WAF導入はじめの一歩

「Web Application Firewall」の略称でワフと読みます。Webアプリケーション※1※1Webブラウザ上で操作するアプリケーションのこと。の脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。

※1 Webブラウザ上で操作するアプリケーションのこと。

WAFと他のセキュリティ対策（ファイアウォール・IPS）にはどのような違いがあるのでしょうか。違いは保護対象にあります。

ファイアウォールとは、サイバー攻撃や不正アクセスから内部ネットワークを守るための「防火壁」のことを指します。
送信元のIPアドレスやポート番号※3※3コンピュータが通信をする際に、どのプログラムと通信するかを特定するための番号のこと。などを確認し、不正な通信を遮断します。しかし、通過した通信の内容までは確認しません。

※2 パソコン、スマートフォンなどの通信端末や各種サーバーの間を有線や無線でつなぎ、相互に情報をやりとりする仕組みのこと。

※3 コンピュータが通信をする際に、どのプログラムと通信するかを特定するための番号のこと。

IPSとは、「Intrusion Prevention System」の略称で、不正侵入防止システムを意味します。
OSやミドルウェアの脆弱性を悪用したサイバー攻撃やファイル共有サービスへの攻撃を防ぎます。ファイアウォールと同じく、IPSでは通信の中身をチェックしません。

※4 OS は「Operating System」の略称で、コンピュータを使う上で必須の基本的なソフトウェアのこと。 ミドルウェアは、処理を行うアプリケーションと制御を行うOSの中間に存在するソフトウェアのこと。

※5 Dos攻撃は、１台のパソコンを使い、攻撃対象のサーバに負荷をかけるサイバー攻撃のこと。 DDos攻撃はDos攻撃の発展版で、複数のパソコンから一斉にDoS攻撃を行うもの。

ネットワークやOS、ミドルウェアのセキュリティ対策をすり抜け、Webアプリケーションまで達したサイバー攻撃を遮断します。
ファイアウォールやIPSとは違い、WAFは通信内容をチェックし、攻撃と判断されるような通信を拒否します。

※6 SQLインジェクションは、Webアプリケーションの脆弱性を突き、データベースのデータを不正に操作する攻撃のこと。 XSS（クロスサイトスクリプティング）は、掲示板などユーザーからの書き込みを表示するWebアプリケーションに罠を仕掛け、サイト訪問者の個人情報などを詐取する攻撃のこと。

WAFは大きく３種類に分類されます。

WAFの機能を持つ専用のハードウェアです。外部ネットワークとWebサーバーの間に設置して使用します。新たにファイアウォールの設定の見直しやネットワークの再構成などが必要となります。

既存のWebサーバーやWebアプリケーションサーバーにインストールして使用します。

専用の機器やサーバーを必要とせず、セキュリティベンダーがサービスとして提供するWAFの機能をインターネット上で使用する形態です。

WAFを導入する必要性や、３種類の特徴についてご紹介しました。現在の環境や予算などを明確にした上で検討し、適したWAFを導入しましょう。