用語集
WAFとは
機密情報の詐取や金銭目的などの理由で、企業のWebサイトに悪意ある攻撃が仕掛けられた……という話題を耳にすることがありますが、こういった明確な意思と目的を持った攻撃者が、特定の企業や組織に対してサイバー攻撃を実施することを標的型攻撃と呼んでいます。
標的型攻撃の中でも、Webサイトを対象にWebアプリケーションの脆弱性を狙うクロスサイトスクリプティングやSQLインジェクションといった攻撃に有効なのが「WAF」と呼ばれるセキュリティツールです。
では、WAFについて見ていきましょう。
本記事をご覧いただいた方向けに、おすすめの記事をまとめました。こちらもあわせてご確認ください。
Webアプリケーションへの脅威に対抗するWAF
WAFとは、「Webアプリケーションファイアウォール(Web Application Firewall)」の名前が示すように、Webサイト上のアプリケーションに特化したファイアウォールのことで、Webアプリへの攻撃・不正アクセスを防御します。
アプリケーションレベルでの不正アクセスを監視&ブロックするWAFは、Webサーバーと外部ネットワークとの間に設置して通信を解析・検査し、悪意のある攻撃からWebサイトを保護および不正ログインを防ぐ役割を果たします。
WAFとファイアウォールやIDS/IPSの違いとは?
WAF以外にも、Webサイトを守るセキュリティ手段としてファイアウォールやIDS/IPSなどがありますが、それらで対策をしていてもWAFは必要なのでしょうか。また、そもそもWAFとの違いはどういったところなのでしょうか。
ファイアウォールはネットワークレベルでのセキュリティ対策であり、外部からのアクセスに対して、IPアドレスやサービスポート、ドメインによるフィルタリングを行うことで悪意のある攻撃者の侵入を防ぎます。
一方、IDS/IPSはOS・Webサーバーレベルでのセキュリティ対策ですが、ファイアウォールをすり抜ける攻撃に対して、侵入を検知して管理者に通知するのが「IDS(Instruction Detction System)」で、侵入を検知して防御措置を取る機能が付いているのが「IPS(Instruction Prevention System)」です。
これらに対しWAFは、Webアプリケーションへの通信内容などを検査し、SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を利用した攻撃に対してセキュリティ効果を発揮します。
リクエストに応じて動的にページを生成するといったアプリケーションが埋め込まれたWebサイト、例えば、オンラインバンキングやオンラインショッピングサイトの保護などには特に効果的です。
WAFをはじめレイヤーに応じたセキュリティ対策が重要
ファイアウォールやIDS/IPS、そしてWAFは、いずれも異なるレイヤーでの脅威に効果を発揮するセキュリティ対策であり、どれか1種類だけ設置すれば効果を発揮するものではありません。
それぞれのレイヤーに必要なセキュリティ対策で多角的に補完していくことで、より安全性の高いセキュリティの構築が可能です。
