セキュリティ専門家によるWAF導入ガイド~おすすめのWAFを紹介~

 

WAF導入でWebセキュリティ実現

企業にとってセキュリティ対策は、その重要性を理解していてもついつい後回しにしてしまいがちなものです。しかしそんな現状に危機感を覚え、対策の一環としてセキュリティ製品の導入を検討している方が、読者の中には多いのではないでしょうか?

本記事では、Webセキュリティ対策として「WAFの導入」を考えている方に向けて、WAFの仕組みや防げる攻撃、必要性から選び方までを、広く詳しく解説していきます。

 

WAFとは?

WAFとは「Web Application Firewall」の略称で、Webアプリケーション用のファイアウォールのことです。読み方は「ワフ」が一般的です。

Webアプリケーション:Web上でアプリの様に動くサービスのこと。例)ECサイト、動画配信サイトなど。

WAFはWebアプリケーションを多様なサイバー攻撃から守るための、最も有効なセキュリティ対策の一つです。Webアプリケーションは、様々な技術が複雑に絡み合うことで成り立っており、同時に、技術革新目覚ましい分野でもあります。

ゆえに、「脆弱性」は絶えることなく生まれ続けており、企業にはWAFを導入することで常時それに対処していくことが求められます。

 

WAFを導入する必要性

WAFの導入は、「ビジネスの成長」という観点においてとても重要な必要性を有しています。それは、日本および世界中のサイバー攻撃の被害事例を見れば明らかです。

サイバー攻撃は「Webサイトの改ざん」や「情報漏洩」などの直接的被害だけでなく、社会的信用の低下、売り上げ機械の損失、法的責任、訴訟、株価の下落、一般社会への影響などの計り知れない間接的被害をもたらします。

そういった被害が、ビジネスの成長過程でどれほどの阻害要因になるかは、想像に難くありません。サイバー攻撃が増加の一途をたどる今日、WAFの導入は、Webサービスを運営する企業の「暗黙的な義務」とさえ言えるでしょう。

 

WAFの導入で防げる攻撃とは?

ここでは、WAF、IPS/IDS、FW(ファイアウォール)の違いを比較しながら、WAFが防げる攻撃について紹介します。

WAF、IPS/IDS、FWはそれぞれ、「守る領域」が違います。

WAF防御

  • WAF:Webアプリケーション層の防御
  • IPS/IDS:ソフトウェア/OS層の防御
  • FW:インフラ/ネットワーク層の防御

少しイメージしにくい方は、次のようにお考え下さい。「FWで防げない脅威をIPS/IDSが防ぐ。IPS/IDSで防げない脅威をWAFが防ぐ。」

具体的にWAFは、IPS/IDSやFWでは防ぐことのできない、Webアプリケーションへのサイバー攻撃を防ぐことができます。

製品によって差異があるものの、大抵のWAFでは、既知のWeb攻撃であれば全般的に防ぐことが可能です。

WAFが攻撃を検知/排除する仕組み

WAFを導入する前に、まずは仕組みを理解しましょう。仕組みを理解することで、WAFをどのように運用するのが効果的なのかを知ることができます。

WAFの機能は主に解析と遮断です。

通常、Webサーバの手前に設置されるWAFは、サーバへの通信を解析して「不正なコード」やその他の脅威が含まれていないかを確認します。解析結果に問題がなければ通信を通し、脅威が含まれている場合はそのアクセスを遮断することで、Webアプリケーションを安全に保護します。

それでは、WAFはどうやって「脅威の有無」を確認しているのでしょうか?多くの場合は、シグネチャ方式を採用しており、これは、通信内容と「既知の攻撃パターンを記録したデータベース(シグネチャ)」のパターンマッチングによって、脅威判定を行うというものです。

シグネチャ方式では、シグネチャに記録された攻撃パターンが多いほど防御力が高まりますが、新種・亜種の攻撃には対応しにくいという欠点もあります。

シグネチャ方式の欠点を克服した次世代型WAF

シグネチャ方式の欠点を克服した次世代型のWAFとして、「ロジックベース方式」を採用したWAFの導入が増えています。ロジックベース方式は、事前に決めたルール、つまりロジックをベースに攻撃をする方法です。そのためたった1つのルールだけで数百のシグネチャーが含む攻撃を遮断することができるのです。

もう一つの特徴は、シグネチャー方式のWAFに比べ維持や管理に要するリソースが極めて低いという点です。最初にルールが一通り設定されたら、その以降はベンダー側によって管理されるため、クライアントは例外設定などを登録しておくだけでスムーズに運用できます。またシグネチャーではなくルールで攻撃を検知するため、ゼロデイ攻撃などの未知の攻撃に対しても対応できます。

 

WAFの種類比較と選び方

WAFには大きく分けてアプライアンスWAF、ソフトウェア型WAFクラウド型WAFがあります。

それぞれに特徴・メリット・デメリットがありますので、自社の目的・体制・予算などによって最適な種類を検討しましょう。

 

アプライアンスWAF

アプライアンスWAFは、既存のネットワーク上に専用のハードウェアを設置する方法です。ハードウェア型WAFとも呼ばれます。

メリットは、自社に合わせて柔軟にカスタマイズできるため「最適なWAF設定を行える」ことや、高い処理速度と性能を持ち合わせている点です。

デメリットは、導入時にアプライアンス機器を購入するため「初期費用が高額」になること、および、WAFの運用を自社で行う必要があるため「専門の技術者が必要」な点です。

以上のような特徴があるため、「運用担当者・予算を確保できる中~大企業」であれば、アプライアンスWAFの導入を検討してみても良いでしょう。

アジア・パシフィック地域シェアNo1「WAPPLES

興味のある方は、試しに、ペンタセキュリティシステムズが提供するアプライアンスWAFWAPPLES」を見てみてください。「専門家に依存しない」という指針のもと設計されたWAPPLESは、どのような組織でも高いセキュリティレベルを実現します。

ソフトウェア型WAF

ソフトウェア型WAFは、既存のサーバにインストールする方法です。アプライアンス型との違いは、WAFがハードウェアではなくソフトウェアとして仮想マシン上に設置される点です。機能や構成は基本的に同じです。

メリットは、アプライアンス型より初期費用が低いことや、導入が手軽なこと、オンプレミスだけでなくクラウドベースのWebアプリケーション/サーバにも対応できる点です。

デメリットは、アプライアンス型と同様に年間保守/運用管理コストがかかることや、アプライアンス型に対しやや処理性能が劣る点です。

以上のような特徴があるため、ソフトウェア型WAFは、データセンターやホスティングサービス企業などの「クラウドベースでWebアプリケーションを運用する企業」におすすめです。

ソフトウェア型WAFWAPPLES SA」

弊社が提供するソフトウェア型WAFWAPPLES SA」は、アプライアンスWAFWAPPLES」と同様の機能を提供しつつ、AWS、Azure、VMware、Citrix Xen等基盤のクラウド環境を含め、様々な仮想環境に対応し高度なWebセキュリティを実現します。

クラウド型WAF

クラウド型WAFは、クラウド上に仮想アプライアンスを設置する方法です。

メリットは、脆弱性対応・チューニングなどの運用面を全てサービス提供側に任せられることや、導入の手間やコストが圧倒的に低い点です。

デメリットは、セキュリティ性能はサービス提供側に依存するため、カスタマイズ対応が難しく、自社に最適化した設定を行いづらい点です。

クラウド型WAFの「低コスト」で「丸投げ可能」なサービスは、予算や人員を確保できない多くの中小企業に好まれています。セキュリティにリソースを割くことなく本業に集中したい中小企業やスタートアップなどは、真っ先にクラウド型WAFの導入を検討すると良いでしょう。

一石五鳥のWebセキュリティ対策「Cloudbric

「低価格・高機能・丸投げ可能」を重視する方には、Cloudbric WAF+(クラウドブリック・ワフ・プラス)がおススメです。たった3ステップで導入が完了し、月々28,000円から柔軟に料金プランを選択できる点も魅力的です。

 

WAF導入ガイドまとめ

今回は「WAF導入ガイド」と題して、WAFの仕組み、必要性、メリット、種類などを解説しました。WAFを実際に導入する際は、種類、費用、運用体制だけでなく、保護する対象の数やサービスサポート体制なども考慮することで、最適なWAF運用プランを立てることができるでしょう。

WAFは御社のWebアプリケーションを安全に保護するために「必須」のセキュリティソリューションです。ぜひ、本記事で解説した内容を元にWAFの導入を検討してみてください。

ペンタセキュリティシステムズの製品ラインナップは、以下からご覧いただけます。