WAFとは? 定義や導入するメリット、注意点をわかりやすく解説

 2022.07.30  Microsoft 365チャネル編集部

近年、テクノロジーの進歩・発展に伴って、Webアプリケーションがもつ特有の脆弱性を突く被害が増加傾向にあります。そこで重要となるのが、Webアプリケーション層の保護に特化した「WAF」です。本記事では、WAFの役割や導入するメリット、他のセキュリティ対策との違いなどについて解説します。

WAFとは? 定義や導入するメリット、注意点をわかりやすく解説

New Call-to-action

WAFとは?

現代はデジタル化が加速度的なスピードで進展しており、それに伴ってマルウェアや不正アクセスなどのサイバー攻撃も年々巧妙化しています。従来の境界防御型のファイアウォールでは防ぎきれないサイバー攻撃が増加しており、とくに被害が急増しているのが「SQLインジェクション」や「クロスサイトスクリプティング」など、Webアプリケーションの脆弱性を狙った悪質な攻撃です。こうした攻撃から情報を保護する役割を担うのが、「WAF」です。

Webサービスに対するセキュリティ対策のひとつ

WAFは「Web Application Firewall」の頭文字をとった略称で、Webアプリケーション層に対する攻撃を防ぐために開発されたセキュリティソリューションです。基本的にはWebサーバーの前段に設置することでトラフィックを精査し、シグネチャと呼ばれる攻撃パターンを検出するルールに基づいて、脅威を無効化します。ECサイトやネットバンキングなど、個人情報を取り扱うWebサービスのセキュリティ強化に適したソリューションです。

WAFの提供には3種類の形態がある

WAFには「アプライアンス型」と「ソフトウェア型」、そして「クラウド型」の3種類があります。従来はWebサーバーの前段に設置するアプライアンス型が一般的でしたが、現在はSaaSとして提供されるクラウド型が主流となりつつあります。クラウド型は物理的なハードウェアやソフトウェアを導入する必要がないため、システムの導入費用と保守・運用管理コストを抑えられる、というのが主な理由です。

スピアフィッシング:主要な攻撃と攻撃トレンド~攻撃者の進化した戦術と標的となる人物に関する洞察~(2021年7月 Vol.6)
スピアフィッシング:主要な攻撃と攻撃トレンド~侵害されたメールアカウントにおける攻撃者の振る舞いに関する分析~(2020年7月 Vol.4)

なぜWAFが必要なのか?

基本的にWebアプリケーションはクライアントの要求に対し、動的に応答するプログラムによって構築されており、Webブラウザさえあれば誰でもアクセスできる仕組みとなっています。そのため、高度な知識を有するハッカーであれば、不正なSQLコマンドを実行することでデータベースにアクセスし、情報を窃取・改竄するといったことも不可能ではありません。このようなWebアプリケーション特有の脆弱性を突くサイバー攻撃は、従来型のファイアウォールやIPSでは対応しきれないため、WAFが必要とされるのです。

WAFを導入するメリット

WAFの導入によって得られる主なメリットは、以下の3つです。

さまざまなサイバー攻撃に対応できる

現代のサイバー攻撃は多岐にわたり、ひとつのセキュリティソフトだけでは対応しきれない可能性があります。先述したように、ファイアウォールやIPSはWebアプリケーション層への攻撃に対応しきれません。しかし、ファイアウォールやIPSに加えて、Webサーバーの前段に設置するWAFを組み合わせることで、ネットワーク層とプラットフォーム層、そしてWebアプリケーション層の多層防御が可能となり、堅牢なセキュリティ体制を構築できます。

Webサービスの信頼性向上につながる

Webアプリケーション層へのサイバー攻撃の代名詞として、冒頭で触れたSQLインジェクションが挙げられます。SQLインジェクションは、検索ボックスや入力フォームなどに不正なSQL文を注入し、データベースに侵入するサイバー攻撃です。SQLインジェクションは、個人情報を取り扱うWebサービスに甚大な被害を及ぼす可能性がありますが、WAFを導入することで情報漏洩インシデントを防止できる可能性が高まります。

サイバー攻撃を受けた後もカバーできる

WAFはサイバー攻撃に対する事前対策としてだけでなく、セキュリティインシデント発生後の対策としても効果を発揮します。何らかの攻撃を検知した場合、システム障害や動作不良が発生する前に対処するのはもちろん、一度受けたサイバー攻撃の内容を把握するという特性を備えているため、WAFは事後対策としても役立ちます。セキュリティインシデントの発生時はいち早く対応し、被害の拡大を未然に防ぐ必要があるため、Webサービスを展開している企業にとって必須のソリューションです。

WAFと他のセキュリティ対策との違い

WAFとファイアウォールやIPSには、どのような違いがあるのでしょうか。ここでは、WAFと他のセキュリティ対策との違いについて解説します。

ファイアウォールとの違いは対応できる攻撃の種類

ファイアウォールはLANとインターネットの間に設置され、内部ネットワークを保護・監視するセキュリティソリューションです。基本的にLANに向かう通信は、すべてファイアウォールを通過し、ポート番号やIPアドレスなどを制御するルールに基づいて不正なトラフィックを遮断します。外部ネットワークからの不正な攻撃を監視し、防火壁となるファイアウォールですが、Webアプリケーション層への攻撃や正常な通信を装った攻撃には対応できません。

IPSやIDSとの違いは対応できる範囲の広さ

不正侵入防止システムと訳される「IPS(Intrusion Prevention System)」や、不正侵入検知システムと呼ばれる「IDS(Intrusion Detection System)」は、OSやミドルウェアといったプラットフォーム層を保護するセキュリティソリューションです。ファイアウォールでは遮断できない標的型攻撃やDoS攻撃などの検知・遮断に特化しているものの、多様化するWebアプリケーションへの攻撃には対応しきれないケースが多い傾向にあります。

WAFを導入する際の注意点

WAFは優れたセキュリティソリューションですが、導入にあたって注意すべき点も少なくありません。WAFを導入する際の注意点として挙げられるのが、以下の3つです。

導入にはある程度のコストがかかる

WAFの導入には提供形態を問わず、ある程度のコストを要します。とくにアプライアンス型はハードウェアの導入が必要であり、初期費用と保守・運用管理コストが高くなる傾向にあります。物理的なハードウェアを必要としないクラウド型は、他のタイプと比較して導入費用を安価に抑えられます。

対応できないサイバー攻撃もある

WAFは、ファイアウォールやIPSでは防ぎきれないサイバー攻撃を遮断できるものの、ネットワーク層やプラットフォーム層に対する攻撃には対応できません。そのため、ファイアウォールやIPSなど、他のセキュリティソリューションと組み合わせ、複数の防御層を重ねる多層防御のセキュリティを施すことが重要です。

セキュリティが厳しくなりすぎる可能性がある

WAFの設定次第ではセキュリティレベルが高くなりすぎてしまい、誤検知を起こしかねません。その場合、正常な通信が不正アクセスとみなされ、組織内部の通信まで遮断してしまう可能性があります。そのため、自社で対応できるクラウド型を使う、あるいはセキュリティレベルの設定から外注するなどの対策が必要です。

まとめ

WAFは、Webアプリケーション層の防御に特化したセキュリティソリューションです。とくに、個人情報を取り扱うWebサービスのセキュリティを高めるうえで、非常に効果的なシステムです。セキュリティ体制の強化を推進する企業は、WAFが搭載されているクラウドサービス「Microsoft Azure」の導入をご検討ください。

スピアフィッシング:主要な攻撃と攻撃トレンド~最新のソーシャルエンジニアリングの戦術と複雑化する攻撃に関する見解~(2022年3月 Vol.7)

RECENT POST「運用管理」の最新記事


運用管理

安全にWindow10のバックアップと復元を行う4つの方法とは

運用管理

SLO(ソフトウェアライセンス最適化)とは? 重要性・ソリューション

運用管理

Microsoft Teams運用の課題とその対策

運用管理

ソフトウェアライフサイクルとは? フェーズやモデルを解説

FAVORITE POST「Microsoft製品」の人気記事


WAFとは? 定義や導入するメリット、注意点をわかりやすく解説
できる Microsoft 365 管理編
ブログ購読のお申込み
デジタルトランスフォーメーション チャンネル
クラウド実践チャンネル
BizApp チャンネル

関連サイト

サイト掲載へのお問い合わせ