WebサイトやECサイト、Webサービスを展開されている皆さん、WAFは導入していますか?
近年は、不正アクセスやDDoS攻撃などさまざまなサイバー攻撃が問題となっており、Webサイトなどを運用する場合は、これらの問題への対策が不可欠となっています。
今回は、Webサイトに対する攻撃から保護するセキュリティ対策の一つであるWAFについて解説します。
目次
WAFとは
まずWAFの概要と、ファイアーウォール、IPSなどWAF以外のセキュリティ対策との違いについて見ていきましょう。
WAFとはどういうもの?
最近はオンラインショッピングなどにおいて、ECサイトやインターネットバンキングなど、金銭的な取引が発生するサイトが多くなっています。
こうした高度な安全性が必要となるサイトのセキュリティ対策として有効なのがWAF(Web Application Firewall)です。
WAFにはいくつかの種類があります。
一般的には、Webサーバーの前段に設置し、通信を解析することによって攻撃を遮断し、Webサーバーを保護する仕組みを持っています。
これによって、Webサーバーを安全に運用することができるようになっています。
他のセキュリティ対策との違い
サーバーやネットワークに関するセキュリティ対策にはIPSやファイアーウォールなど他の対策も存在します。
これらとWAFの違いは何なのでしょうか。表にまとめてみました。
| WAF | IPS | ファイアウォール | |
|---|---|---|---|
| 通信内容 | チェックする | チェック | チェックしない |
| 特徴 | WEBサービスに特化 IPSでは防御しきれない部分をカバー | 幅広く防御 但し、WEBアプリケーションへの攻撃は対応しきれない | IPアドレスによる防御 |
つまり、WAFとは、Webアプリケーションの防御に特化する代わりに、ファイアーウォールやIPSなどと比べて高度でかつ確実な防御を実現しているのです。
WAFが必要になった背景
では、なぜWebサイトにWAFが必要になったのでしょうか?
インターネットの進歩と拡大とともに、単なるWebサイト(ホームページ)の表示だけでなく、以下のようなさまざまなサービスが「Webアプリケーション」として提供されるようになってきました。
Webアプリケーションの例
- インターネットバンキング(オンラインバンキング)
- オンライントレード
- オンラインでの動画などのコンテンツ配信
- オンライン決済
など
こうしたWebアプリケーションは、従来のWebサイトと比較するとカード情報や決済情報などの個人情報に加え、複雑な仕組みによる脆弱性など、攻撃者にとっては非常にある意味で魅力的なものです。そういった背景から、近年Webアプリケーションへの攻撃が増加しています。
これらの攻撃が進歩したことにより、従来のファイアーウォールやIPS、セキュリティ対策ソフトでは防ぎきれない攻撃をも防御することのできるWAFが必要となりました。
WAFの導入によるメリット
WebサイトにWAFを導入することによって、セキュリティ上の効果を含めてどういったメリットが得られるのでしょうか。
WAFを導入することで、適切かつ強固にWebサイトを守ることができます。
WAFの種類と仕組み
同じように安全なWebサイトを実現するための仕組みであるWAFですが、設置方式によって大きく2つの種類があります。
<設置方式としての分類>
オンプレミス型
物理機器としてのWAFをWebサーバーと同じネットワーク内に設置する方法です。
導入コストなどはかかりますが、詳細に設定をするといったことが可能です。
クラウド型
自前のネットワーク上に設置するのでなく、各ベンダーがクラウドサービスとして提供しているWAFを利用する方法です。
導入コストが少なく、導入も迅速に行えますが、オンプレミス型ほど細かい設定は出来ません。
<設置形態としての分類>
また、設置形態によっても違いがあります。
ソフトウェア型WAF(ホスト型WAF)
Webサーバーの前段に独立して設置する方法です。
Webサーバーのリソースに影響を与えないなどのメリットがあります。
ネットワーク型WAF(ゲートウェイ型WAF)
Webサーバー自体にエージェントや追加モジュールなどとしてWAFのソフトウェアをインストールして利用する方法です。
Webアプリケーションのリソース自体への影響や、サーバー自体へは攻撃が届くといったデメリットがあります。
まとめ
オンラインバンキング、電子決済、オンライントレーディングなどWebでのさまざまなサービス提供が拡大されるにつれて、サイバー攻撃にさらされるリスクも急増しています
こうしたWebアプリケーションに対する攻撃は、従来のファイアーウォールなどのセキュリティ対策では防ぎきれないケースもあります。
こうしたWebアプリケーションをより強固に守るための仕組みが、今回紹介したWAFです。
WAFは、設置方式や形態などでいくつかの種類があります。目的に合わせて選択するようにしましょう。
Webアプリケーションを提供するうえで、もはやWAFを設置することは欠かせないと言えます。もし、まだ設置していないのなら今回の記事を参考にして設置を進めましょう。
WinserverにおけるWAFの導入について
今回はWAFについて触れてきました。
Winserverでは、プランによってWAFの導入方法が異なります。
Windows VPSについて
まずは当社一番人気のWindows VPSにおけるWAFの導入方法です。
Windows VPSでは、WAFをオプションとしてご用意しております。
導入できるWAFはJP-Secureが販売している「SiteGuard Server Edition」となります。
詳しくはこちらをご覧ください。
オプションにて、月額13,200円(税込)にてご利用可能です。
共用サーバーについて
共用サーバーについては、WAFを導入しております。
ですので、オプションのお申込みは不要となります。
WAFの導入について気になる点がある方はお気軽にお問い合わせください。
