WAFのITreview Grid

 WAF(Web Application Firewall)とは、Webアプリケーションの脆弱(ぜいじゃく)性を悪用したサイト改ざんや不正アクセス、情報搾取といったサイバー攻撃からWebサイトを守るためのセキュリティツールである。従来のファイアウォールやIPS/IDS(不正侵入防御/検知システム)では防げない攻撃を防御できる。その仕組みは、クライアント側とWebサーバの間に設置し、HTTPやHTTPSの通信内容をシグネチャ(攻撃パターンの定義)ベースで検査・解析することで攻撃を検出してブロック。脆弱(ぜいじゃく)性を狙った攻撃だけでなく、不正通信も遮断する。


WAFの導入効果


アプリケーションレベルでのセキュリティ対策を実現

 ネットワーク経由で組織内に不正アクセスを試みるサイバー攻撃を防ぐツールには、FW(ファイアウォール)やIPS/IDS(不正侵入防御/検知システム)などがある。しかし、IPアドレスやポート番号などの情報をベースに通信を制御するファイアウォールは、不正通信に利用できる出入口を探すポートスキャンなどは防げても、通信内容までは解析しないため、正常な通信を装う攻撃に対応できない。また、IPS/IDSは不正侵入の検知と防御を行うツールだが、Webアプリケーションに特有の脆弱(ぜいじゃく)性を狙った攻撃には弱い。これに対して、WAFはファイアウォールやIPS/IDSよりも上位レイヤーのアプリケーション層で実現されるセキュリティ対策。Webアプリケーションに特化することで、その脆弱(ぜいじゃく)性を狙った攻撃から守ることができる。

脆弱(ぜいじゃく)性に対する応急措置環境の構築

 Webアプリケーションの脆弱(ぜいじゃく)性は発見されても、セキュリティ更新プログラム(パッチ)が提供されるのを待たねばならない。その間、Webアプリケーションは危険にさらされることになるが、WAFの導入によりセキュリティを担保しながら修正対応を待つことができる。

同じレベルでセキュリティ対策の実現が可能

 開発者が異なる複数のWebアプリケーションを使っている場合や、複数のWebサイトやサービスを提供している場合などでは、それぞれのWebアプリケーションで脆弱(ぜいじゃく)性対策のセキュリティレベルにバラつきが出るものだ。WAFの導入は、どのWebアプリケーションに対しても均一な対策を講じるのに効果的である。


WAFの対象ユーザー


導入検討ユーザー
 ・Web経由での情報漏えいや不正アクセス対策に取り組みたい企業や組織
 ・ECショップや機密性の高い個人情報を扱う企業や組織

利用ユーザー
 ・WebサイトやECサイトの運用・サポートを担うIT部門やセキュリティ担当者


WAFの機能一覧


検知と遮断

機能 解説
不正通信の検知 通信とシグネチャ(不正な通信や攻撃パターンの定義)のマッチングにより、通信内容の検査と解析を行う
不正通信のブロック機能 通信内容の検査と解析を行い不正通信であると判断した場合、その通信を遮断する。SQLインジェクションやOSコマンドインジェクション、クロスサイトスクリプティングなどのWebアプリケーションの脆弱(ぜいじゃく)性を狙う攻撃、Dos攻撃やパスワード攻撃などの不正アクセスもブロックする
IPアドレス拒否機能 特定のIPアドレスから行われた通信を遮断。具体的には送信元のIPレピュテーション(評価)情報をベースに、匿名プロキシや発信元を隠蔽(いんぺい)した通信、botネットなどからのアクセスを拒否する
暗号化された通信への対応 データが暗号化された通信を解読して、不正アクセスと判断した場合に遮断する
シグネチャ更新 不正な通信パターンなど検知するための定義ファイルを随時更新することで、防御性能を最新状態にする


管理関連機能

機能 解説
ログ管理 ブロック機能により遮断した不正通信をログとして記録に残し、攻撃元IPアドレス、攻撃種別などの情報を管理する
WAF設定機能 ブロック機能のオン/オフ設定、IPアドレス拒否や除外URLの設定など、ユーザー管理に必要な設定を行う




WAFの選定のポイント


ツールごとの違い

 WAFはシグネチャ(攻撃パターンの定義)により攻撃を検知しブロックするが、この定義方式には「ホワイトリスト」と「ブラックリスト」がある。ホワイトリスト方式は、設定したパラメーターを基準に通信制御を行う。基準外の通信を遮断するため未知の攻撃にも強いが、細かな設定が必要なため運用負担は大きい。一方、ブラックリスト方式はホワイトリストとは逆のプロセスで通信を制御。あらかじめ用意された攻撃パターンの定義に従い不正通信の検知と遮断を行う。ベンダーが用意した定義ファイルをアップデートすればよいので運用負担は小さいが、セキュリティレベルは提供される定義ファイルに依存することになる。いずれが優れるかではなく、企業環境に応じて選定することがポイントだ。

 また、搭載されている機能により防御できる攻撃の種類についても、製品ごとに差がある。ただし、SQLインジェクションやクロスサイトスクリプティングなど主だった脆弱(ぜいじゃく)性に対する機能はどの製品やサービスも備えている。

導入形態

 WAFには、導入形態により「ソフトウェア型」「アプライアンス型」「クラウド型」がある。ソフトウェア型は、WebサーバにWAFソフトを直接インストールするもの。ネットワーク機器を増設することなく導入できるが、Webサーバごとにソフトが必要だ。アプライアンス型は「ゲートウェイ型」や「ネットワーク型」と呼ばれており、WAF専用ハードウェアを設置、あるいはWAFソフトを格納した汎用サーバを設置する形態。ネットワーク機器は増えるが、台数などのWebサーバの環境に左右されることなく導入でき、拡張性が高いことなどがメリットである。クラウド型は文字通り、オンライン上に用意されたWAFソフトをネットワーク経由で利用するもの。導入や管理負担が少ない。

価格形態・契約形態

 WAF製品の価格や契約形態はさまざまだが、ソフトウェア型とアプライアンス型はソフトやハードウェアの導入が必要となるため、初期コストがかかる。一般的には、ハードウェアが必要となるアプライアンス型で初期コストは最も高くなる。ただし、複数のWebサーバを運用しているケースでは、ソフトウェア型はサーバごとにソフトをインストールしなければならず、環境によっては1台で複数のWebサーバをカバーできるアプライアンス型の方がコストを削減できる場合もある。保守・運用の委託費用を除き、月々のランニングコストはかからない。また、クラウド型は初期コストを低く抑えることができるので導入しやすいが、ランニングコスト(月々/年間ベース)が必要だ。

導入前に自社で準備すべきこと

 セキュリティを最新かつ適切なレベルに維持する観点から、専任担当者の配置など運用環境を整えておくことがポイントだ。特に設備を企業内で抱えることとなるソフトウェア型やアプライアンス型では、導入から運用をスムーズに進めるためにも欠かせない準備といえる。特に、ホワイトリストタイプの防御方式を採用する製品を選定した場合、パターン設定などの運用を行える人材が必要。人材育成や雇用などにより体制を整えるか、難しい場合は外部へのアウトソーシングも視野に検討したい。


WAFのシステム要件、他製品との連携方法


一般的な導入方法・導入環境

 Webサーバにソフトを直接インストールするソフトウェア型と専用ハードウェアなどを設置するアプライアンス型は、Webサイトの環境に合わせた細かな設定調整や、時にカスタマイズ設計などが発生することもあり、導入から安定運用まで時間がかかる。導入計画は時間的に余裕をもって組むことが欠かせない。一方、クラウド型はサービス契約後、Webの管理画面上でDNSなどの初期設定を行うことで、すぐに運用を開始できる。導入の手間は、ほとんどかからない。

導入後の運用方法・サポートの有無

 社内にシステムを抱えるソフトウェア型とアプライアンス型では自社運用が基本となる。セキュリティレベルやパフォーマンスを維持するための機能や品質更新といったチューニングも欠かせないので、運用にかかる手間は小さくない。ベンダーからサポートは提供されるが、負担を軽減したい場合には保守サービスも含めて契約するか、保守をアウトソーシングするなどの対応が必要だ。こうした保守がサービス提供事業者により行われるクラウド型では、運用に伴い発生する作業の手間はほとんどかからない。

他製品との連携方法

 セキュリティレベルを向上させてWeb改ざんや情報漏えいなどのリスク低減効果を最大化するためには、FWやIPS、ウイルス対策ソフトといった他のセキュリティツールとの併用によるトータル的な対策が求められる。

WAFの基礎知識

 WAF(Web Application Firewall)とは、Webアプリケーションの脆弱(ぜいじゃく)性を悪用したサイト改ざんや不正アクセス、情報搾取といったサイバー攻撃からWebサイトを守るためのセキュリティツールである。従来のファイアウォールやIPS/IDS(不正侵入防御/検知システム)では防げない攻撃を防御できる。その仕組みは、クライアント側とWebサーバの間に設置し、HTTPやHTTPSの通信内容をシグネチャ(攻撃パターンの定義)ベースで検査・解析することで攻撃を検出してブロック。脆弱(ぜいじゃく)性を狙った攻撃だけでなく、不正通信も遮断する。


WAFの導入効果


アプリケーションレベルでのセキュリティ対策を実現

 ネットワーク経由で組織内に不正アクセスを試みるサイバー攻撃を防ぐツールには、FW(ファイアウォール)やIPS/IDS(不正侵入防御/検知システム)などがある。しかし、IPアドレスやポート番号などの情報をベースに通信を制御するファイアウォールは、不正通信に利用できる出入口を探すポートスキャンなどは防げても、通信内容までは解析しないため、正常な通信を装う攻撃に対応できない。また、IPS/IDSは不正侵入の検知と防御を行うツールだが、Webアプリケーションに特有の脆弱(ぜいじゃく)性を狙った攻撃には弱い。これに対して、WAFはファイアウォールやIPS/IDSよりも上位レイヤーのアプリケーション層で実現されるセキュリティ対策。Webアプリケーションに特化することで、その脆弱(ぜいじゃく)性を狙った攻撃から守ることができる。

脆弱(ぜいじゃく)性に対する応急措置環境の構築

 Webアプリケーションの脆弱(ぜいじゃく)性は発見されても、セキュリティ更新プログラム(パッチ)が提供されるのを待たねばならない。その間、Webアプリケーションは危険にさらされることになるが、WAFの導入によりセキュリティを担保しながら修正対応を待つことができる。

同じレベルでセキュリティ対策の実現が可能

 開発者が異なる複数のWebアプリケーションを使っている場合や、複数のWebサイトやサービスを提供している場合などでは、それぞれのWebアプリケーションで脆弱(ぜいじゃく)性対策のセキュリティレベルにバラつきが出るものだ。WAFの導入は、どのWebアプリケーションに対しても均一な対策を講じるのに効果的である。


WAFの対象ユーザー


導入検討ユーザー
 ・Web経由での情報漏えいや不正アクセス対策に取り組みたい企業や組織
 ・ECショップや機密性の高い個人情報を扱う企業や組織

利用ユーザー
 ・WebサイトやECサイトの運用・サポートを担うIT部門やセキュリティ担当者


WAFの機能一覧


検知と遮断

機能 解説
不正通信の検知 通信とシグネチャ(不正な通信や攻撃パターンの定義)のマッチングにより、通信内容の検査と解析を行う
不正通信のブロック機能 通信内容の検査と解析を行い不正通信であると判断した場合、その通信を遮断する。SQLインジェクションやOSコマンドインジェクション、クロスサイトスクリプティングなどのWebアプリケーションの脆弱(ぜいじゃく)性を狙う攻撃、Dos攻撃やパスワード攻撃などの不正アクセスもブロックする
IPアドレス拒否機能 特定のIPアドレスから行われた通信を遮断。具体的には送信元のIPレピュテーション(評価)情報をベースに、匿名プロキシや発信元を隠蔽(いんぺい)した通信、botネットなどからのアクセスを拒否する
暗号化された通信への対応 データが暗号化された通信を解読して、不正アクセスと判断した場合に遮断する
シグネチャ更新 不正な通信パターンなど検知するための定義ファイルを随時更新することで、防御性能を最新状態にする


管理関連機能

機能 解説
ログ管理 ブロック機能により遮断した不正通信をログとして記録に残し、攻撃元IPアドレス、攻撃種別などの情報を管理する
WAF設定機能 ブロック機能のオン/オフ設定、IPアドレス拒否や除外URLの設定など、ユーザー管理に必要な設定を行う




WAFの選定のポイント


ツールごとの違い

 WAFはシグネチャ(攻撃パターンの定義)により攻撃を検知しブロックするが、この定義方式には「ホワイトリスト」と「ブラックリスト」がある。ホワイトリスト方式は、設定したパラメーターを基準に通信制御を行う。基準外の通信を遮断するため未知の攻撃にも強いが、細かな設定が必要なため運用負担は大きい。一方、ブラックリスト方式はホワイトリストとは逆のプロセスで通信を制御。あらかじめ用意された攻撃パターンの定義に従い不正通信の検知と遮断を行う。ベンダーが用意した定義ファイルをアップデートすればよいので運用負担は小さいが、セキュリティレベルは提供される定義ファイルに依存することになる。いずれが優れるかではなく、企業環境に応じて選定することがポイントだ。

 また、搭載されている機能により防御できる攻撃の種類についても、製品ごとに差がある。ただし、SQLインジェクションやクロスサイトスクリプティングなど主だった脆弱(ぜいじゃく)性に対する機能はどの製品やサービスも備えている。

導入形態

 WAFには、導入形態により「ソフトウェア型」「アプライアンス型」「クラウド型」がある。ソフトウェア型は、WebサーバにWAFソフトを直接インストールするもの。ネットワーク機器を増設することなく導入できるが、Webサーバごとにソフトが必要だ。アプライアンス型は「ゲートウェイ型」や「ネットワーク型」と呼ばれており、WAF専用ハードウェアを設置、あるいはWAFソフトを格納した汎用サーバを設置する形態。ネットワーク機器は増えるが、台数などのWebサーバの環境に左右されることなく導入でき、拡張性が高いことなどがメリットである。クラウド型は文字通り、オンライン上に用意されたWAFソフトをネットワーク経由で利用するもの。導入や管理負担が少ない。

価格形態・契約形態

 WAF製品の価格や契約形態はさまざまだが、ソフトウェア型とアプライアンス型はソフトやハードウェアの導入が必要となるため、初期コストがかかる。一般的には、ハードウェアが必要となるアプライアンス型で初期コストは最も高くなる。ただし、複数のWebサーバを運用しているケースでは、ソフトウェア型はサーバごとにソフトをインストールしなければならず、環境によっては1台で複数のWebサーバをカバーできるアプライアンス型の方がコストを削減できる場合もある。保守・運用の委託費用を除き、月々のランニングコストはかからない。また、クラウド型は初期コストを低く抑えることができるので導入しやすいが、ランニングコスト(月々/年間ベース)が必要だ。

導入前に自社で準備すべきこと

 セキュリティを最新かつ適切なレベルに維持する観点から、専任担当者の配置など運用環境を整えておくことがポイントだ。特に設備を企業内で抱えることとなるソフトウェア型やアプライアンス型では、導入から運用をスムーズに進めるためにも欠かせない準備といえる。特に、ホワイトリストタイプの防御方式を採用する製品を選定した場合、パターン設定などの運用を行える人材が必要。人材育成や雇用などにより体制を整えるか、難しい場合は外部へのアウトソーシングも視野に検討したい。


WAFのシステム要件、他製品との連携方法


一般的な導入方法・導入環境

 Webサーバにソフトを直接インストールするソフトウェア型と専用ハードウェアなどを設置するアプライアンス型は、Webサイトの環境に合わせた細かな設定調整や、時にカスタマイズ設計などが発生することもあり、導入から安定運用まで時間がかかる。導入計画は時間的に余裕をもって組むことが欠かせない。一方、クラウド型はサービス契約後、Webの管理画面上でDNSなどの初期設定を行うことで、すぐに運用を開始できる。導入の手間は、ほとんどかからない。

導入後の運用方法・サポートの有無

 社内にシステムを抱えるソフトウェア型とアプライアンス型では自社運用が基本となる。セキュリティレベルやパフォーマンスを維持するための機能や品質更新といったチューニングも欠かせないので、運用にかかる手間は小さくない。ベンダーからサポートは提供されるが、負担を軽減したい場合には保守サービスも含めて契約するか、保守をアウトソーシングするなどの対応が必要だ。こうした保守がサービス提供事業者により行われるクラウド型では、運用に伴い発生する作業の手間はほとんどかからない。

他製品との連携方法

 セキュリティレベルを向上させてWeb改ざんや情報漏えいなどのリスク低減効果を最大化するためには、FWやIPS、ウイルス対策ソフトといった他のセキュリティツールとの併用によるトータル的な対策が求められる。