2024.08.14

WAFとは？仕組みや機能、導入するメリットをわかりやすく解説

著者株式会社SHIFT　マーケティンググループ

Introduction

ECサイトや企業の会員サイトなどを運用している場合、サイバー攻撃による脅威への対策が必要だと強く感じている担当者も多いでしょう。とくに近年は、サイバー攻撃が激化しており、従来のセキュリティ対策だけでは防げない、セキュリティの脅威が増えてきました。

Webアプリケーションへの脆弱性をついて行われる、サイバー攻撃を防ぐために有効なのがWAFです。しかし、WAFとはいったい何なのか、どのような効果を得られるのか、自社にとって必要なのかなどを知りたいという人も多いでしょう。

この記事では、WAFの定義、仕組みや機能、実現できること、メリットや注意点などについて解説します。

WAFとは？

WAFとは、Webアプリケーションの脆弱性をついた攻撃から、Webサイトを守るためのセキュリティ対策のことです。

ここでは、WAFの定義、WAFが必要とされている背景や、ファイアウォールとの違いについて解説します。

脆弱性をついた攻撃から保護するセキュリティ対策のこと

WAFとは「Web Application Firewall」の略で、WebサイトをWebアプリケーションの脆弱性を悪用した攻撃から守るための、セキュリティ対策のことです。

情報処理推進機構（IPA）の『Web Application Firewall (WAF)読本改訂第２版』によると、以下のように定義されています。

WAF

WAF は、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つです。

守りたいWebサーバーの前に設置し、サーバーへの通信内容を解析して、攻撃を検知したら通信を遮断します。このような方法で、インターネットバンキングやECサイトなど、金銭授受が発生する重要なサイトや、個人情報を預かる会員サイトなどを守ります。

▽あわせて読みたい▽
＞＞脆弱性とは？その種類や放置する危険性、正しいセキュリティ対策について解説のページへ

WAFが必要とされている背景

WAFが必要とされている背景には、Webサイトが誰にでもアクセスできるものであるため、サイバー攻撃を受けやすいことがあります。

とくに、Webアプリケーションの脆弱性を悪用した、サイバー攻撃が増えています。JPCERT／CC（一般社団法人JPCERTコーディネーションセンター）の調査によると、2024年第1四半期の同団体への届け出のうち、42％がWebアプリケーションの脆弱性で、もっとも多い結果となりました。Webアプリケーションの脆弱性が多い傾向は、ここ数年ずっとつづいています。

このように、Webアプリケーションの脆弱性をついたサイバー攻撃が継続して多発していることから、WAFが必要とされていることがわかります。

ファイアウォール（FW）との違い

FWは、社内ネットワークなどがインターネットと接する部分に置く、ネットワーク機器です。ネットワークレベルでのセキュリティ対策を行えて、送信元のIPアドレスやポート番号などによって、アクセス制限を行えます。

つまり、FWは通信の中身を見ずに、ネットワークレベルの通信制御ができるセキュリティ対策ツールです。そのため、正常な通信を装ったサイバー攻撃などは防げません。

このように、通信内容を解析して攻撃を検知するWAFとは、防御手段が異なることがわかります。

▽あわせて読みたい▽
＞＞ファイアウォールとは？重要性や種類、機能、設置パターンについて解説のページへ

IDS／IPSとの違い

IDSは不正侵入検知システム、IPSは不正侵入防止システムです。それぞれセットで使用することで、不正アクセスなどの異常を検知して防御できます。IPSは、プラットフォームレベルのセキュリティ対策を行うため、防御範囲が広いです。

一方、WAFは、上位のアプリケーションレベルのセキュリティ対策を行うソリューションで、Webアプリケーションの防御に特化しています。そのため、防御する対象と検知のレベルが異なることがわかります。

▽あわせて読みたい▽
＞＞IDS／IPSとは？機能や役割の違い、対策できる攻撃について解説のページへ

WAFが動作する仕組み

WAFで通信を防御する仕組みには、ブラックリスト方式とホワイトリスト方式の二つがあります。

ブラックリスト方式

この方式では、拒否する通信をあらかじめ設定し、シグネチャに定義しておきます。そして、そのシグネチャと一致する通信が届いた際に、拒否する方式です。既知の脅威に対策することは可能ですが、未知の脅威には対応できません。

ホワイトリスト方式

ホワイトリスト方式では、あらかじめ許可する通信をシグネチャに定義しておき、一致する通信が届いたときにだけ許可する方式です。

未知の脅威にも対応でき、セキュリティレベルを高めることが可能です。しかし、一方で、利用者すべてを登録しなければならないため、利便性の面でデメリットがあります。

WAFの機能・できること

WAFに搭載されている基本的な機能や実現できることについて、解説します。

不正な通信の検知・遮断

不正な通信を検知して、遮断する機能です。シグネチャをあらかじめ定義しておき、シグネチャに一致した通信を許可、または遮断します。

シグネチャ（識別ルール）の自動更新

クラウド型のWAFでは、シグネチャを自動更新できる機能が搭載されています。最新の状態に定期的に更新することで、ユーザーがシグネチャを定義しなおす必要はありません。シグネチャの自動更新により、新たなサイバー攻撃も認識して対処することが可能です。

IP制限・特定URLの除外

特定のIPアドレスやURLからの通信を、チェック対象から除外する機能です。たとえば、自社の拠点やサイトからの通信であれば、安全であることは確認済みのため、除外することでパフォーマンスを落とさず稼働できます。

すべての通信をチェックするとパフォーマンスが落ちてしまいますが、あらかじめ安全な通信を除外する機能があれば効率よく稼働でき、通信パフォーマンスの低下を防げるでしょう。

Cookieの保護

Webブラウザの閲覧情報を記録するための、Cookie情報を保護する機能です。Cookieを盗みとって改ざんしたり、セッションを乗っとったりするサイバー攻撃も存在します。このような攻撃を防ぐためには、Cookie情報を暗号化するなどして保護する対策が有効です。

ログ収集・レポート出力

遮断した通信などのアクセスログを収集し、レポートを出力する機能です。この機能により、どのような攻撃が行われたかをデータで読みとることで、分析することが可能です。

セキュリティの脅威をただ防御しただけでは不十分で、過去の攻撃の状況を把握することにより、対策を立てる必要があります。たとえば、どのポートが狙われているのか、どのような攻撃手段をとっているのかなどの情報を分析することで、セキュリティ対策の改善に活かせます。狙われているポートの防御を強化したり、増えてきている攻撃手段への対抗措置をとったりすることで、セキュリティレベルを強化できるでしょう。

WAFで対策ができるサイバー攻撃の種類

WAFで対策が可能なサイバー攻撃には、次のようなものがあります。

・バッファオーバーフロー：大量のデータを送りつけて誤作動を起こさせる
・クロスサイトスクリプティング：SNSや掲示板サイトなどの入力欄にスクリプトをしかけ、誤動作を起こさせる
・SQLインジェクション：Webアプリケーションの入力欄に不適切なSQLを入力して、誤動作を起こさせる
・OSコマンドインジェクション：SQLインジェクションと同様の手段でOSに誤作動を起こさせる
・DDoS攻撃：複数の端末から大量データなどを送りつけ、サーバーダウンや遅延を起こさせる
・ブルートフォースアタック：パスワード総当たり攻撃で不正アクセスを試みる
・ディレクトリトラバーサル：相対パスを使い、サーバー上のファイルやフォルダの位置を把握して不正アクセスする

WAFを導入するメリット

WAFを導入すると得られるメリットについて、ご説明します。

脆弱性が見つかった際に暫定的な対策ができる

脆弱性診断などを行った際に脆弱性が見つかっても、対処方法がむずかしいなどの理由で、すぐに対処できないことがあります。その際に、暫定対処としてWAFを導入し、問題の通信を一時的に遮断することが可能です。暫定対処中に脆弱性への対処を行うことで、時間を稼ぐこともあります。

インシデント発生時の応急処置ができる

セキュリティインシデントが発生した際、対策が完了するまでに、暫定的にWAFを導入することもあります。サイバー攻撃によって、サーバーダウンや遅延などが発生した場合、原因の究明や対策などの対処を行っている間に、WAFで通信制限を行います。そうすることで、被害をこれ以上拡大することを防ぎ、原因の究明と対策の実施を行うための時間を確保することが可能です。

このように、暫定的な通信制限のために、WAFを導入することはよくあります。

▽あわせて読みたい▽
＞＞セキュリティインシデントとは？原因や被害事例、企業がとるべき対策を解説のページへ

セキュリティ対策を均質化できる

複数のWebサーバーやWebアプリケーションを運用しているケースでは、脆弱性対策の漏れや、実施する対策にばらつきが出てしまうことがあります。自社で運用するWebサイトやWebアプリケーションのセキュリティ対策に、ばらつきが出てしまうのはよろしくありません。

そこでWAFを導入することにより、攻撃リスクを低減でき、対策漏れが残っている箇所も、対策が終わっている箇所と同様のセキュリティレベルを保てます。

WAFの種類

WAFには、いくつかの種類があります。ここでは、それぞれの仕組みやメリット、デメリットについて解説します。

クラウド型WAF

クラウド上のWAFサービスを利用できるタイプです。導入しやすく、初期費用が安いのが大きなメリットです。また、企業側のネットワーク構成を変更する必要がありません。そのため、できるだけコストを抑えて導入したい場合に適しています。

一方で、企業ごとのカスタマイズを自由にできない、クラウド側で障害が発生した場合は影響を受けるというデメリットもあります。また、通信量によってはランニングコストが高騰するため、規模が大きい企業の場合には、ソフトウェア型の方がコストを抑えられる場合もあるでしょう。

ソフトウェア型WAF

ソフトウェア型WAFは、ホスト型WAFとも呼ばれ、企業内のWebサーバーにインストールするタイプです。

専用機を必要とするアプライアンス型よりは費用を安く抑えられますが、クラウド型よりは高額です。企業内のネットワーク構成を変更する必要もありません。

アプライアンス型WAF

企業内の各部署などのネットワーク内に、専用機を設置するタイプです。ゲートウェイ型WAF、ネットワーク型WAFなどと呼ばれることもあります。

メリットとしては、専用機で稼働するため、Webサーバーに負荷がかからないという点があります。また、自社のみで運用するので、自由にカスタマイズ可能です。

一方で、上記の2タイプよりも圧倒的に導入コストが高く、運用コストもかかります。自社運用するためには、WAF専用機の運用部署を設置する必要があるでしょう。大規模システムを抱える大手企業に適しています。

WAFを導入する際の注意点

WAFを導入する際に気をつけたい注意点について、ご説明します。

誤検知や誤診断をする可能性もある

WAFによる不正な通信の検知、判断内容は、必ずしも正しいとは限りません。セキュリティレベルが高すぎると、不正ではない通常の通信を遮断してしまうなども考えられます。

そのため、定期的に通信ログや処理結果のレポートを分析し、問題がないか、シグネチャの設定の更新が必要ないかなどを確認する必要があります。

ほかのセキュリティソリューションとの併用が必須になる

WAFだけで、すべてのセキュリティの脅威を防げるわけではありません。アプリケーションレベルでの不正の検知だけでなく、別の観点からの監視、検知、防御ができるセキュリティソリューションを導入する必要があるでしょう。サイバー攻撃が複雑化、多様化しているため、さまざまな観点からセキュリティ対策を行うことが重要です。

導入・運用にコストがかかる

上記のとおり、ソフト型WAFやアプライアンス型WAFは導入コストが高額で、クラウド型WAFやアプライアンス型WAFは運用コストがかかります。導入する前に、どのようなコストがかかるのかを具体的に見積もり、計画しておく必要があるでしょう。

まとめ

この記事では、WAFの定義、仕組みや機能、実現できること、メリットや注意点などについて解説しました。WAFは、Webアプリケーションを運用する企業にとって、必要なセキュリティソリューションであることがわかっていただけたでしょう。

SHIFTでは、さまざまなセキュリティソリューションの導入支援を行っています。企業サイトやECサイトのセキュリティレベルを高めたいなどの場合には、お気軽にご相談ください。

＞＞SHIFTのセキュリティソリューションのページへ
＞＞お問い合わせページへ
＞＞料金についてページへ

引用元：

情報処理推進機構（IPA）｜Web Application Firewall (WAF)読本改訂第２版

この記事を書いた人

著者株式会社SHIFT　マーケティンググループ

SHIFTは「売れるサービスづくり」を得意とし、お客様の事業成長を全力で支援します。無駄のないスマートな社会の実現に向けて、ITの総合ソリューションを提供する会社です。

サービスサイト：https://service.shiftinc.jp/
コーポレートサイト：https://www.shiftinc.jp/
X（旧Twitter）：https://twitter.com/SHIFT_cp

ご支援業種

製造、金融（銀行・証券・保険・決済）、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント

など多数

前のページへ

次のページへ

コラム一覧に戻る