WAF(Webアプリケーションファイアウォール)は対象となるWebサイト等をサイバー攻撃の脅威から防御するセキュリティツールです。防御ツールという性質上、目に見えて動きを実感できる部分が少ないため、WAFにはどのような機能があるのか?と疑問を持っている方も多いと思います。本記事では、WAFが持つ代表的な機能について解説していきます。
そもそもWAF(web application firewall)にはどういった機能があるの?
基本的なWAF機能として、通信の監視・制御があります。通信パターンを記述した定義ファイル(シグネチャ)にもとづいて通信を監視し、許可・遮断を制御します。
制御の方法としてはセーフリスト形式とブロックリスト形式があり、セーフリストはシグネチャに設定した許可パターンに一致する通信のみを許可します。既知のパターンのみを許可するため、未知の攻撃への対策にも有効です。ブロックリストはシグネチャに設定した攻撃パターンに一致する通信を遮断します。
クラウド型WAFではシグネチャが自動アップデートされ、あらたなサイバー攻撃が登場してもいち早く防御態勢を整えることが可能です。
Webサイトを閲覧したときにブラウザに記録されるCookie(クッキー)とよばれるファイルも、なりすましなどのセキュリティ攻撃の標的となりえます。WAFは、Cookieの保護も行います。
Webアプリケーション全体を防御すると、APIにアクセスできなくなるなどWebアプリケーションの運用に支障が出るケースがあります。その場合は特定のURLを防御対象から除外して、必要な部分だけを防御できます。また、攻撃者のIPアドレスが分かっている場合は、指定したIPアドレスからの通信を遮断する機能もあります。反対に、指定したIPアドレスからの通信だけを許可する機能を持つWAFも登場しています。
WAFによる防御がどのように機能しているのでしょうか。ログ・レポートによって攻撃の種類や攻撃元のIPアドレスなどを確認することができます。
WAFの機能でできること
Webサイトを公開する際は、最新のセキュリティ対策がほどこされているケースが多いかと思います。一方で、セキュリティ対策をつねに最新の状態に保てているWebサイトはいくつあるでしょうか。このようなWebサイトは多くないはずです。
継続的なセキュリティ対策を施すためにはWebアプリケーションの改修など、コスト(マンパワーを含む)の問題がついてまわります。WAFを導入することでサイバー攻撃を水際で無効化することができるため、Webサイトの頻繁な改修を行うことなく継続的なセキュリティ対策の恩恵にあずかることができます。
シグネチャが検出した通信はログ機能で詳細情報を確認でき、月間のサイバー攻撃検出状況などの統計情報はレポート機能で取得することができます。WAFの稼働実績の資料としてはもちろん、サイバー攻撃の傾向調査やセキュリティ対策を講じる際の資料としても利用可能です。
レポート機能を活用すれば、日ごろインターネットを利用しない層にもサイバー攻撃の脅威やセキュリティ対策の重要性に関する訴求を行うことができます。
サイバー攻撃を防ぐことはWAFの最も重要な機能です。サイバー攻撃の詳細をログとしていつでも参照可能な状態にしておくことは、継続的なセキュリティ対策を行っていくうえで重要なWAFの機能といえます。
WAFの機能を使うときに気をつけたいこと
効果的に利用できればいいことずくめのWAFですが、機能の利用に際して注意するべき事項を3点挙げたいと思います。
WAF機能の利用で注意するべきポイント
1点目はセーフリスト形式・ブロックリスト形式の選定についてです。リストで制御を行う場合、リスト運用の負荷が少なくすむように注意しましょう。ブロックリストはブロック対象を網羅する必要がありますし、セーフリストは許可対象を網羅する必要があります。システム構成が頻繁に発生するような場合にはリストの更新が必要になるため、必要に応じた設計や運用が重要です。
2点目は、特定URLを防御対象から除外する機能についてです。自由な防御ルールを構築できる反面、除外範囲を広げすぎてしまうとセキュリティホールになってしまう可能性があります。Webアプリケーション等の利便性維持のためにWAFのセキュリティレベルを大きく下げる場合は、将来的なセキュリティレベル向上を見すえたWebサイト改修を検討する必要があります。
特定URLを防御対象から除外する機能は、あくまでも例外処置として必要最小限の範囲への適用にとどめておきましょう。特定URLの防御対象除外に加えて、シグネチャのカスタマイズも組み合わせることで、セキュリティ対策とWebサイトの利便性を両立させましょう。
3点目は、IPアドレスによるアクセス制限・許可する機能についてです。ログ・レポート機能を活用して定期的にアクセス元IPアドレスを確認しましょう。使用されなくなったIPアドレスや新たにアクセス元に追加されたIPアドレスなどがある場合は、アクセス制御・許可の対象となるリストへ反映させるようにしてください。
まとめ
手軽かつ恒久的なセキュリティ対策として、最近注目されているのがWAFです。本記事で紹介したWAF機能を効果的に使いこなすことができれば、セキュリティ強化にとどまらずサイバー攻撃の見える化ツールとしても利用できます。どのような攻撃を受けているかを知れば、より具体的な対策を講じることができるのもWAF導入の大きなメリットです。
サイバー攻撃は日々進化しています。セキュリティ対策も日々進化していく必要がありますが、サイバー攻撃の進化のスピードに対策を合わせ続けるのは容易ではありません。PCやスマホにウイルス対策ソフトをインストールするように、WebサイトにもWAFを導入して継続的なセキュリティ対策への第一歩としてみてはいかがでしょうか。
当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。