名科辞典―これは何?情報は?にこたえるコンテンツ

トップ WAFとは

WAFとは―WAFの意味、利用上の注意点など

WAFの意味、利用上の注意点など。WAFとは何か、Web Application Firewallを理解するためのガイダンス情報をまとめています。

WAFとは

意味

WAFとは、Webアプリケーションを設置したサーバの送受信データをフィルタリングする機構のことです。

Webアプリケーションの脆弱性を悪用した攻撃からWebアプリケーションを保護するセキュリティ対策の一つとして利用されます。

読み方

読み方は、ワフです。

Web Application Firewallの頭文字を取った省略系の呼び方です。

補足1―Webアプリケーション

Webアプリケーションは、Web用の通信で実現するシステムのことです。 ユーザの操作に応じた動的な処理を提供するWebサイトなどはWebアプリケーションの1つです。

補足2―Webアプリケーションの例

例えば、お問い合わせフォームやカート、ログイン機能などがあるWebサイトはWebアプリケーションです。

簡単なWAFのイメージ

WAFのイメージ

簡単なWAFのイメージです。「拡大」ボタンで拡大できます。「縮小」ボタンで元に戻ります。

WAFの利用場面・役割

利用場面

WAFはWebアプリケーションの実装面での根本的な対策ではなく、攻撃による影響を低減する運用面での対策です。 諸事情からすぐにWebアプリケーションの脆弱性が修正できない場合に実施する応急処置の一つです。

考える脆弱性

サーバ側の送受信の切り口で見てもネットワーク機器からOS、ミドルウェア、Webアプリケーションと脆弱性を生む要因は多種多様ですが、 WAFに求める機能はWebアプリケーションの脆弱性対策です。

ネットワークやOS、ミドルウェアの脆弱性はFWやIPSといった別の機構を活用します。

FW:入り口を閉じる

LANケーブルを抜くのと同じ用に、通信の入り口を閉じてしまえば攻撃できないですね。 このように入口ふさぐ機構にFW(ファイアウォール)があります。

HTTP、HTTPSの通信はWebサイト公開用だから閉じない。 FTPやSSHは内部で使用するのでIP制限する。それ以外は閉じる。 というようにFWはIPとポートのフィルタが行えます。

IPS:プラットフォームの防御

IPSは、WAFと同じ様に検出パターンに基づいて、通信の中身を検査してフィルタリングします。 OSやミドルウェア、Webアプリケーションなど多種多様な攻撃をブラックリストでフィルタリングを行います。

範囲は広いですが、ブラックリスト方式ですので、抜け漏れがあります。 Webアプリケーションの作り込みやWAFを活用して補う必要があります。

WAFの役割のイメージ

WAFのイメージ

WAFの役割のイメージです。「拡大」ボタンで拡大できます。「縮小」ボタンで元に戻ります。

WAFの種類

提供形態別に見ると3つ

提供形態別に見るとWAFには以下の3種類があります。

  • ソフトウェア(インストール)型
  • アプライアンス(専用機器)型
  • クラウド(SaaS)型

ソフトウェア(インストール)型

ソフトウェア(インストール)型のWAFは、Webサーバにインストールするタイプのものです。

オープンソースのmod_securityが代表的なソフトウェア(インストール)型のWAFで、 ネットワーク構成を変更する必要が無く、WebサーバでHTTPS通信が処理されるため、 HTTPS通信に対応していなくてもHTTPS通信の検査が行えます。

複数のWebサーバで構成されるサイトの場合すべてに導入する必要があります。 でも入口にリバースプロキシサーバを置いてそこにインストールすれば導入の数が減りますね。 また、WAFを導入することで少なからずWebサーバの性能低下があります。

アプライアンス(専用機器)型

アプライアンス(専用機器)型のWAFは、ネットワーク機器として独立して設置する形態のWAFで、 専用ハードウェア(アプライアンス)製品として設置するWAFです。

アプライアンス(専用機器)型のWAFは、オープンソースのものは無くて商用製品になります。 価格は100万円~と高価です。

WAF専門のベンダーにサポートしてもらいたいけど、クラウド環境に不安がある場合にいいと思います。

クラウド(SaaS)型

クラウド上のサービスとして提供されるWAFです。

価格は安く、DNS切り替えだけで導入できて手軽なのが特徴です。 ブラックリストを使ったシグネチャーモデルで無難で汎用的なパターンファイルが用いられるようです。

高いセキュリティ要件が求められる(求め過ぎている?)場合、クラウド型のWAFはザルという人もいます。 7割の防御を求めるならインストール型、4割ならアプライアンス、1割ならクラウドと表現する人もいます。

WAFの利用上の注意点

基本

WAFは、該当するWebアプリケーションに適したフィルタルールになっていないと無意味なものになります。 その時々の状態に合わせて、フィルタールールをメンテナンスして攻撃を回避します。

しっかりテストする

製品の機能不良などもありますので、しっかりテストしたいですね。 テスト力が強化されればWebアプリケーションの質も上がりますし、コストも下がります。 この辺のテストはペネトレーションテストといいます。 専門化のフォローを含めテスト体制を整えたいです。

注意)導入だけでは無意味

ちゃんと運用しないと、送受信が行えないトラブルや処理速度の低下、リソースの圧迫があるにも関わらず、 該当Webサイトの致命的な脆弱性がフィルタされず、フィルタされては困るものがフィルタされるような事態にもなりえます。

注意)通信の間に入らない製品

WAFではなく、IPSと思われますが、通信の間に入らずログを監視して後追いでIP制限を掛けて遮断する製品を見かけることがあります。 この場合、攻撃を受けた後に遮断され、攻撃者はIPを変更してきますので目的の対策にならない場合があります。

注意)共通ルールでなく個別ルール

どのシステムでも適用できるような共通のルールの考え方は危険です。 例えば、CMSでHTMLやSQL文を編集するようなシステムでも使えるルールの場合とんでもないことになりますね。

注意)対象はサーバ側の送受信①

大方のWebサイトはサーバの設定でframeタグを許可していますが、frameタグを用いたクリックジャッキングなどブラウザ側の攻撃には効果ないです。

注意)対象はサーバ側の送受信②

SSL未適用やサーバ側のSSLの設定不備による通信経路での、のぞき見による情報漏えいも効果ないです。

注意)SSL設定が不自由はNG

SSLの設定をその製品で行う場合、SSLの脆弱性が見つかってもその製品がネックになってSSLの設定変更できない場合は逆に情報漏洩のリスクを増やします。

戻る