
WAFの導入が活況な理由はなぜなのでしょうか?まずは、「サイバー攻撃に対する危機感」という気運や意識の向上が年々浸透してきている事が大きいと感じています。サイバー攻撃が他人事から自分事となり、何かあってからでは遅いという認識に企業が変わってきているのです。サイバー攻撃への対策を講じておく事は企業活動の標準的対応(ちょっと言いすぎでしょうか?)にむかっていると感じています。
実際私も日々の活動の中で下記のような相談を受けます。
サイバー攻撃に対する相談事
- 自社の経営層から「当社の対策はどうなっている?」と聞かれたがどうすればいいか。
- お取引先様から「御社のサービスはどのような対策を取っていますか?」と聞かれ困っている
- 開発に関わる方から「提案要件にセキュリティ対策」が含まれていてツール採用を検討したい。
など様々な背景からご相談頂く機会が増えております。
「まずは自社内メンバーで対応してから」とおっしゃられる企業様ももちろんいらっしゃいます。しかしセキュリティに特化したエンジニアの育成は長い時間がかかりますし、セキュリティ対策の主幹部門となる情報システム部門の方は社内のITツールに関する業務を一手に担っているケースも多いでしょう。現在のタスクが手一杯で十分なセキュリティ対策まで手が回らないケースも多いのではないでしょうか。
つまり試行錯誤の結果、セキュリティ対策として「専門の会社」や「専門のツール」を導入・活用する企業が増加しているのです。
まとめ
「 WAFとは?サイバー攻撃対策としてWAFがオススメの理由」と題してご説明してまいりました。今回の記載内容いかがでしたでしょうか?「サイバー攻撃対策」「セキュリティ対策」と聞くとハードルが高くて難しいものという印象があります。しかしクラウド型WAFは「早期に」「カンタンに」「低コスト」で始められる対策手段としてオススメです。WAFを導入すれば対策万全、という事ではなくあらゆる攻撃から自社を守る手段の一つとしてご検討ください。
当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。
