• 2021.09.24
  • Vol.130
  • WEB
  • Vol.130
  • WEB
  • 2021.09.24

WAF導入はじめの一歩

セキュリティ対策のためにWAFを導入した方が良いと聞いたけど、WAFってなに?なにから検討したら良いの?という方にWAFの特徴や種類についてご紹介します。

DEVELOPER

N.U.

WAFとは?

WAFとは?

「Web Application Firewall」の略称でワフと読みます。Webアプリケーション※1※1Webブラウザ上で操作するアプリケーションのこと。の脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。

※1 Webブラウザ上で操作するアプリケーションのこと。

ほかのセキュリティ技術との違いは?

WAFと他のセキュリティ対策(ファイアウォール・IPS)にはどのような違いがあるのでしょうか。違いは保護対象にあります。

ファイアウォール

保護対象 ネットワーク※2※2パソコン、スマートフォンなどの通信端末や各種サーバーの間を有線や無線でつなぎ、相互に情報をやりとりする仕組みのこと。
防御できる攻撃例 ポートを狙った攻撃

ファイアウォールとは、サイバー攻撃や不正アクセスから内部ネットワークを守るための「防火壁」のことを指します。
送信元のIPアドレスやポート番号※3※3コンピュータが通信をする際に、どのプログラムと通信するかを特定するための番号のこと。などを確認し、不正な通信を遮断します。しかし、通過した通信の内容までは確認しません。

※2 パソコン、スマートフォンなどの通信端末や各種サーバーの間を有線や無線でつなぎ、相互に情報をやりとりする仕組みのこと。

※3 コンピュータが通信をする際に、どのプログラムと通信するかを特定するための番号のこと。

IPS

保護対象 OS、ミドルウェア※4※4OS は「Operating System」の略称で、コンピュータを使う上で必須の基本的なソフトウェアのこと。 ミドルウェアは、処理を行うアプリケーションと制御を行うOSの中間に存在するソフトウェアのこと。
防御できる攻撃例 Dos攻撃、DDos攻撃※5※5Dos攻撃は、1台のパソコンを使い、攻撃対象のサーバに負荷をかけるサイバー攻撃のこと。 DDos攻撃はDos攻撃の発展版で、複数のパソコンから一斉にDoS攻撃を行うもの。

IPSとは、「Intrusion Prevention System」の略称で、不正侵入防止システムを意味します。
OSやミドルウェアの脆弱性を悪用したサイバー攻撃やファイル共有サービスへの攻撃を防ぎます。ファイアウォールと同じく、IPSでは通信の中身をチェックしません。

※4 OS は「Operating System」の略称で、コンピュータを使う上で必須の基本的なソフトウェアのこと。 ミドルウェアは、処理を行うアプリケーションと制御を行うOSの中間に存在するソフトウェアのこと。

※5 Dos攻撃は、1台のパソコンを使い、攻撃対象のサーバに負荷をかけるサイバー攻撃のこと。 DDos攻撃はDos攻撃の発展版で、複数のパソコンから一斉にDoS攻撃を行うもの。

WAF

保護対象 Webアプリケーション
防御できる攻撃例 SQLインジェクション、XSS※6※6SQLインジェクションは、Webアプリケーションの脆弱性を突き、データベースのデータを不正に操作する攻撃のこと。 XSS(クロスサイトスクリプティング)は、掲示板などユーザーからの書き込みを表示するWebアプリケーションに罠を仕掛け、サイト訪問者の個人情報などを詐取する攻撃のこと。

ネットワークやOS、ミドルウェアのセキュリティ対策をすり抜け、Webアプリケーションまで達したサイバー攻撃を遮断します。
ファイアウォールやIPSとは違い、WAFは通信内容をチェックし、攻撃と判断されるような通信を拒否します。

※6 SQLインジェクションは、Webアプリケーションの脆弱性を突き、データベースのデータを不正に操作する攻撃のこと。 XSS(クロスサイトスクリプティング)は、掲示板などユーザーからの書き込みを表示するWebアプリケーションに罠を仕掛け、サイト訪問者の個人情報などを詐取する攻撃のこと。

WAFの種類

WAFは大きく3種類に分類されます。

アプライアンス(ゲートウェイ)型

自社に合わせたカスタマイズが可能
初期費用、維持費用がかかる
おすすめ 大規模なWebサイトの場合
運用に費用をかけられる場合

WAFの機能を持つ専用のハードウェアです。外部ネットワークとWebサーバーの間に設置して使用します。新たにファイアウォールの設定の見直しやネットワークの再構成などが必要となります。

ソフトウェア(ホスト)型

初期費用がかからない
ネットワーク機器を増やさず導入できる
サーバーに負荷がかかる
Webサイトのスピードが落ちる可能性がある
おすすめ Webサーバーの数が少ない場合
マシンスペックに余裕がある場合

既存のWebサーバーやWebアプリケーションサーバーにインストールして使用します。

クラウド(サービス)型

初期費用がかからない
管理者の運用負荷が小さい
サービスの質はベンダーに依存する
おすすめ 小規模なWebサイトの場合
手軽にWAFを導入したい場合

専用の機器やサーバーを必要とせず、セキュリティベンダーがサービスとして提供するWAFの機能をインターネット上で使用する形態です。

環境に適したWAFの導入を

TAGS

RECENT POSTS

TRENDING

INDEX

画面を回転してください | 株式会社BOEL

画面を回転してください