WAFとは何か？仕組みと防げる攻撃など解説！

増大するセキュリティの脅威に対抗するには？

近年、さまざまな要因により、Webサイトへのセキュリティ脅威はかつてないほど高まっています。

本記事では、数あるセキュリティ対策の中でも基本的な対策であるWAF（Web Application Firewall）について解説をします。

WAFとは？

WAFは、一言でいえば、Webアプリケーションに対する外部からの攻撃を防御する仕組みです。不正アクセスやサイバー攻撃を防ぐ仕組みであるファイアウォールの一つであり、 Webサーバに導入するほか、専用機器の設置や、SaaS形式で導入されるケースがよく見られます。

WAFはファイアウォールの中でもWebアプリケーションに特化してセキュリティを堅牢にします。なお、ファイアウォールとはもともと火事の際に延焼を防ぐための防火壁を意味し、ITの世界ではそこから転じて外部からの攻撃から防御するネットワーク機器のことを指します。ネットワーク構成図などではレンガの壁のイラストで表現されることが多いです。

WAFの仕組み

では、WAFはどのような仕組みを用いているのでしょうか。メーカーによって細かな違いはありますが、基本的に「シグネチャ」と呼ばれるファイルと照合して正常なアクセスかそうでないかを判断します。「シグネチャ」とは既知の不正アクセスのパターンや通信の手法、さらにはウィルスの特徴などをまとめたものです。これに一致するアクセスがあった場合、通信を遮断します（ブラックリスト方式）。「シグネチャ」を用いた方式には先での「ブラックリスト方式」のほか、「ホワイトリスト方式」の2種類があります。以下それぞれの形式について簡単に整理します。

1.ブラックリスト方式

ブラックリスト方式とは、シグネチャに一致する通信を拒否することによって、不正アクセスを防止する手法です。弱点として、シグネチャで定義されていない未知の攻撃に対応できないという点があります。そのため、シグネチャの定期的なアップデートを必要とします。よく、ウィルス対策ソフトは定期的なアップデートが必要と言われますが、WAFも同様で、アップデートを実施しないと新たに発見された脆弱性に対応できません。

2.ホワイトリスト方式

上記とは逆の仕組みで、ホワイトリスト方式とは、あらかじめ「安全な対象」をリストへ定義し、対象外となるアプリケーションやプログラムの実行をさせないことでサイバー攻撃を防ぐ手法のことを言います。この方式だと、Webアプリケーションに合わせて柔軟に定義できるほか、未知の攻撃も防げるというメリットがあります。ただし、定義にはWAF側の細かな設定項目への理解に加え、自社で運用する場合にはWebアプリケーションやセキュリティに関する知識が必要です。最近はAIなどを利用して運用を支援する製品も増えており、従前よりも導入・運用のハードルは下がっていますが、それでもユーザーには多くの高いスキルが求められます。

WAFの種類とは？

WAFを含めたファイアウォールには、主な提供形態として、SaaS型 ・アプライアンス型 ・ソフトウェア型 ・IaaSが提供するWAFサービスの4つに分類することができます。

SaaS型

インターネットを経由してクラウドサービスを受ける形態で、専用機器が不要であること、導入までの期間が短いことから、IaaS提供のサービスと同じく短期間に導入可能で、導入費用が割安になる傾向にあります。主に通信量や監視対象となるURLの数によって費用が決まります。既に確立されたサービスを利用するため、企業内のネットワーク構成を変更する必要がありません。一方、 SaaS型のデメリットとしては、サービス提供者側で起こるシステム障害やネットワーク障害などの影響を受けることが挙げられます。

アプライアンス型

各組織のネットワーク内にWAFの専用機器を設置、もしくは仮想ハイパーバイザー上に仮想アプライアンスとして設置します。Webサーバからは独立して動作するため、Webサーバ側に負荷は掛かりません。またWAFの性能アップや設定変更なども、Webサーバ（アプリケーション）への影響は比較的少なく、柔軟に行うことが可能です。主に従来からのオンプレミス型システムやWAFそのものに細かいチューニングが必要な場合に選択されます。

ソフトウェア型

保護対象となるWebサーバにWAFのソフトウェアを導入します。アプライアンスと比較すると、専用の機器を利用しないため、比較的低コストで導入できるケースが多く、ネットワーク環境の構成変更も不要な点が特長です。

IaaSが提供するWAFサービス

AWSなどのクラウドのサービスの一つとして提供され、当該クラウド上のシステムを保護するために利用されます。例えば、AWSが提供するサービスであるAWS WAFの場合、初期費用なく、ほんの数分でAmazon CloudFrontやApplication Load Balancer、Amazon API Gatewayに導入することが可能です。これらに導入することで脆弱性を狙ったリクエストをブロックし、アプリケーションとその背後にあるデータを保護します。クラウド上のシステム保護には、仮想アプライアンスを当該インスタンス上に導入する形式でも可能ですが、クラウドが提供するサービスはクラウド内の他のサービスとシームレスに連携することが可能です。他方、クラウドサービスに関する十分な理解が必要となるため、ハードルそのものが低いとは言えない側面もあります。

WAFで防ぐことのできる攻撃

では、WAFでどのような脅威を防ぐことができるのでしょうか。代表的なものを3つご紹介します。

1.SQLインジェクション

ユーザーからの入力値を元に、データベース処理言語であるSQLを悪用する方法です。Webアプリケーションの入力画面で不適切なSQL文を入力し、アプリケーション側で想定していないSQL文を挿入することでデータベースを不正に操作します。例として、お問い合わせフォームなどから不正なSQL文を入力されるケースがあります。

2.OSコマンドインジェクション

SQLインジェクションと同じように、OSに誤動作を起こさせる攻撃です。入力値に任意のOSコマンドを埋め込むことでサーバに対する破壊・乗っ取りを行います。

3. DDoS攻撃

標的のサーバに複数のコンピュータから大量の処理負荷を与え、機能停止に追い込みます。

その他には、Webアプリケーションに罠を仕掛けて悪意のあるページに誘導し、そこから不正なスクリプトをユーザーに実行させる「クロスサイトスクリプティング」やサーバのメモリ領域内のバッファの許容範囲を超えるデータを送りつける「バッファーオーバーフロー」などがあります。

いずれも企業の情報システムに深刻な影響を与えるものであるため、脆弱性が明らかとなった場合、対象のアプリケーションの早急な改修が必要になります。しかし多くの場合、運用中のWebアプリケーションの改修をすぐに行うことは難しく、多大な手間と費用、時間を要します。WAFを導入している場合、脆弱性に対して短時間で対応することができるため、アプリケーションの改修の範囲が必要最低限で済み、継続的なシグネチャのアップデートによりセキュリティが保たれた状態とすることが可能です。

WAFの運用コスト

次に、このWAFのコスト面について見ていきます。WAFそのもののコストは初期コスト、運用コスト（運用にかかる人的コストを含む）の大きく2つから構成されます。

1.初期コスト

機器やソフトウェアの購入費用および導入費用の２つからなり、専用機器を導入する場合にはここに費用の大部分が掛かります。SaaS形式で導入する場合にはサブスクリプションとして提供されている場合が多いため、ハードウェアと比較すると初期コストを抑えられるケースが多いです。

2. 運用コスト

機器の保守費やサブスクリプションの月額費用などがこちらに入ります。また、機器の保守や運用を行うためのエンジニアの人件費も運用コストに含まれます。WAFは常に最新のシグネチャを適用しないとセキュリティ強度が下がり、脆弱性を内在することとなってしまいます。また、Webアプリケーションやセキュリティに詳しい技術者が定期的にチューニングを行う必要があり、自社で全てを賄おうとすると、運用コストが高額になるケースもあります。

まとめ

当記事では、WAFの仕組みや分類から、WAFによって防げる攻撃の種類や運用にかかる費用に至るまでWAFとは何か？について解説をしました。導入するWAFの種類にもよりますが、概してセキュリティ分野においては導入や運用に際して、相応の費用と人材、手間を要することになります。それが難しい場合、アウトソーシングするという選択肢もあります。アイテック阪急阪神はネットワーク事業者として、弊社で扱っているクラウド型WAF「攻撃遮断くん」やホスト型WAF「SiteGuard Server Edition」の導入・運用についてはもちろん、さまざまなセキュリティ対策に関するご相談を承ります。セキュリティソリューションについて課題をお持ちの方はアイテック阪急阪神にご相談ください。

関連資料をダウンロード