WebサイトやWebサービスを運用しているみなさん、WAF(Web Application Firewall)は導入していますか?
近年は、不正アクセスやDDoS攻撃などのサイバー攻撃が問題となっており、Webサイトなどを運用する場合は、対策が不可欠となっています。
今回は、Webサイトを攻撃から保護するセキュリティ対策であるWAFについて、仕組みやファイアウォールとの違い、選び方などを解説します。
2021.03.04
DDoS攻撃とは。種類や増加の背景、防御策について徹底解説
インターネットを利用して行われるサイバー攻撃の一つにDDoS攻撃というものがあります。オンラインショッピングやネットバンキング、オン...
WinserverのVPSは
万全のセキュリティ管理体制・WAF導入可能!
共用サーバーはWAF導入済み!
\月額990円~ 2週間無料トライアル/
VPSを2週間無料で試す
共用サーバーを2週間無料で試す
目次
WAFとは
本章では、まずWAFの概要を説明します。
その後、ファイアーウォールやIPSなど、他のセキュリティ対策とWAFとの違いを見ていきましょう。
WAFとはどのようなもの?
最近はECサイトやインターネットバンキングなど、金銭的な取引が発生するサイトが多くなっています。
高い安全性が必要となるサイトのセキュリティ対策として、WAF (Web Application Firewall)が有効とされています。
WAFにはいくつかの種類がありますが、Webサーバーの前段に設置し、Webの通信内容を解析することによって悪意ある攻撃を遮断することで、Webサーバーや管理する情報を守るという点は共通です。
WAFは、WebサイトやWebアプリケーションなどを保護するだけではありません。
サイバー攻撃によって情報が盗まれることや、破壊を防ぐことにもつながります。
WAFと他のセキュリティ対策との違い
サーバーやネットワークに関するセキュリティ対策には、WAF以外にもIPSやファイアーウォールなどがあります。
WAFと他のセキュリティ対策は、どのような点で異なっているのでしょうか。
| WAF | IPS | ファイアウォール | |
|---|---|---|---|
| 防御の方法 | 通信のシグネチャを検査 | 通信のシグネチャを検査 | 特定のIPアドレスやポートを遮断 |
| 防御の対象 | Webに特化 | システム全体 | システム全体 |
| 通信内容のチェック | チェックする | チェックする | チェックしない |
| Webアプリケーションの保護 | できる | できない | できない |
このように、3つはサイバー攻撃を防ぐための仕組みであるという点は共通していますが、それぞれ強みや弱みがあります。
WAFは、Webアプリケーションの防御に特化しており、WebアクセスやWeb通信についてはファイアウォールやIPSよりも高度かつ確実な防御を実現しています。
WebサイトやWebアプリケーションなどを運用する場合に、WAFが不可欠であると言われる理由がよくわかりますね。
WAFが必要とされる背景
WebサイトやWebアプリケーションにWAFが必要とされるようになった背景を考えてみましょう。
インターネットの拡大とともに、単なるWebサイト(ホームページ)の表示だけでなく、以下のようなさまざまなサービスが「Webアプリケーション」として提供されるようになってきました。
- インターネットバンキング(オンラインバンキング)
- オンライントレード
- オンラインでの動画などのコンテンツ配信
- オンライン決済
など
Webアプリケーションは、従来のWebサイトとは異なり、利用者のカード情報や決済情報などを保持しています。
また、複雑な仕組みによって脆弱性が生まれることも多く、攻撃者にとっては非常に魅力的です。
このような理由から攻撃が増加しており、従来のファイアーウォールやIPS、セキュリティ対策ソフトでは防ぎきれない攻撃を防御できるWAFが必要となりました。
WAFの導入によるメリット
WebサイトにWAFを導入することによって、どのようなメリットを得られるのでしょうか。
このように、WAFを導入することで、適切かつ強固にWebサイトを守ることができます。
WAFの種類と仕組み
安全なWebサイトを実現するための仕組みであるWAFには、いくつかの種類があります。
それぞれの特徴について説明します。
WAFの設置方式での分類
WAFには、設置方式によって大きく2つの種類があります。
<オンプレミス型>
物理機器としてのWAFを、Webサーバーと同じネットワーク内で、Webサーバーの手前に設置する方法です。
導入コストがかかり、ネットワークやファイアウォールの構成を見直す必要があるものの、自社に合った細かいカスタマイズが可能です。
<クラウド型>
自前のネットワーク上に設置するのでなく、各ベンダーがクラウドサービスとして提供しているWAFを利用する方法です。
導入コストが少なく、導入も迅速に行えますが、オンプレミス型ほど細かい設定は出来ません。
WAFの設置形態での分類
また、設置形態によっても違いがあります。
<ソフトウェア型WAF(ホスト型WAF)>
Webサーバー自体にエージェントや追加モジュールなどとしてWAFのソフトウェアをインストールして利用する方法です。
Webアプリケーションのリソース自体への影響や、サーバー自体へは攻撃が届くといったデメリットがあります。
<ネットワーク型WAF(ゲートウェイ型WAF)>
Webサーバーの前段に独立して設置する方法です。
Webサーバーのリソースに影響を与えないなどのメリットがあります。
WAFとクラウドサービス
近年は、従来型の物理サーバーを設置して利用するオンプレミス型から、クラウドへの移行も進んでいます。
クラウドサービスでWebサイトやWebアプリケーションを運用するケースも非常に多くなっています。
AWS、GCP、Azureなどの大手のクラウドサービスでも、WAFは利用できるのでしょうか。
大手クラウドサービスでは、以下のサービスにてWAFが提供されています。
- AWS:AWS WAF
- GCP:Google Cloud Armor
- Azure:Azure WAF
WAFを目的に合わせて選ぼう
先述の通り、WAFには設置形態や設置方式などでいくつかの種類があります。
本章では、目的に合ったWAFを選ぶためのポイントを解説します。
WAFを選ぶポイントとは
WAFを選択するポイントは、一般的に以下の3つです。
- 対策したい攻撃を明確にする
WAFの製品やサービスにはそれぞれ特徴があります。
自社が守りたい部分を過不足なく保護できる製品を選択しましょう。
- WAFの運用体制が自社にあるかどうか
自社に十分な人的リソースがあれば、カスタマイズ可能なオンプレミス型を選択することも可能です。
そうでない場合は、クラウド製品を選ぶことになるでしょう。
- 予算はどの程度か
WAFの導入や運用にあたって、どの程度の予算が使えるのかを考えましょう。
クラウド型はハードウェアの購入が不要なため、初期費用を抑えたい場合にはおすすめです。
実際にWAFの導入を検討する場合は、このような点に着目して進めましょう。
WAFを目的に合わせて選ぶためには
WAFを選ぶポイントを理解できたら、次は目的に合ったWAFを選ぶ方法を考えてみましょう。
今回は、具体的に想定されるケースを取り上げます。
<ケース1:リソースの少ない中小企業で、Webサービスを保護したい>
このケースでは、以下を前提条件とします。
- 予算はそれほど確保できない
- WAFの運用体制がない
- オンラインショップを運用している
この場合は、低予算で運用をおまかせできるクラウド型が適しています。
<ケース2:リソースは確保できるが、一般的なWebサイトの運用のみ>
このケースでは、以下を前提条件とします。
- 情報システム部門などで、WAFを運用する体制がある
- 一般的なWebサイトしか持たない
- この場合は、クラウドとオンプレミスの両方が選択できます。
導入費用等を考えるとクラウドを選択するのも良いでしょう。
<ケース3:Webサービスを提供しており、カスタマイズが必要>
このケースでは、以下を前提条件とします。
- 情報システム部門などで、WAFを運用する体制がある
- カスタマイズが必要
この場合は、オンプレミスで導入し、自社に合ったカスタマイズを実施しましょう。
<ケース4:自営業でWebサイトを運用している *ホスト型WAFの例>
このケースでは、以下を前提条件とします。
- 予算はそれほど確保できない
- WAF運用は自分で行う
- オンラインショップを運用している
- 設置場所が限られる
予算が取れず設置場所が限られる場合は、Webサーバー自体に導入するホスト型を選択するのも良いでしょう。
WinserverでWAFを手軽に使おう
ここまでWAFの選び方について解説してきましたが、もっと手軽にWAFを使う方法はないのでしょうか。
そこでおすすめしたいのが、WinserverのVPSや共用サーバーです。
Winserver はWindows Server専門のレンタルサーバーで、20年以上の運用実績があります。
Windows VPS
Windows VPSは、月額990円から仮想専用サーバーを利用できるサービスです。
Webサービスを保護するためのWAFをオプションで追加することができます。
導入できるWAFはJP-Secureが販売している「SiteGuard Server Edition」です。
共用サーバー
共用サーバーは、Webサイトの公開を簡単に行えるサービスです。
WAFが導入済みのため、安心してご利用いただけます。
「自分に合ったサービスがわからない」「セキュリティ対策について詳しく聞きたい」という方は、無料オンライン相談会をご活用ください。
Winserverの専門スタッフがお客様のお悩みをお伺いし、丁寧に回答いたします。
まとめ
オンラインバンキング、電子決済など、Web上でさまざまなサービスが提供されるにつれて、WebサイトやWebアプリケーションがサイバー攻撃にさらされるリスクも急増しています。
このような攻撃は、従来のファイアウォールなどのセキュリティ対策では防御できないケースもあります。
WebサイトやWebアプリケーションをより強固に守るための仕組みが、今回紹介したWAFです。
WAFは設置方式や形態などでいくつかの種類があります。
今回の記事の選び方を参考にして、目的に合ったWAFを選択するようにしましょう。
