ITreview Labo

ITreviewでIT製品を探す
  1. HOME
  3. ITreview Labo TOP
  5. WAF
  7. 乗っ取りや不正アクセスの対策に!WAFでできるセキュリティ対策

乗っ取りや不正アクセスの対策に!WAFでできるセキュリティ対策

執筆:ライター CASITOMO 監修:ITreview Labo編集部

個人情報や機密情報を狙うサイバー攻撃にはさまざまな種類があります。同じようにセキュリティ対策にもさまざまな種類があり、「WAF(ウェブ・アプリケーション・ファイアウォール)」もそのうちの1つです。

この記事では、WAFというセキュリティツールについて解説します。どのような機能を持ち、サイバー攻撃をどう防ぐのか、Webサイト運営者なら誰もが導入すべきWAFについて、この機会に知っておきましょう。

WAF(ウェブ・アプリケーション・ファイアウォール)とは?

「ファイアウォール」というセキュリティ対策をご存知の方は多いでしょう。インターネット黎明期から存在する古典的なセキュリティ対策であり、WindowsやMacなどのパソコンにも標準搭載しているので、ビジネスパーソンなら誰もがその存在は知っていることでしょう。

WAFとは、ファイアウォールの一種です。ただし一般的なファイアウォールがネットワークを通じたパソコンへのサイバー攻撃を防ぐのに対し、WAFはWebサイトに対するさまざまな脅威に対応しています。

また、厳密にいえば「WebサーバーやWebアプリケーションに対するセキュリティ対策」であり、後述する仕組みによってWebサイトを保護できます。

WAFが不正アクセスを防止する仕組み

WAFは一般的に「シグネチャベースのセキュリティ対策」を実施しています。シグネチャというのは、WAFを提供するセキュリティベンダーが管理している、攻撃パターンをまとめたファイルのようなものです。

WAFを設置しているWebサイトでは、Webサイバーに対するアクセスはWAF経由で実行されます。WAFは1つひとつのアクセスをチェックし、それがシグネチャに該当するか否かを精査しているのです。

これにより、広く知られているサイバー攻撃はもちろん、セキュリティベンダーが把握している最新のサイバー攻撃にも対応できます。

なお、こうしたシグネチャベースのセキュリティ対策は「ブラックリスト方式」と呼ばれています。それに対し、WAFで許可したアクセスだけを通過させるのが「ホワイトリスト方式」のセキュリティ対策です。

昨今のWAFはブラックリスト方式とホワイトリスト方式、両方のセキュリティ対策を備えているものが多く、Webサイトの運用目的などによって適宜使用するのがポイントになっています。

「WAF」ツールで自社サイトのセキュリティ対策を考える

情報漏洩に効果的なWAFの機能

WAFにはWebサイトへの不正アクセスや情報漏洩を防ぐためにさまざまな機能が搭載されています。では、主な機能を確認していきましょう。

シグネチャ更新機能 セキュリティベンダーが提供するシグネチャファイルを定期的に更新するための機能
ソフトウェア更新機能 WAFそのものの脆弱性をなくすためにソフトウェアを更新する機能
アドレス指定機能 特定のURLやIPアドレスを指定し、アクセスを排除または許可する機能
モニタリング機能 不正アクセスを検知した際に、当該アクセスを記録する機能
レポート機能 Webサイトに対するサイバー攻撃の件数や種類などをレポートとして出力する機能
SSL暗号化通信機能 Webサイトのセキュリティを強化するために通信を暗号化する機能

上記のような機能を使い、WAFではさまざまなサイバー攻撃を防止できます。

<WAFが対応しているサイバー攻撃>

  • SQLインジェクション
  • OSコマンドインジェクション
  • その他インジェクション系の攻撃
  • クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • パスワードリスト攻撃
  • ディレクトリインデックシング
  • パストラバーサル
  • ドライブバイダウンロード
  • Etc.

このように、Webサイトに対するさまざまなサイバー攻撃は、WAFで防ぐことができます。

WAF導入を検討すべき企業やサービスの特徴

WAF導入を検討すべき企業とは、次のような特徴に該当する企業です。

  • Webサイトを運営しているが特にセキュリティ対策は実施していない
  • レンタルサーバーが提供している無料のWAF機能を使っている
  • セキュリティ対策の重要性は承知だがコストがネックになっている
  • 難しい運用なくセキュリティ対策を実施したいと考えている

これらの特徴に1つでも該当する場合は、WAF導入を検討しましょう。

Webサイトに対するサイバー攻撃は想像以上に多いものです。JPCERTコーディネーションセンターが四半期ごとに発表しているレポートによると、2022年1~3月の四半期に発生した「Webサイト改ざん件数」は、約1.7倍も増加しています。

出典:JPCERT/CC インシデント報告対応レポート 2022年1月1日~2022年3月31日、および2021年1月1日~2022年3月31日

Webサイトに対する情報漏洩の脅威は、日常的に潜んでいるものと考えるのが妥当です。また、セキュリティ対策が比較的甘い中小企業のWebサイトに侵入し、そこから取引先の中堅・大企業のシステムに侵入するといったサイバー攻撃(サプライチェーン攻撃)も過去に発生しています。

Webサイトに対するセキュリティが完了してない企業は、この機会にWAF導入をぜひご検討ください。

WAFで不正アクセスを効率良く防止しましょう

WAF導入により得られるのはWebサイトのセキュリティ対策だけではなく、「Webサイト運営における安心感」というメリットもあります。手間のかかるセキュリティ対策に対して、ゼロから構築する必要がないため、新しいサイトやビジネスを立ち上げる際にも同じように導入することができるはずです。

まずは、自社のWebサイトセキュリティの現状と、サイバー攻撃について知るところから始めてみてください。

自社に合った「WAF」ツールを探しにいく

この記事の執筆

CASITOMO

ライター

夫婦Webライター。2013年に夫婦で独立し、10,000本以上のSEOコンテンツを企業オウンドメディアに提供。夫は元通訳・翻訳家、妻は元アパレルマネージャー。映画鑑賞とバスケ、週末ベイキングが共通趣味。

この記事の監修

ITreview Labo編集部

ITreviewの記事編集チーム。ITreviewの運用経験を活かし、SaaSやIT製品に関するコンテンツをお届けします。

おすすめ記事