最近、ハッキング等による情報漏洩や攻撃による身代金問題の報道をよく目にする事が増えました。大企業でも情報漏洩する事があり、もはやセキュリティ対策は必須になっています。もし情報漏洩が起きた場合、会社に対する損害は計り知れません。本記事をご覧頂いている方もセキュリティに興味があるか、仕事として必要になった為たどり着いたのではないでしょうか?
企業のセキュリティ対策として有効と言われているものの1つにWebアプリケーションを守るWAF(ワフ)があります。では、そもそもWAFとは何なのか、使うメリット・デメリットを、分かりやすく解説していきます。 「WAFの説明はどれなのでしょう?」のテーマを一緒に考えながら、WAFを詳しく理解してみましょう。
WAFの説明はどれか?内容も分かりやすく解説
WAFとは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、WebサイトやECサイト等「Webアプリケーションをサイバー攻撃から守るツール」になります。コーポーレートサイトや掲示板などもWebアプリケーションになりますね。インターネット上で目にするサービスの多くがWebアプリケーションと言えるでしょう(メール配信ソフトなど一部は除きます)
そもそもWAFとは何なのでしょう?例えば、セキュリティソフトで有名なノートンはPCをマルウェアから保護する機能で有名です。WAFはWebアプリケーションを保護する事に特化しています。具体的にどのように保護するとかというと、Webアプリケーションとその利用者の通信の間に入りアクセスを監視・解析し、攻撃と判断した場合は自動でアクセスを遮断してくれます。
Webアプリケーションに対する攻撃にはどのような種類があり、どの攻撃からWAFが保護してくれるのかをまとめたのが次の図1になります。
【図1】
「WAFの説明はどれか?」と聞かれたとすると、図1に「WAF」と書いてある部分で、サイバー攻撃のリスクから守ってくれるものなのです。SQLインジェクションやクロスサイトインジェクション、OSコマンドインジェクションのようなWebアプリケーションの脆弱性をついてくる攻撃パターンに対して、防御してくれる仕組みです。
Webアプリケーションへの「入口または出口」が守備範囲のWAFですが、ファイヤーウォールやIPS/IDSとは役割が少し違いますね。WAFだけでなく、ファイヤーウォールやIPS/IDSと組み合わせることによって、より一層強固な防御になることを覚えておきましょう。
WAFを導入する意味、メリットをご説明
前述でWebアプリケーションへの攻撃は様々な方法があるとお伝えしましたが、こういった脅威からどのようにしてセキュリティ対策を行っていけばいいのでしょうか?Webアプリケーションのセキュリティ対策としてWAFを採用するメリットをご説明します。
例えば自社のWebサイトにセキュリティを設ける場合、通常は自社サイトの脆弱性診断を外部の会社に委託する事から始まります。診断結果から対策の必要があると判断された場合は、診断結果に応じたプログラムの修正が必要になります。脆弱性診断をうけたらすぐにでも対策を終わらせたい所ですよね。
ただ、修正の内容に応じたコストや期間が発生する可能性があります。脆弱性が存在したままのサイトを運用するのはかなりリスクが高いと思います。
一方でWAFは導入するだけで攻撃を遮断してくれます。例えば、クラウド型のWAFであればソフトのインストールなどの必要もなく、申込からすぐに利用が可能です。一般的なセキュリティ対策では「時間とコスト」がかかるのがデメリットでした。しかしWAFを利用すればセキュリティ対策にかける、「時間とコスト」は抑える事が出来るのがメリットです。
一般的な対策 | WAF |
---|---|
・専門の技術者が必要になる ・対策するのに時間がかかる | ・自動またはカスタムで設定するだけ ・時間も殆どかからない |
WAF導入のデメリット
図1のようにWAFは、Webアプリケーションに対する攻撃を監視しているので、それ以外の攻撃は防ぎません。また、インターネットを利用している通信が全て監視対象と思われるかもしれませんが、WAFはあくまでWebアプリケーションのみを防ぎますのでご注意ください。(インストールしたソフトやメールソフト等一部を除きます)
また、WAFはWebアプリケーションとその利用者の間に入りアクセスを監視しているので、状況によってはレスポンスに少し遅延が発生する可能性があります。他にも、まだ公開されていないWebアプリケーションの脆弱性を攻撃されたとき(ゼロディ攻撃)には、リアルタイムに防御できない可能性も考えられます。
まとめ
「 WAFの説明はどれか?セキュリティを学び始めたあなたへ 」と題して、ご説明してまいりました。WAFとは何なのか?概要や基本をお分かりいただけたでしょうか?
WAFの説明では、一口にセキュリティと言っても攻撃される場所によって対策方法が変わってくる事があります。WAFはWebアプリケーションの攻撃に特化したツールである事もお伝えしました。
WAFのメリットでは、一般的なセキュリティ対策を行ったときのデメリット「時間とコスト」がWAFを利用する事によって抑えられる事がご理解いただけたと思います。セキュリティが良く分からないという方にもWAFはすぐに利用でき簡単に設定ができるので、Webアプリケーションのセキュリティ対策にはWAFがお勧めです!
当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。