
Webサイトのセキュリティ対策「WAF」と、その必要性
昨今のWEBサイトを取り巻く状況
狙われるCMS(コンテンツ・マネジメント・システム)の脆弱性
インターネットが現代人の生活に欠かせないものとなって久しいですが、インターネットの利用拡大とともにWebサイトへの攻撃も巧妙さを増しています。 2017年2月、WordPressのREST APIの脆弱性を悪用したWebサイトへの改ざん被害(独立行政法人 情報処理推進機構 (IPA)のサイトが開きます)は凄まじいものでした。
WordPress4.7.0、WordPress4.7.1の2つのバージョンで脆弱性が見つかり、Webサイトのコンテンツが改ざんされる被害が相次いだのです。 対策済バージョンへ更新するまでの間Webサイトは危険に晒され、本脆弱性のために150万以上のWebサイトが被害を受けたと言われています。
WordPressを始めとしたCMSは、サイト更新の手軽さから、個人・法人問わず世界中で利用されています。特に企業のHPは会社の顔とも言えるほど重要であり、サイトを運営する上ではサイバー攻撃への対策は必要不可欠でしょう。
WAFを導入する必要性
では、Webサイトをサイバー攻撃から守るにはどうすればよいのでしょうか。
通常のサイト訪問者からの(悪意のない)通信のみを通し、攻撃者による通信を防ぐ「WAF」の導入が効果的と言えるでしょう。
WAFとは、Web Application Firewall(ウェブ アプリケーション ファイヤーウォール)の略で、Webアプリケーションに特化したサイバー攻撃へのセキュリティ対策です。
先述したようなCMSの脆弱性を悪用した攻撃などからサイトを守る役割を果たします。WAFは、クライアントからWebサイトへのアクセスを中継し、悪意のあるリクエストを検知(シグネチャが一致)することで通信を遮断することができます。
[TrustShelter/WAF クラウドWAF導入イメージ図]
ファイヤーウォールとWAFの違い
セキュリティ対策としては、ファイヤーウォール(FW)に聞き覚えのある方が多いことでしょう。 WAFの「F」も、ファイヤーウォールを指しますが、両者はどのような違いがあるのでしょうか。
ファイヤーウォールとは
FWは外部ネットワークと内部ネットワークとの間に設置され、通信の送信元情報(IP)や送信先情報(ポート)を監視します。許可された通信のみを通す仕組みにより、内部ネットワークへの侵入を目的とした攻撃を防ぐことができます。
WAFとは
WAFは、クライアント(サイト訪問者)とWebサーバーとの間に立ち、HTTPやHTTPSでの通信を監視します。 そして、クライアントからのリクエスト内容から、危険な通信を判断して遮断をします。 この仕組みにより、Webアプリケーションの脆弱性に付け込もうとするサイバー攻撃を防ぐことができます。
まとめ
FWは内部ネットワークへのアクセスをコントロールすることが目的ですが、通信の中身まで含めた不正アクセスを遮断することができません。 WAFとFWは攻撃を見分ける仕組みが違うため、防ぐことのできる攻撃も異なるのです。
FWだけを導入していても、必ずしも安心とは言えません。リスク管理の観点に立てば、Webサイトを運営している企業にとっては、FWだけでなくWAFの導入を含めた多層防御が不可欠と言えます。
NTTテクノクロスでは、WAFの導入や運用でお困りの方を対象とした、専門家によるサポートサービスをご用意しております。TrustShelter/WAFは初めての方でも簡単に導入することができ、かつ低コストで運用いただけます。
Webサイトのセキュリティ対策でお悩みの方は、ぜひNTTテクノクロスにご相談ください!
WAF/DDoS対策/CDN/bot対策 TrustShelter/WAF
※本コラムに掲載している商品またはサービスなどの固有名称は、各社の商標または登録商標です。