WAFについて徹底解説!IPS・IDS・Firewallと何が違う?どんな種類がある?
近年、大企業のみならず、中小企業のWebサイトをターゲットにしたサイバー攻撃が増加しています。
Webサイトのセキュリティ対策を行わずにいると、個人情報、取引先情報の流出といった被害が発生し、企業の社会的な信頼が損なわれる事態になりかねません。
WebサイトやWebアプリケーションをサイバー攻撃から守るために必須なのが、WAF(Web Application Firewall)です。
本記事では、WAFについて詳しく解説します。
WAFとは?
WAFの正式名称はWebアプリケーションファイアウォールであり、文字通りWebアプリケーションを防御するファイアウォールを意味します。
単にファイアウォール(以下、FW)というと、インターネットと内部ネットワーク(企業などの組織内のネットワーク)の境界に設置して、あらかじめ設定したIPアドレスやポート番号に関する条件に基づき、通信を許可したり拒否したりするものを指します。
一方でWAFは、Webアプリケーションを狙う攻撃に特化したFWであり、WebブラウザとWebサーバの間の通信に使われるHTTPの中身を検査して、SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を悪用する攻撃を防ぐことができます。
FWでは、HTTPの中身までは検査しないため、このような攻撃を防げません。
WAFとIDS/IPS/FWは何が違う?
内部ネットワークのセキュリティを向上するために、IDSやIPSといった機器が設置されることがあります。WAFとIDS、IPS、FWは何が違うのでしょうか。
IDS(侵入検知システム)は、ネットワークに流れるパケットをキャプチャし、不正侵入の兆候などを検知するシステムのことです。具体的には、ネットワークレベルでリソースを枯渇させるSYNフラッドのような攻撃や、不正なIPヘッダを含む不審なパケットなどを検出します。
IPS(侵入防御システム)は、不正侵入の兆候などを検知する点はIDSと同じですが、通信を止める機能を持つころがIDSと異なる点です。
IPSの方が、IDSより高コストになる傾向があります。また、IPSは攻撃と判断した通信を止めてしまうため、誤検知が発生した際に大きな影響が出ます。そのため、IPS導入時にはアセスメントがより重要となります。
WAFとIDS、PS、FWの違いは、「防御する対象」と「防御できる内容」です。WAFはWebアプリケーションを防御するのに対し、IDS、IPS、FWはもっと広くネットワークにつながる機器全般を防御します。
また、防御できる攻撃の種類にも違いがあります。まとめると、以下のようになります。
ネットワーク全体のセキュリティ対策を考える時はIDS/IPS/FWの導入が推奨されますが、Webサイト、Webアプリケーションを提供する場合には、セキュリティ対策としてWAFを検討する必要があることが分かります。
WAFにはどんな種類がある?
WAFはその提供形態によって、クラウド型、アプライアンス型、ホスト型の3つに分けることができます。
それぞれのWAFのメリットとデメリットを見ていきましょう。
①クラウド型WAF
クラウドサービスとして提供されるWAFのことで、クラウドWAFとも呼ばれます。
DNS(名前解決)を利用してWebクライアントの通信をクラウド型WAF経由にさせ、 HTTPの中身を検査し、安全な通信のみをWebサーバに届けます。
クラウド型WAFのメリット
- 機器を導入する必要がないため、導入作業が簡単かつスピーディーで、内部ネットワークの設定変更の必要がない
- 導入時にWebサーバを停止する必要がない
- シグネチャ(攻撃検知ルール)はサービス提供者側で常に最新化するため、新規の脆弱性にもタイムリーに対応できる
- 冗長化はサービス提供者側で実施されるため運用コストが低い
- 巨大なネットワークを持ち、DDoS防御機能やCDN機能、Bot(ボット)対策などの多彩な機能を提供しているものもある
- 攻撃はクラウド型WAFで受け止めるため、内部ネットワークに攻撃通信が入ることがない
クラウド型WAFのデメリット
- Webサーバの公開にDNSを利用しない場合には、適用できない
- シグネチャ(攻撃検知ルール)の更新等を自社で実施できないため、性能がサービス提供者に依存する
②アプライアンス型WAF
専用の機器(アプライアンス)を内部ネットワークに導入するタイプのWAFです。
インターネットからWebサーバまでの通信経路の途中に割り込むように設置するものが多いです。
アプライアンス型WAFのメリット
- 内部ネットワークに導入するため、細かい設定や運用が可能
- トラフィックを内部に閉じることができる
アプライアンス型WAFのデメリット
- 専用の機器が高価
- 導入時に内部ネットワークの設定変更、Webサーバの停止が必要
- 冗長化する場合は自社で検討する必要がある
- 大量トラフィック時に性能が落ちる場合がある
③ホスト型WAF
WAFのソフトウェアをサーバにインストールして使うタイプのWAFです。ソフトウェア型WAFとも呼ばれます。
ホスト型WAFのメリット
- 簡単に導入できる
- 他のタイプと比べると安価
ホスト型WAFのデメリット
- 専用機器などを用いないため、性能は一般的に劣る
- CPUやメモリなどのリソースに注意する必要がある
このようにWAFにはさまざまな種類があり、それぞれメリット・デメリットがあります。自社の環境に合わせて、適切なWAFを選択することが重要です。
WAFの導入と運用はどうすればいい?
昨今はクラウドサービス利用の高まりから、クラウド型WAFの導入が増加しています。
クラウド型WAFはその他のWAFより導入のハードルが低く、スムーズにWebサイトのセキュリティを高められます。
とはいえ、「導入時にサービスが停止しないか不安」「過検知・誤検知が気になる」「導入後の運用をどうしたらよいのか」といったお悩みもあるでしょう。
そのような場合は、導入や保守サポートを提供しているWAFベンダを選択することで、運用者の負担を軽減できます。
NTTテクノクロスのTrustShelter/WAFは、Imperva社のクラウド型WAFサービス(世界44拠点、6Tbps超のキャパシティ)をベースとしており、経験豊富なチームメンバーが導入作業をサポートします。また、日本語での技術サポート窓口や運用マニュアルを提供していますので、導入後も安心してご利用いただけます。
Webサイトセキュリティ対策をご検討であれば、TrustShelter/WAFの導入がおすすめです。まずは無料トライアルで使い勝手をご確認ください。
WAF/DDoS対策/CDN/bot対策 TrustShelter/WAF
※本コラムに掲載している商品またはサービスなどの固有名称は、各社の商標または登録商標です。