WAF(Web Application Firewall)とは? 情報セキュリティ対策の重要知識を基礎から解説

 2021.09.29  Microsoft 365チャネル編集部

近年、Webアプリケーション特有の脆弱性を突くサイバー攻撃の被害が増加傾向にあります。そこで大きな注目を集めているのが、Webアプリケーション層の保護に特化した「WAF」です。本記事では、WAFの概要や必要とされる背景について解説するとともに、具体的な導入メリットや代表的な脅威をご紹介します。

WAF(Web Application Firewall)とは? 情報セキュリティ対策の重要知識を基礎から解説

New Call-to-action

WAFとは?初心者にも分かりやすく解説

「WAF」とは「Web Application Firewall」の略称で、Webアプリケーションがもつ特有の脆弱性を突くサイバー攻撃から、情報を保護するセキュリティシステムです。

Webアプリケーションとは、SNSや動画配信サービスなどのWebブラウザ上で稼働するサービス全般を指します。Webアプリケーションは、クライアントからの要求に対して動的に応答するプログラムで構築されており、Webブラウザさえあれば誰でも簡単にアクセスできる仕組みとなっています。

そのため、セキュリティに何らかの脆弱性がある場合、高度な知識を備えたハッカーであれば不正にSQLコマンドを実行し、情報を格納するデータベースにアクセスすることも不可能ではありません。また、Webアプリケーションのプログラム上に内在するバグを利用し、個人情報を窃取・改ざんするといった手法も存在します。こうしたWebアプリケーション特有の脆弱性を突く攻撃から、情報を保護するのがWAFの役割です。

ファイアウォール・IPS(不正侵入防止システム)との違いは?

WAFは名称に「Firewall」が含まれていますが、ネットワークセキュリティにおける「ファイアウォール」とは意味や機能が異なります。ファイアウォールはLANとインターネットの間に設置され、組織内部のネットワーク層を保護するソリューションです。しかし、OSやミドルウェアなどを標的としたネットワーク外部への攻撃に対しては、ファイアウォールでは保護できません。

OSやミドルウェアなどのプラットフォーム層を保護する際は、「不正侵入防止システム」と呼ばれる「IPS(Intrusion Prevention System)」が用いられます。IPSは独自のセキュリティルールに則り、プラットフォームレベルで通信状況を監視するソリューションです。しかし、ファイアウォールでは保護できないサイバー攻撃を幅広い領域で検知できる一方、Webアプリケーション層への脅威に対しては全域を保護できません。

こうしたファイアウォールやIPSで遮断できないアプリケーション層への攻撃から、情報を保護するのがWAFです。WAFはアプリケーション層への攻撃に対し、「シグネチャ」と呼ばれる攻撃パターンを検出するルールに基づいて脅威を無効化します。ファイアウォール・IPS・WAFの3つは、優劣を比較するものではなく、それぞれに一長一短があります。保護する対象や監視する領域が異なるため、自社のシステム環境に適した製品を導入しなくてはなりません。

「Coo Kai 活動分析」
「Coo Kai 運用支援サービス」

WAFが必要とされる理由や背景

情報通信技術の進歩によって、現代社会は目覚ましい発展を遂げました。しかし、メリットの裏には必ず相応のデメリットがあるように、ITの進歩・発展に比例して、不正アクセスやマルウェアといったサイバー攻撃の脅威も年々巧妙化しています。このような社会的背景のなかで、企業が自社の情報資産をさまざまな脅威から保護するためには、これまで以上に堅牢なセキュリティ体制を整備しなくてはなりません。

また、近年はクラウドファーストの流れが加速しており、「AWS」や「Azure」などのクラウドプラットフォーム上にWebアプリケーションを構築する企業も増加しています。Webアプリケーションを業務利用する機会が増加した昨今では、各サービスの脆弱性を突かれるリスクが高まっているため、それらを包括的に保護できるWAFが重視されています。

WAFの導入メリット

WAFの最も大きな導入メリットは、事業継続性を脅かす情報漏洩インシデントの防止です。市場における競争性が激化するなか、顧客から選ばれる企業になるためには、信頼関係を構築しなくてはなりません。情報漏洩インシデントの発生は、企業の社会的信用の失墜を招くだけでなく、事業免許の取り消しや行政指導による業務停止といった事態につながる可能性もあります。

ファイアウォールやIPSは優れたセキュリティシステムであるものの、アプリケーション層への攻撃には対応しきれません。ファイアウォールとIPSに加えてWAFを組み合わせることで、ネットワーク層・プラットフォーム層・アプリケーション層の多層防御が可能となり、従来の境界防御型では実現できなかった強固なセキュリティ体制を構築できます。

WAFの導入が有効となるサイバー攻撃の例

Webアプリケーションは、クライアントからの要求に対して動的に応答するという性質上、特有の脆弱性が存在します。セキュリティの脆弱性が存在しないWebアプリケーションの設計・開発は、現時点では不可能に近く、とても現実的とはいえません。大切なのは、どのような脆弱性を突く攻撃が存在するのかを把握し、自社のシステム環境に適した対策を立案することです。Webアプリケーションの脆弱性を突くサイバー攻撃として知名度の高いものには、以下の3つがあります。

SQLインジェクション

Webアプリケーションの脆弱性を突くサイバー攻撃の代名詞ともいえるのが、「SQLインジェクション」です。Webアプリケーションは、SQLという言語を用いてデータベースに命令文を送り、その命令に基づいてサーバー側で情報を処理し、その結果をクライアントに返します。このとき、SQL文のエラー処理が適切に組まれていないWebアプリケーションの場合、不正なSQLコマンドの実行によってデータベースへの侵入を許してしまいます。

たとえば、IDやパスワードの入力欄にSQL文を入力しても本来はエラー処理されますが、プログラムに不備があると命令文と誤認し実行してしまうのです。つまり、第三者によるデータベースの不正操作が可能になるため、情報の窃取や改ざんといった被害につながる可能性があります。このようなWebアプリケーションの脆弱性を突き、「SQL(データベースを操作する命令文)」を「injection(注入)」することから、SQLインジェクションと呼ばれています。

XSS(クロスサイトスクリプティング)

「XSS(クロスサイトスクリプティング)」とは、Webアプリケーションの脆弱性を突き、悪質なWebサイトへ誘導するスクリプトを仕掛ける攻撃です。まず、攻撃者はSNSやブログメディアなどに悪質なWebサイトへ誘導するリンクを設置します。それをクリックしてしまうと、ユーザーのブラウザ上で不正スクリプトが実行され、個人情報の流出やマルウェアの感染といった被害をもたらします。トラップを仕込まれたWebサイトから脆弱性のある別サイトへ遷移させるという手口が、クロスサイトスクリプティングと呼ばれる所以です。

ゼロデイ攻撃

「ゼロデイ攻撃」は、脆弱性が発見されてから修正される前に仕掛けられるサイバー攻撃を指します。Webアプリケーションやソフトウェアにセキュリティの脆弱性が発見された場合、修正パッチの提供によってアップデートすることで対応可能です。しかし、脆弱性の発見から修正に至るまでにはタイムラグがあり、その間は脅威に対して無防備であるといえます。このような、まだ修正されていない新しい脆弱性を突くのがゼロデイ攻撃です。

修正パッチの提供日を「1日目」として考えた場合、対策を講じるまでの空白期間が「0日目」となることからゼロデイ攻撃と呼ばれます。Webアプリケーションやソフトウェアに脆弱性が発見された場合、本来であればベンダーが対策を実施するまで対応できません。しかし、WAFを導入することで、修正パッチが提供されるまでの空白期間をカバーリングできます。

まとめ

WAFは、従来のセキュリティシステムでは保護できない、アプリケーション層の保護に特化したソリューションです。情報という貴重な経営資源を保護するためにも、WAFの導入を検討してみてはいかがでしょうか。堅牢なセキュリティ体制を整備したい場合は、株式会社ピーエスシーが提供するセキュリティサービスの利用をおすすめします。

CTA

RECENT POST「セキュリティ」の最新記事


セキュリティ

Intuneで対応しているMAMのコンセプトと機能を紹介

セキュリティ

今までのOfficeと何が違う?Office 365と徹底比較 〜何ができる?何が違うに答えます〜

セキュリティ

いまさら聞けないOffice 365、基本と機能のポイント

セキュリティ

Windows 10、スタートアップを便利にカスタマイズする

FAVORITE POST「Microsoft製品」の人気記事


WAF(Web Application Firewall)とは? 情報セキュリティ対策の重要知識を基礎から解説

サイト掲載へのお問い合わせ