お問い合わせはこちら

【図解】WAF とは?機能や IPS/IDS との違いをわかりやすく解説

公開
更新

Webサイトで各種サービスを提供中に、安全な運営を脅かす攻撃を受けたらどうすればいいのでしょうか。現状では対策や予防には「WAF」が、より効率的かつ効果的な方法です。WAFとは攻撃者から身を守る防火壁(Firewall)の一つとして進化してきました。こちらの記事では、従来からある防御方法との違いも解説しています。

WAF (ワフ/ Web Application Firewall) とは?

インターネットで提供するサービスの多くは、Webアプリケーション(Web Application)という複雑な仕組みで動いています。攻撃者はこのWebアプリケーションが抱える弱点を狙って、攻撃を仕掛けてきます。このリスクを回避するために、より有効なセキュリティ対策としてWAFが稼働しています。

「Webアプリケーション」と「ファイアウォール」について

Webアプリケーションとは?

Webアプリケーションとは、Webブラウザ上で動くソフトウェアです。ソフトウェアを都度PCにインストールすることなく、Webブラウザでサービス提供サイトに接続すれば、すぐに利用できます。これで自宅に居ながらPCで、また出先でスマートフォンやタブレットで、買い物やさまざまな手続きが可能になっています。

カゴヤのサーバー研究室では、別の記事でWebアプリケーションについて解説しています。参考にされてみてはいかがでしょうか。

【関連記事】
【図解】Webアプリケーションとは?仕組みと開発言語を解説!

ファイアウォールとは?

ファイアウォールとは防火壁を意味する英語です。本来インターネットはオープンを前提にしていますが、悪意を持った人からは重要なデータを守る必要があります。そこで優先順位を決めルールを設定し、重要なデータを保護するようにしてきました。それがファイアウォールです。

インターネットやサーバーの関連技術は複雑で、広範囲に進化し続けているため、防御する対象と有効性も変わってきています。Webアプリケーションが普及して仕組みがより高度になり、攻撃者のやり方がレベルアップしています。そのため防御する方も、より難易度の高いレベルでの対処に切り替わっています。

WAFの主な防御対象とは?

一般的には、ソフトウェアなどの弱点を突いた攻撃から守ります。Webアプリケーションの場合は、以下が代表的な守備範囲となっています。

SQLインジェクション

SQL(Structured Query Language)とは、データベース言語としてデータの操作に利用されています。大量に蓄えられているデータを、効率良く操作する場合に重宝します。おかげで顧客データなどを、決めたルールで保存、表示や更新などができるようになっています。

WebアプリケーションはこのSQLを使ってデータベースを操作しています。そのため弱点を攻撃されると、守るべき重要な情報が盗まれる危険性が高くなります。SQLインジェクションの攻撃手法により、不正にデータベースを操作されてしまうからです。この場合「インジェクション」は注入のことで、悪意のあるプログラムを送り実行させてしまうような意味合いで使われています。

クロスサイトスクリプティング

Webアプリケーションの弱点を利用して利用者を公式サイト上ではなく、「おとり」サイトに誘導して、重要な情報を盗んだりウイルスなどに感染させたりします。

この場合クロスの言葉は、「別の」や「またがっている」などの意味で使われています。攻撃対象のWebサイトを直接狙わず、別に用意した偽のWebサイトへ誘導し、スクリプトを動かすことで目的を達しようとします。スクリプトとは、プログラムの一種でJavaScript(ジャバスクリプト)などが有名ですね。

クロスサイトスクリプティングについてより詳しい解説は、カゴヤのサーバー研究室で公開中の以下の記事をご参照ください。

【関連記事】
クロスサイトスクリプティングって何?サイトのセキュリティを高めるために

WordPressなどのCMS

Webサイトの制作や運営に欠かせないCMS(コンテンツマネジメントシステム)は、Webアプリケーションで動作しています。WordPressも例外ではありません。Webサイトの管理全般が効率化されるほど仕組みが複雑になるため、弱さが発生し発見されやすくなります。CMSのプログラム自体が公開されている場合が多く、世界中でこの弱さが「研究」されています。

そのため、たとえ頻繁にCMSのプログラムが更新され、改善を続けていても限界があります。そこでWAFなどの手段を追加した対策が取られています。

ここまでWAFと関連する内容を説明してきました。難しいのはWAFで対策をすれは、それで全て安心という訳ではないことです。そのため別の対策を併用するなど、より安全性を高める工夫を継続することが大切になります。

IDS/IPSとの違いからWAFを理解する!

悪意のあるアクセスを遮断するルールとその実施方法は、対策により異なります。そのためある条件で遮断できたとしても、少し実施方法を変えただけで、また素通りされてしまうことになりかねません。

WAFも万能ではないため、得意分野をもつ別の方法を併用するのが効果的です。特に従来からある「IDS」と「IPS」、さらには「ファイアウォール」を同時に動かすことも有効と考えています。IDSとIPSについて、以下の記事でわかりやすく解説をしています。

【関連記事】
IDS・IPSとは?不正侵入検知・防御サービス解説

IDS … 不正侵入を「検知」する

IDSとは「Intrusion Detection System」の略称で、「不正侵入検知システム」と訳されています。WAFとの違いとは、守る対象がWebアプリケーションではなくWebサーバーを動かしているOSなどソフトウェアやネットワーク自体です。機能面ではWAF は遮断で、IDSは「検知」し管理者に「通知」することです。

IPS … 不正侵入を「防御」する

IPSとは「Intrusion Prevention System」の略称で、「不正侵入防止システム」と訳されています。WAFとの違いとはIDSと同様です。機能面では、WAF は遮断でIPSは「検知」だけでなく「防御」まで行います。

ファイアウォール

ネットワークでの行先などをチェックし、通過や遮断をするのがファイアウォールです。WAFとの違いは、経路でのチェックは得意ですが、内容までは対象としていないことです。

セキュリティリスクを回避するために

狙われる対象は巨大な組織のネットワークだけではなく、個人利用のPCも可能性があります。100%の安心も危険もありません。今採用している方法が大丈夫だからといって、この先ずっと同じ方法で安全なのかもわかりません。攻撃者はその手法を常に更新しているからです。現実的な対策として、以下2つのポイントについて解説します。

複数の手段を併用する

この記事前半の要旨としてWAFだけでなく、IDSやIPSさらにはファイアウォールを目的に合わせた併用について説明してきました。予算や優先順位などを考え、適切な組み合わせを実現するために、外部の専門的なアドバイスを受けることも大切と考えています。

ルールを作り教育や訓練など実施する

いわゆるセキュリティに関する製品・サービスは数多く、適切に比較し導入することは容易ではありません。判断には、情報セキュリティ全般について知識と経験が必要だからです。

そのためには、組織や個人が守るべきルールを作り、その有効性を継続させることが重要になってきます。コストはかかりますが、専門家から助言をもらいながら進めるとはかどります。機器の導入とともに、ルールの定着も大事な対策と考えます。このご時世、情報セキュリティ対策を充実すれば、組織の信頼度向上にもつながります。

まとめ

日々の忙しさを理由に先延ばししても、セキュリティのリスクは増えるばかりです。まずはWAFの重要性を理解し、具体的な計画と対策の実施が大切です。

カゴヤジャパンの共用レンタルサーバーなら、SiteGuard Lite がインストールされており、WAFIPSも無料で利用できるので、Webアプリケーション関連のセキュリティは安心です。また、マネージド専用サーバーでは、ログ出力機能付きのWAFで防御した攻撃を確認することも可能です。

その他にも、クラウド監視型WAF「AEGIS for KAGOYA」(「FLEX」オプション)など、より高機能なサービスも提供しています。

クラウド監視型WAF「AEGIS for KAGOYA」でセキュアなサービス提供基盤を実現する KAGOYA FLEX

KAGOYA FLEX ならVMwareベースのクラウドサーバー(CPU: 2コア~/メモリー: 4GB~)が 10,450円~。自由なネットワーク構成でオンプレ環境や物理サーバーと組み合わせも可能で、段階的なクラウド化にもおすすめです。
また、専有のプライベートクラウド環境もパッケージ化されているので簡単に導入いただけます。

>>詳しくはこちら