Webアプリケーションファイアウォール(WAF)

Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ製品です。ウェブアクセスに介在し、パケット単位の検査ではなく、プロトコルレベルで解析・検査を行うことで、多様な攻撃を高い精度で検出・防御することができます。

WAF概要

ウェブサイトにおける脆弱性の有無とは独立した形で防御機能を提供するため、仮に脆弱性の存在するシステムであっても、WAFがセーフティネットの役割を果たします。

ウェブアプリケーションの脆弱性対策はもちろんのこと、Apache Struts等のミドルウェアや、WordPressに代表されるCMS(コンテンツマネジメントシステム)の保護にも大変有効です。不正アクセスによる被害を未然に防止する役割に加え、攻撃状況を可視化する効果もあります。

従来型のファイアウォールやIDS/IPSとの違い

ウェブサイトに対する攻撃の多くで、ウェブアプリケーションの脆弱性が悪用されています。

ネットワークレイヤでアクセス制御(IPアドレスやポート番号)を提供する従来型のファイアウォールは、アプリケーションレイヤの攻撃を検出することができません。

一般的にIDS/IPSは、ウェブサイトを守ることに特化した製品ではなく、広い範囲でのサーバーやネットワークへの侵入検知を目的としています。一方WAFは、ウェブアプリケーション(および一部ミドルウェア)専用のシグネチャ(攻撃パターンのデータベース)を備え、ウェブアクセスを詳細に解析・検査するため、検出精度に優れています。

例えば、対策の重要性が極めて高いSQLインジェクション攻撃は、その攻撃パターンが多岐にわたるため、単純な○×だけで対応を評価することはできません。SiteGuardシリーズはSQLインジェクション関連だけで100種類以上のシグネチャを標準実装するなど、その防御性能には定評があります。

また、WAFはプロトコルレベルで通信を処理する性質上、検出精度に優れるだけでなく、アクセス元へ警告ページを送信するなど、ウェブサイトの円滑な運営を支援する様々な機能も備えています。

警告ページ

活用範囲の広がるWAF

SiteGuardシリーズは、業種や規模、個人情報の有無によらず、多種多様なお客様サイトで活用されています。元々WAFはウェブアプリケーションなど動的コンテンツを扱うサイトで特に効果的なソリューションですが、最近では静的コンテンツ(html等)のみのサイトでも導入される傾向があります。

企業・団体でのWAF活用が進む一方、多くの低価格な個人向けレンタルサーバーでもWAF機能の標準化が一般化しています。PCIDSS(Payment Card Industry Data Security Standard)への準拠や、組織内セキュリティポリシーにおけるWAF活用のルール化など、WAFのニーズが高まっています。

製品・サービスのページへ