Webアプリケーションファイアウォール

WAF（ワフ）はWeb Application Firewall（ウェブアプリケーションファイアウォール）の略で、Webアプリケーションの脆弱性を悪用した攻撃からWebアプリケーションを保護するソフトウェア、またはハードウェアです。

Webアプリケーションファイアウォールの基本的な役割は、その名前どおりSQLインジェクション、クロスサイトスクリプティング(XSS)などのWeb攻撃を検知し、遮断することです。WAFは、直接的なWeb攻撃対応のほかにも、情報流出防止ソリューション、不正ログイン防止ソリューション、Webサイトの偽・変造防止ソリューションとして活用できます。

情報流出防止ソリューションとしてWAFを利用する場合、個人情報が掲示板に掲示されたり、個人情報が含まれたファイルなどがWebを通じてアップロード及びダウンロードされる場合について検知し、これに対応することが可能です。

不正ログイン防止ソリューションとしてWAFを利用する場合は、不正としてみなされるWebサイトログインの閾値を設定し、累積した計測結果により非正常的なリクエストに対するアクセス制御を実行します。主にハッカーの誇示の目的で行うWebサイトの偽・変造攻撃が発生した場合は、サイトの改ざんを検知し、事前登録した正常なWebページを表示する等、Webページの偽・変造防止ソリューションとしての役割をします。

つまりWAFは、上記の4つのWebセキュリティ機能を提供しながら、Webアプリケーションという”家”を予想不可能な外部の攻撃から守る強固な壁となる側面を持ちながら、同時に、内部から機微な情報が漏洩するのを防ぐフィルタリング機能を併せもつ存在と言えます。

急激に変化するIT環境や益々高度化するサイバー攻撃の増加に伴い、WAFも進化してきました。その進化の過程は動作方式によって第1、第2、第3世代として分けられます。

第1世代 WAF

第1世代のWAFは、ブラックリスト及びホワイトリストを管理者があらかじめ登録しておいて、Webトラフィックをアプリケーション層で分析する際、その内容が登録されているパターンと一致するかどうかを比較する方式を採用しました。

• 限界

第1世代のWAFは新・変種攻撃に柔軟に対応できるようにパターンの範囲を広げて登録する方法を使ってきましたが、これは却って正常なWebトラフィックを攻撃として検知してしまう現状を招きました。攻撃タイプが多様化していくことにつれ登録されているパターン数も顕著に増加し、パフォーマンスの劣化につながる問題も発生しました。また、人によりパターンをアップデート作業が行われたため、運用負担も大幅に増加する問題は大きな課題となりました。

第2世代WAF

第2世代WAFは、Webアプリケーションを一定期間モニタリングし安全だと判断されたアクセスをホワイトリストとして自動作成する「リスト自動作成機能」が搭載されました。

• 限界

第2世代のWAFは第1世代WAFと同じ構造で設計されたため、Webセキュリティ環境に存在する様々なWeb攻撃に適切に対応できず、結局第1世代WAFの限界であったパフォーマンス劣化や誤検知の問題は引き続き解決不可能でありました。また、依然として管理者による手動設定が必要であったため結果的に管理負担の増加につながりました。

第3世代 WAF

第3世代WAFは、Web攻撃タイプ別に「ブラックリスト検知」、「ホワイトリスト検知」、「Webトラフィックコンテンツ分析」などの技術を結合させ、論理的に攻撃を検知する仕組みで、第1・２世代のWAFに比べ極めて低い誤検知率を実現しました。また、最小限のパターンを追加するだけで、攻撃の変種も直ちに防衛でき、パターン登録によるパフォーマンス劣化問題も解決できるようになりました。

現在のWAFは検知能力を更に高めるためにAI・マシンラーニング技術を用いて、第3世代のWAFを補っていく方向に進化しています。