- TECH
- Vol.130
エンジニア
N.U.
- Vol.130
- TECH
- 2021.9.24
WAF導入はじめの一歩
セキュリティ対策のためにWAFを導入した方が良いと聞いたけど、WAFってなに?なにから検討したら良いの?という方にWAFの特徴や種類についてご紹介します。
WAFとは?
「Web Application Firewall」の略称でワフと読みます。[remark id=Webアプリケーション offset=]Webアプリケーション[/remark]の脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。
ほかのセキュリティ技術との違いは?
WAFと他のセキュリティ対策(ファイアウォール・IPS)にはどのような違いがあるのでしょうか。違いは保護対象にあります。
ファイアウォール
| 保護対象 | [remark id=ネットワーク offset=]ネットワーク[/remark] |
|---|---|
| 防御できる攻撃例 | ポートを狙った攻撃 |
ファイアウォールとは、サイバー攻撃や不正アクセスから内部ネットワークを守るための「防火壁」のことを指します。
送信元のIPアドレスや[remark id=ポート番号 offset=10]ポート番号[/remark]などを確認し、不正な通信を遮断します。しかし、通過した通信の内容までは確認しません。
IPS
| 保護対象 | [remark id=OS、ミドルウェア offset=]OS、ミドルウェア[/remark] |
|---|---|
| 防御できる攻撃例 | [remark id=Dos攻撃、DDos攻撃 offset=160]Dos攻撃、DDos攻撃[/remark] |
IPSとは、「Intrusion Prevention System」の略称で、不正侵入防止システムを意味します。
OSやミドルウェアの脆弱性を悪用したサイバー攻撃やファイル共有サービスへの攻撃を防ぎます。ファイアウォールと同じく、IPSでは通信の中身をチェックしません。
WAF
| 保護対象 | Webアプリケーション |
|---|---|
| 防御できる攻撃例 | [remark id=SQLインジェクション、XSS offset=100]SQLインジェクション、XSS[/remark] |
ネットワークやOS、ミドルウェアのセキュリティ対策をすり抜け、Webアプリケーションまで達したサイバー攻撃を遮断します。
ファイアウォールやIPSとは違い、WAFは通信内容をチェックし、攻撃と判断されるような通信を拒否します。
WAFの種類
WAFは大きく3種類に分類されます。
アプライアンス(ゲートウェイ)型
| ◯ | 自社に合わせたカスタマイズが可能 |
|---|---|
| ✕ | 初期費用、維持費用がかかる |
| おすすめ | 大規模なWebサイトの場合 運用に費用をかけられる場合 |
WAFの機能を持つ専用のハードウェアです。外部ネットワークとWebサーバーの間に設置して使用します。新たにファイアウォールの設定の見直しやネットワークの再構成などが必要となります。
ソフトウェア(ホスト)型
| ◯ | 初期費用がかからない ネットワーク機器を増やさず導入できる |
|---|---|
| ✕ | サーバーに負荷がかかる Webサイトのスピードが落ちる可能性がある |
| おすすめ | Webサーバーの数が少ない場合 マシンスペックに余裕がある場合 |
既存のWebサーバーやWebアプリケーションサーバーにインストールして使用します。
クラウド(サービス)型
| ◯ | 初期費用がかからない 管理者の運用負荷が小さい |
|---|---|
| ✕ | サービスの質はベンダーに依存する |
| おすすめ | 小規模なWebサイトの場合 手軽にWAFを導入したい場合 |
専用の機器やサーバーを必要とせず、セキュリティベンダーがサービスとして提供するWAFの機能をインターネット上で使用する形態です。
環境に適したWAFの導入を
WAFを導入する必要性や、3種類の特徴についてご紹介しました。現在の環境や予算などを明確にした上で検討し、適したWAFを導入しましょう。
RECENT POSTS
- Vol.191Integration of brand strategy, organizational culture, and business strategy
- Vol.190The Possibility of White
- Vol.189Brand associations and perception design: how a brand resonates in consumers’ minds
- Vol.188A vision that strongly contributes to improving employee engagement
- Vol.187The unhappiness created by organizations lacking empathy and the importance of clarifying the vision
%20-%20https://sketch.com%20--%3e%3ctitle%3eiconfinder_rss_246005%3c/title%3e%3cdesc%3eCreated%20with%20Sketch.%3c/desc%3e%3cg%20id='Page-1'%20stroke='none'%20stroke-width='1'%20fill='none'%20fill-rule='evenodd'%3e%3cg%20id='iconfinder_rss_246005'%20fill='%23302f30'%20fill-rule='nonzero'%3e%3cpath%20d='M5.2906221,26.4153571%20C2.37047354,26.4153571%201.77635684e-15,28.7833571%201.77635684e-15,31.7063571%20C1.77635684e-15,34.6293571%202.36783087,36.9973571%205.2906221,36.9973571%20C8.21341333,36.9973571%2010.5812442,34.6293571%2010.5812442,31.7063571%20C10.5812442,28.7833571%208.21341333,26.4153571%205.2906221,26.4153571%20Z%20M3.72880509,13.2169286%20C1.67545175,13.2169286%200.0132133419,14.8792857%200.0132133419,16.9327857%20C0.0132133419,18.9836429%201.67545175,20.6486429%203.72880509,20.6486429%20C10.6948789,20.6486429%2016.3634026,26.3175714%2016.3634026,33.2841429%20C16.3634026,35.335%2018.025641,37%2020.081637,37%20C22.129705,37%2023.7972288,35.335%2023.7972288,33.2841429%20C23.7972288,22.2185%2014.7936576,13.2169286%203.72880509,13.2169286%20Z%20M3.80015713,0%20C1.70187844,0%200,1.702%200,3.80042857%20C0,5.89885714%201.70187844,7.60085714%203.80015713,7.60085714%20C17.914649,7.60085714%2029.3996857,19.0840714%2029.3996857,33.1995714%20C29.3996857,35.298%2031.0989215,37%2033.1998429,37%20C35.3007642,37%2037,35.2953571%2037,33.1995714%20C36.9973573,14.8925%2022.1032783,0%203.80015713,0%20L3.80015713,0%20Z'%20id='Shape'%3e%3c/path%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
