ProFutureマーケティングソリューション|MarkeTRUNK

ProFutureマーケティングソリューションMarkeTRUNKはリードジェネレーションを中心としたソリューションです。HRプロや経営プロを中心としたマーケティング、人事データを活用したDSP、SEOに強いコンテンツマーケティングなどのマーケティングソリューションと情報を提供しています。

WAF(Web Application Firewall)とは?セキュリティの仕組みや基礎を徹底解説!

2022.5.16
読了まで約 4

インターネットを介してサービスを提供する事業者が多い昨今において、セキュリティ対策への理解を深めることは非常に重要です。WAF(Web Application Firewall)は、脆弱性のあるWebアプリケーションサービスを対象にした攻撃から守るセキュリティ対策の1つですが、WAFの仕組みや基礎が分からないという人もいるのではないでしょうか。

そこで本記事では、WAFの概要や仕組み、基本的な機能を解説します。また、WAFの種類や注意点も解説しますので、ぜひ参考にしてください。

WAFとは?

まずは、WAF(Web Application Firewall)の概要から解説します。WAFは、主に脆弱性のあるWebアプリケーションサービスを対象にした攻撃から守るセキュリティ対策のことです。インターネットバンキングサービスやECサイトのように、個人情報を取り扱うWebサイトやWebシステムなどが保護対象になります。

WAFの特徴は、セキュリティ対策をWebアプリケーションに直接行わないことです。WAFは、基本的にWebアプリケーションのネットワークに対して実装され、脆弱性を狙った攻撃を検知したり、対策が行われたりします。また、ネットワークに対して実装されるため、単体のWebアプリケーションサービスのみならず、複数のWebアプリケーションを同時に守ることも可能です。

WAFとその他のセキュリティ対策との違い

ここまで、WAF(Web Application Firewall)の概要を解説してきました。ここからは、WAFとその他のセキュリティ対策との違いを紹介します。

・ ファイアウォール
・ IPS
・ IDS

それぞれ順番に見ていきましょう。

ファイアウォール

ファイアウォールは、ソフトウェア、もしくはハードウェアに対して実装されるセキュリティ対策です。そのため、外部に公開する必要があるWebアプリケーションのセキュリティ対策としては実装できません。端的に言えば、内部でのみ使用するソフトウェアやハードウェアのセキュリティ対策はファイアウォール、外部に公開する必要があるWebアプリケーションはWAFでセキュリティ対策を行うという理解で問題ありません。

IPS

IPS(Intrusion Prevention System)は、不正侵入防止システムのことです。ファイル共有サービスへの攻撃、OSの脆弱性を対象にした攻撃などを防ぐことができます。管理者が事前に検知パターンを設定しておけば、自動で設定した検知パターンに則ってセキュリティ面を強化できることが特徴です。

また、IPSはプラットフォームレベルでのセキュリティ対策が基本となります。

IDS

IDS(Intrusion Detection System)は、不正侵入検知システムのことです。上述したIPSと似ていますが、IDSはIPSよりも異常な通信を多く検知できるセキュリティ対策だと捉えれば問題ありません。

IPSやIDSも多様なケースにおいてセキュリティ強化が可能ではあるものの、WAF以上に広範囲をカバーすることは不可能です。したがって、セキュリティ対策をより強固にしたい場合は、WAFを優先的に検討すると良いでしょう。

WAFの基本的な仕組み

WAF(Web Application Firewall)の基本的な仕組みは、ブラックリスト型とホワイトリスト型によって異なります。ここでは、それぞれの詳細を解説します。

ブラックリスト型

ブラックリスト型は、事前に検知するべき攻撃のパターンを設置しておき、その攻撃パターンが検知された場合に、通信を拒否する仕組みになっています。ブラックリスト型は、既知の攻撃をパターンとして設定するため、複数のWebアプリケーションを対策する手間を省けることが特徴です。

しかし、現時点では存在していない脆弱性を対象とした攻撃を防ぐことはできません。自社のWebアプリケーションが攻撃された場合、もしくは他社が攻撃された事例を知ったうえで対策する必要があるため、少々手間がかかるWAFの仕組みだと言えます。

ホワイトリスト型

ホワイトリスト型は、正当パターンに該当する通信を事前に定め、その通信のみを許可する仕組みのことです。専門用語では、正当パターンのことを「許可する通信」と呼びます。未知の攻撃を防げることが、ブラックリスト型と比較したホワイトリスト型のメリットです。

しかし、許可する通信の定義が難しい点が難点と言えます。そのうえで、Webアプリケーションごとに許可する通信を定める必要があるため、ブラックリスト型以上に手間のかかる仕組みと言えるでしょう。

WAFの基本的な機能

ここからは、WAF(Web Application Firewall)の基本的な機能を解説します。

・ 通信監視
・ Cookieの保護
・ 特定URLの除外・拒否
・ シグネチャの自動更新
・ ログの収集

それぞれ順番に見ていきましょう。

通信監視

通信監視は、WAFの基本的な機能の代表例です。ブラックリスト型、ホワイトリスト型に合わせて、状況に応じて通信を拒否したり、許可したりします。

Cookieの保護

WAFでは、WebブラウザのCookieを保護することも可能です。Webアプリケーションでは、脆弱性を対象にした攻撃以外にも、Cookieを不正利用したり、改ざんしたりする攻撃が多くなっています。

WAFを利用することで、不正に入手したCookieを利用してアクセスしてきた場合でも、そのアクセスを拒否することが可能です。さらに、WAFにはCookieの暗号化機能も搭載されています。

関連記事:Cookieの基礎知識と規制や廃止の流れについて

特定URLの除外・拒否

WAFでは、そもそも脅威とはならない通信に関しては、あらかじめチェック対象から除外することが可能です。これにより、通信パフォーマンスの低下を防げるというメリットがあります。また、あらかじめサイバー攻撃などで利用されているIPアドレスを拒否する機能も搭載されています。

シグネチャの自動更新

シグネチャとは、通信や攻撃のパターン情報のことです。クラウド型のWAFであれば、シグネチャを自動で更新してくれるため、常に最新の状態に保つことができます。これにより、新たな脆弱性を対象にした攻撃にも、自動で対策ができることがメリットです。

ログの収集

WAFの中には、ログを自動で収集し、レポート化してくれる機能が搭載されているものもあります。これにより、自社のWebアプリケーションにどのような攻撃が行われていたかや、その対策方法が分かるようになります。

WAFの種類

ここまで、WAF(Web Application Firewall)について解説をしてきました。一口にWAFと言っても、種類は以下の3つが挙げられます。

・ ソフトウェア型
・ アプライアンス型
・ クラウド型

それぞれ順番に解説します。

ソフトウェア型

ソフトウェア型は、対象となるWebサーバーにインストールするタイプのWAFであり、ホスト型と呼ばれることもあります。他のWebサーバーへの影響がなく、ネットワーク環境を新たに構築・変更しなくても良いことが特徴です。また、後述するアプライアンス型よりも、低コストで導入することができます。

アプライアンス型

アプライアンス型は、ゲートウェイ型、ネットワーク型とも呼ばれ、各ネットワークの中に設置されるWAFです。専用機器をWebサーバー外に設置するため、Webサーバーに負担をかけることなく、設定をある程度柔軟に変更できるようになっています。

しかし、設定を自社で変更する必要がある分、運用担当者が専門知識を持っていることが前提となります。導入コストが比較的高いため、予算と専任担当者を確保できる企業に向いています。

クラウド型

クラウド型は、サービス型とも呼ばれ、インターネットサービスを経由して利用するWAFです。ソフトウェア型、アプライアンス型と比較して最も安価に導入でき、ネットワークを新たに構築したり、変更したりする必要もありません。そのため、低予算で、なおかつWAFの有用性を試したい企業に向いています。ただし、カスタマイズをしたくてもできないケースが大半であるため、導入は慎重に検討することが大切です。

WAFを導入するべき事例

ここまで、WAF(Web Application Firewall)の概要などを解説してきました。WAFは、下記のようなサービスや事例で導入を検討することを推奨します。

・ ECサイト事業者
・ 顧客情報を取り扱うサービス
・ インターネットを介して顧客情報を送付するケース

主に、顧客情報を取り扱っていたり、ECサイトで金銭のやり取りが必要になったりする場合に導入を検討するべきです。WAFを導入することでセキュリティ面を強化できるため、企業はより本質的な業務に注力できるようになります。

まとめ

本記事では、WAF(Web Application Firewall)について解説をしてきました。WAFは、脆弱性のあるWebアプリケーションへの攻撃を防ぐセキュリティ対策です。通信監視やCookieの保護、特定URLの拒否などを行えます。特に、ECサイトを運営して顧客情報を取り扱っている事業者や、他社への送客を図っている事業者はWAFへの理解を深めることが大切です。

実際に自社にWAFの導入が必要だと感じた場合は、積極的に導入を検討してみてはいかがでしょうか。

監修者

古宮 大志(こみや だいし)

ProFuture株式会社 取締役 マーケティングソリューション部 部長

大手インターネット関連サービス/大手鉄鋼メーカーの営業・マーケティング職を経て、ProFuture株式会社にジョイン。これまでの経験で蓄積したノウハウを活かし、クライアントのオウンドメディアの構築・運用支援やマーケティング戦略、新規事業の立案や戦略を担当。Webマーケティングはもちろん、SEOやデジタル技術の知見など、あらゆる分野に精通し、日々情報のアップデートに邁進している。

※プロフィールに記載された所属、肩書き等の情報は、取材・執筆・公開時点のものです

執筆者

『MarkeTRUNK』編集部(マーケトランクへんしゅうぶ)

マーケターが知りたい情報や、今、読むべき記事を発信。Webマーケティングの基礎知識から、知っておきたいトレンドニュース、実践に役立つSEO最新事例など詳しく紹介します。 さらに人事・採用分野で注目を集める「採用マーケティング」に関する情報もお届けします。 独自の視点で、読んだ後から使えるマーケティング全般の情報を発信します。

メルマガ会員登録で最新マーケティング情報やトレンド情報、
セミナーイベント情報をチェック!

メールマガジンのサンプルはこちら

リード獲得などBtoBマーケティングにお困りではありませんか?
マーケティング施策に関するお問い合わせはこちら

アクセスランキング

  • 2024.8.20

    キャッシュとは?初心者でも分かる仕組みやキャッシュクリア(削除)の方法

  • 2024.11.28

    メールアドレス作成方法を解説!無料サービスも紹介

  • 2023.11.6

    文字化けはなぜ起こる?原因・理由と直し方、復元方法を解説

  • WEBマーケティングカテゴリの
    おすすめ記事

    マーケティングカテゴリの
    おすすめ記事

    SEOカテゴリの
    おすすめ記事

    おすすめ記事

    PAGE TOP
    閉じる
    2024.10.16

    マーケティング担当者必見!資料無料ダウンロード

    図解でわかる!Webマーケティングの仕事内容

    こんな方にオススメ!
    ・社内に詳しい人材がいないため何をしたらよいか分からない…
    ・Webマーケティングのどこから手を付けていいかわからない…

    マーケティングお役⽴ち資料資料ダウンロード