今回は、Webサイトを運用する際のセキュリティ対策のひとつであるWAFについて、概要からIPS/IDS(不正侵入防止システム)やFW(ファイアウォール)との違い、WAFの種類別メリット・デメリットなどについて考察します。

アプリケーションサーバの代表的なセキュリティ対策の違い

アプリケーションサーバの代表的なセキュリティ対策には、サーバ内に侵入しようとする不正なアクセスやサイバー攻撃を遮断するFWやIPS/IDS、WAFが挙げられます。それぞれ防御ができるレイヤーが異なるので、守るものを明確にしておく必要があります。

 

  • FW:ネットワーク(IPアドレスやポート)に対する攻撃を防御
  • IPS/IDS:主にOSやミドルウェアに対する攻撃を防御
  • WAF:Webアプリケーションに対する攻撃を防御

WAFとは

WAFの正式名は、Web Application Firewallでその名のとおり、Webアプリケーションの脆弱性を悪用した攻撃に対する防御に特化しています。

例えば、Webアプリケーションの脆弱性を狙った代表的な攻撃としてSQLインジェクションがあります。この攻撃手法は、Webサイトにある入力フォームに不正な内容を含んだSQL文を入力するものです。企業のWebサイトでは、ユーザが情報を検索するための検索窓や資料請求や問合せを行うための個人情報入力欄などが用意されていることが多く、SQLインジェクションの被害に遭う可能性が少なくありません。

この攻撃は、一般的なFWやIPS/IDSだけで防御することは不可能なため、WAFによる対策が有効です。

WAFの種類ごとのメリット・デメリット

Webアプリケーションのセキュリティ対策として高い効果を持つWAFには大きく分けて3つの種類があり、それぞれにメリットとデメリットがあります。具体的には次のとおりです。

アプライアンス型

自社内のWebサーバに新たに専用ネットワーク機器を追加して利用するタイプです。

メリットは、複数のサーバを1台だけで保護できること、設定の自由度が高いことです。デメリットは、専用ネットワーク機器を設置するためのコストがかかることです。

ソフトウェア型

自社内のWebサーバにソフトウェアをインストールして利用するタイプです。

メリットは、専用ネットワーク機器を設置する必要がないため、低コストで導入可能なことです。デメリットは、サーバが複数台ある場合、それぞれにソフトウェアをインストールする必要があること、定期的なアップデートや検知設定の見直しといった手間がかかることです。

クラウド型

専用ネットワーク機器やソフトウェアを用意することなく、インターネットに接続することで利用するタイプです。

メリットは低コストであるうえ、すぐに利用できること、対象システムの場所を選ばず利用できることです。また、クラウドサービスとして利用できるため、ハードウェアやソフトウェアの保守体制や体制維持にかかるコストは必要ありません。

デメリットは、監視対象のURLや通信量が多い場合、ほかの方法に比べ高コストになる場合があることです。

自社の状況に合ったWAFの選択が重要

今回説明したように、ひと口にWAFと言ってもその種類は大きく3つに分類されます。

大企業で監視対象のURLの数や通信量が多い場合は、アプライアンス型やソフトウェア型がおすすめです。一方で、運用保守にかかるコスト面や運用管理の手間をできるだけ抑えたい、短期間で導入し、すぐに利用したいといった場合は、クラウド型がおすすめです。

それぞれにメリット、デメリットがあるため、自社の状況や監視対象のURLの数、通信量によって最適なものを選択することが重要です。

クラウド型CMSを導入するならPattern Style CMS