WAFとは?よく聞くファイアウォールとは何が違う?徹底解説します

Windows Server

WebサイトやECサイト、Webサービスを展開されている皆さん、WAFは導入していますか?

近年は、不正アクセスやDDoS攻撃などさまざまなサイバー攻撃が問題となっており、Webサイトなどを運用する場合は、これらの問題への対策が不可欠となっています。

今回は、Webサイトに対する攻撃から保護するセキュリティ対策の一つであるWAFについて解説します。

WAFイメージ

WAFとは

まずWAFの概要と、ファイアーウォール、IPSなどWAF以外のセキュリティ対策との違いについて見ていきましょう。

WAFとはどういうもの?

最近はオンラインショッピングなどにおいて、ECサイトやインターネットバンキングなど、金銭的な取引が発生するサイトが多くなっています。

こうした高度な安全性が必要となるサイトのセキュリティ対策として有効なのがWAF(Web Application Firewall)です。

 

WAFにはいくつかの種類があります。

一般的には、Webサーバーの前段に設置し、通信を解析することによって攻撃を遮断し、Webサーバーを保護する仕組みを持っています。

これによって、Webサーバーを安全に運用することができるようになっています。

他のセキュリティ対策との違い

サーバーやネットワークに関するセキュリティ対策にはIPSやファイアーウォールなど他の対策も存在します。

これらとWAFの違いは何なのでしょうか。表にまとめてみました。

 WAFIPSファイアウォール
通信内容チェックするチェックチェックしない
特徴WEBサービスに特化
IPSでは防御しきれない部分をカバー
幅広く防御
但し、WEBアプリケーションへの攻撃は対応しきれない
IPアドレスによる防御

つまり、WAFとは、Webアプリケーションの防御に特化する代わりに、ファイアーウォールやIPSなどと比べて高度でかつ確実な防御を実現しているのです。

WAFが必要になった背景

では、なぜWebサイトにWAFが必要になったのでしょうか?

 

インターネットの進歩と拡大とともに、単なるWebサイト(ホームページ)の表示だけでなく、以下のようなさまざまなサービスが「Webアプリケーション」として提供されるようになってきました。

Webアプリケーションの例

・インターネットバンキング(オンラインバンキング)
・オンライントレード
・オンラインでの動画などのコンテンツ配信
・オンライン決済

など

 

こうしたWebアプリケーションは、従来のWebサイトと比較するとカード情報や決済情報などの個人情報に加え、複雑な仕組みによる脆弱性など、攻撃者にとっては非常にある意味で魅力的なものです。そういった背景から、近年Webアプリケーションへの攻撃が増加しています。

これらの攻撃が進歩したことにより、従来のファイアーウォールやIPS、セキュリティ対策ソフトでは防ぎきれない攻撃をも防御することのできるWAFが必要となりました。

WEBサイトイメージ

WAFの導入によるメリット

WebサイトにWAFを導入することによって、セキュリティ上の効果を含めてどういったメリットが得られるのでしょうか。

 

Webサイトへのさまざまな種類の攻撃を防ぐことができる
ファイアーウォールなど、他の対策で防げない攻撃を防ぐことができる
脆弱性の問題など、すぐに修正できない問題があっても防御できる

 

など、WAFを導入することで、適切かつ強固にWebサイトを守ることができます。

WAFの種類と仕組み

同じように安全なWebサイトを実現するための仕組みであるWAFですが、設置方式によって大きく2つの種類があります。

<設置方式としての分類>

・オンプレミス型

物理機器としてのWAFをWebサーバーと同じネットワーク内に設置する方法で、導入コストなどはかかりますが、詳細に設定をするといったことが可能です。

・クラウド型

自前のネットワーク上に設置するのでなく、各ベンダーがクラウドサービスとして提供しているWAFを利用する方法です。導入コストが少なく、導入も迅速に行えますが、オンプレミス型ほど細かい設定は出来ません。

 

<設置形態としての分類>

また、設置形態によっても違いがあります。

・ソフトウェア型WAF(ホスト型WAF)

Webサーバーの前段に独立して設置する方法で、Webサーバーのリソースに影響を与えないなどのメリットがあります。

・ネットワーク型WAF(ゲートウェイ型WAF)

Webサーバー自体にエージェントや追加モジュールなどとしてWAFのソフトウェアをインストールして利用する方法です。Webアプリケーションのリソース自体への影響や、サーバー自体へは攻撃が届くといったデメリットがあります。

ネットワーク

まとめ

オンラインバンキング、電子決済、オンライントレーディングなどWebでのさまざまなサービス提供が拡大されるにつれて、サイバー攻撃にさらされるリスクも急増しています

こうしたWebアプリケーションに対する攻撃は、従来のファイアーウォールなどのセキュリティ対策では防ぎきれないケースもあります。

 

こうしたWebアプリケーションをより強固に守るための仕組みが、今回紹介したWAFです。

WAFは、設置方式や形態などでいくつかの種類があります。目的に合わせて選択するようにしましょう。

Webアプリケーションを提供するうえで、もはやWAFを設置することは欠かせないと言えます。もし、まだ設置していないのなら今回の記事を参考にして設置を進めましょう。

関連記事

TOP