WAFとは？仕組みとファイアウォール・IPS/IDSとの違い、種類

WAFを導入しようと思っても、種類がたくさんあってどうやって選べばいいの？と迷いますよね。そんな声にお応えして「SaaS導入推進者が選ぶサイト第1位^※」のBOXILがおすすめWAFを厳選。チェックしたいサービスの紹介資料をまとめてダウンロードできます。
⇒【特典比較表つき】WAFの資料ダウンロードはこちら（無料）

^{※2020年9月実施 株式会社ショッパーズアイ「SaaS比較メディアに関するイメージ調査」より}

関連記事
・ファイアウォールとは
・IPS・IDSとは
・WAFの導入事例
・WAF製品の比較
・クラウドWAFの比較

ボクシルおすすめWAF 【Sponsored】

BLUE Sphere
無料トライアル：◯ フリープラン：✕ 利用料金：45,000円～
・セキュリティ対策に加えて、サイバーセキュリティ保険も付帯 ・あらゆるぜい弱性や攻撃にも対応する機能を搭載 ・専門家による個別チューニングで高性能なWAF
製品資料をDL

WAFとは

WAF（ワフ）とは、わかりやすく説明すると不正アクセスをはじめ、ネットワークを介した外部からの攻撃を防御するセキュリティの一種です。WAFはWeb Application Firewall（ウェブアプリケーションファイアウォール）を意味する略称で、Webアプリケーションに特化してセキュリティを堅牢にします。

ネットショッピングやネットサーフィンにおいて、ユーザー／Webサイト間のデータ送受信、SNSログインといったリクエストによって動的ページが生成されるWebサイトで保守します。

WAFが必要とされる背景

Webサイトは一般公開されており、誰でもアクセスできる一方で、サイバー攻撃も受けやすくなっています。 情報処理推進機構（IPA）が公表した資料^※によれば、ぜい弱性に関連する情報の合計届出件数のうち、Webサイトに関する届出が約7割を占めていることがわかります。

とくにWebアプリケーションのぜい弱性が原因である被害が、大半を占めている状況です。Webアプリケーションのぜい弱性とは、予期せぬ挙動によるソフトのバグや想定外のオペレーションのことで、このぜい弱性を狙ったサイバー攻撃の手法も日々増加・多様化しています。

一方セキュリティ製品では、これらの多様なサイバー攻撃にすべて対応することは難しく、幅広い攻撃に対応できるWAFの必要性は今後も高まっていくと考えられます。

※出典：情報処理推進機構（IPA）「ソフトウェア等の脆弱性関連情報に関する届出状況[2021年第4四半期（10月～12月）]」（2022年1月20日発表）

WAFとファイアウォール、IPS／IDSの違い

セキュリティ保護ではWAFのほかにもファイアウォール、IPS／IDSを耳にすると思います。それぞれ守る対象が異なり、3つを組み合わせることでセキュリティ網羅的に強化できます。

WAFはWebアプリケーションの前面に配置される特徴を持ちます。そのため「ファイアウォール」「IPS／IDS」で保護が不可能な攻撃を、アプリケーションレベルで解析することにより無効化する役割を持っているのです。

名称	保護のレベル
ファイアウォール	ネットワークレベルの保護
IPS／IDS	サーバーOS／ミドルウェアレベルの保護
WAF	Webアプリケーションレベルの保護

ファイアウォール、IPS／IDS、WAFには、それぞれに守備範囲と得意分野があります。多様化するサイバー攻撃の防御にはファイアウォール、IPS／IDS、WAFの3つの壁を利用する、総合的なセキュリティ構築が求められています。

ファイアウォール

ファイアウォールは、ネットワークにおいて不正アクセスを防御するセキュリティです。

IPアドレスやポート番号など、通信時にやりとりされる送信先および送信元の情報から通信を許可するかどうかを判断し、内部ネットワークへの侵入を防ぐ役割があります。

IPS／IDS

IPS／IDSは、OSやミドルウェアなどプラットフォームレベルでのセキュリティです。それぞれInstrusion Detection System（＝IDS）と、Intrusion Detection and Protection System（＝IPS）が正式名称です。

ホスト型とネットワーク型にわかれ、広い範囲を防御できます。設置場所によって役割は多少異なりますが、不正アクセスの監視、攻撃の検知および防御を行います。異常を検知すると管理者へ通知。万一の際に迅速な対応を行うことが目的です。

次の記事では、WAFの役割と特徴についてより詳しく解説しています。

WAFの主な機能

WAFの主な機能としては、次の5つが挙げられます。

• 通信監視・通信制御
• シグネチャの定期更新
• Cookieの保護
• 特定URL除外・IPアドレス拒否
• ログ収集・レポート出力

では次の項目で詳しく解説します。

通信監視・通信制御

WAFの基本となる機能です。通信状況を常に監視し、シグネチャを使って通信の許可・不許可を判断・実行します。許可・不許可を決める方式としては、後述する「ブラックリスト方式」と「ホワイトリスト型」の2種類があります。

シグネチャの定期的な自動更新

クラウド型WAFの場合、提供ベンダーによりシグネチャは定期的に自動更新が行われます。ユーザーが手動で更新を行う必要のないことが魅力です。また最新のサイバー攻撃の手法にも、いち早く対応できます。ただし、クラウド型以外は手動設定が必要な場合もあるため、注意が必要です。

Cookieの暗号化・保護

WAFでは、Cookieの暗号化や保護も可能です。Cookieとは、サイトへのログイン情報といったデータを保存するテキストファイルのことで、たとえば毎回ログイン情報の入力を省いてサイトへアクセスできる、といったように利便性を高めてくれます。サイバー攻撃にはCookieを対象としたものも多く、改ざんや乗っ取りなどが起こるため、これを防ぐための機能です。

特定URL除外・IPアドレス拒否

危険性のないURLは、あらかじめチェックの対象から外せます。またサイバー攻撃に使われているIPアドレスからのアクセスを、あらかじめ除外可能です。これにより処理に余計な負担をかけず、通信パフォーマンスの低下が防げます。

ログ収集・レポート出力

WAFが不正と判断したアクセスは、ログ機能から閲覧できます。また攻撃元のアクセス数や攻撃パターンなどのデータを収集・分析し、レポートとして出力してくれる場合もあります。これらの機能を活用することで、さらにセキュリティ対策の強化が図れるでしょう。

WAFの仕組み

WAFは、攻撃の検知にシグネチャを使います。シグネチャはアクセスのパターンや通信の手法などを登録するシステムです。このパターンに該当するアクセスがWebアプリケーションにあった場合、通信可否の判断を行います。

シグネチャを使った不正アクセスの検知方式は、主に「ブラックリスト方式」と「ホワイトリスト方式」の2種類にわかれます。では次の項目で詳しく解説しましょう。

ブラックリスト方式

ブラックリスト方式では、既知の攻撃パターンを登録します。つまり拒否するアクセスを登録することで、不正アクセスが防止できます。未知の攻撃に適用できないことがデメリットですが、過度なアクセス制限は防げるでしょう。新たな攻撃パターンに対応するため、シグネチャの定期的な更新が必要です。

ホワイトリスト方式

ホワイトリスト方式では、許可するアクセスパターンを登録します。つまり許可されたアクセスパターン以外の通信を拒否することで、不正アクセスが防止できます。

この場合、未知の攻撃に対しても対応可能な点がメリットです。ただし、許可するアクセスをどのように決めるかは、Webアプリケーションやセキュリティに詳しい担当者が必要です。またWebアプリケーションごとにホワイトリストが必要になるため、コストや運用の負担が大きくなります。

WAFに関して知っておきたい用語一覧はこちらをご覧ください。

WAF製品の選び方はこちらの記事をご覧ください。

WAF製品の選び方ガイドは、本記事の一番下に掲載しています。ぜひ参考になさってください。

WAFの種類

WAFには設置構成や運用方法の違いでアプライアンス型、ソフトフェア型、クラウド型に大きく3つのタイプにわかれます。

アプライアンス型

防御に必要な専用機器（＝ハードウェアアプライアンス）をネットワーク上に設置し、ソフトウェアを組み込んで利用する方法です。アプライアンスの購入と設置に併せ、運用も自社で行う必要があるため、トータルコストは他のWAFと比較するともっとも高くなります。

一方でネットワーク上の構築となることから、大規模でも高いコストパフォーマンスが期待できます。

ソフトウェア型

既存のサーバーにソフトウェアをインストールするタイプのWAF。専用機器の設置が不要のため、導入コストの削減や短期間での導入が可能です。

ただし、ソフトウェアのインストールはサーバーごとに行う必要があるため、規模とコストが比例します。システム規模の見通しを誤ると運用コストが膨らみ続けるため、導入には十分な検討が必要です。運用はアプライアンス型と同じく自社で行います。

クラウド型

クラウド型WAFはサーバーの構築や機器の購入などが不要で、ネットワークの設定変更を行えば導入できるタイプ。費用面や導入期間などを比較すると、3タイプの中でもっとも効率的な運用を行えるのがクラウド型です。

また自社での運用も不要で、予算の見通しが立てやすい点も特徴。これらのメリットからクラウド型を選択する企業が増えており、近年セキュリティ市場で急成長を遂げています。

WAFで防御できる攻撃の種類

SQLインジェクション

データベース言語のSQLを使い、Webアプリケーションの入力画面で誤ったSQLを入力、アプリケーションが想定していない動作を実行させてデータの消去や改ざん、情報漏えいを狙います。ファイアウォールやIDS/IPSでは保護が困難な攻撃方法です。

OSコマンドインジェクション

WebサーバーへのリクエストにOSへの命令文を紛れ込ませて不正に実行させることで、ファイル改ざん・削除・流出を狙います。

バッファオーバーフロー

対象のコンピューターやWebサーバーに許容量以上のデータを送ることで誤作動を狙い、その後乗っ取りや別のコンピューターへの攻撃に利用されます。

クロスサイトスクリプティング

SNSや掲示板サイトといった、ユーザーが入力・操作を行えるサイトにスクリプトを仕掛ける攻撃です。これをユーザーが実行すると個人情報の入力画面に誘導される、もしくは意図しない投稿が拡散されます。cookieの流出や、個人情報の漏えいが起こる危険性があります。

ディレクトリトラバーサル

外部からのリクエストのなかにWebサーバー内のファイル名・フォルダ名が直接指定されている場合、これを不正なファイル・フォルダに指定することで、意図しない処理を起こす攻撃です。ファイル消去や改ざん、流出の危険性があります。

DDoS攻撃

DDoS攻撃は、対象のWebサーバーやコンピューターに対して、過剰な接続要求やデータ送付を行い、大量の処理負荷を与えることでサーバーや機能の停止に追い込む攻撃です。

詳しい内容については、次の記事でも紹介しているので、こちらもあわせて参考にしてください。

WAFのメリット・効果

数多くの攻撃手法からWebアプリケーションを守れる

WAFが対応できる攻撃は、先ほど紹介した6種類の攻撃のほか、ブルートフォースアタックなど実に多くのものがあります。

WAFは一般的なファイアウォールでは防御できない攻撃にも対応可能です。WAFの提供を行う企業が、最新の攻撃にも迅速に対応する仕組みを整備しており、常に最先端の防御体制でWebアプリケーションを攻撃から守れます。

ぜい弱性が見つかった際の予防に

Webアプリケーションにぜい弱性が発見された場合、不正な攻撃を受けるリスクはいっそう高まります。また、オープンソースのプログラムを利用している場合など、自社では対応できないケースも考えられるでしょう。

WAFは自社ではどうにもならない状況に備えた予防策としても力を発揮します。WAFを導入していれば、根本的な解決ができるまでの間も、安心してWebアプリケーションを利用できます。

他システムで防御できない領域

悪意のある攻撃からシステムを守るセキュリティシステムはいくつか存在します。それぞれの防御には得意分野があり、WAFにもWAFにしか守れない領域を持っています。

WAFが専門とするのは、Webアプリケーションの領域。送信元とWebサーバーの間で通信内容を監視し、Webアプリケーションへの攻撃を未然に防ぎます。

被害を最小限に抑える

万一攻撃を受けてしまった場合、被害を最小限に抑えることもWAFには可能です。一般的に、Webサイトが攻撃によって被害を受けると、サービスを停止して復旧作業が行われます。メンテナンスの時間が長引けば長引くほど損失が拡大するため、いち早い復旧が必要です。

Webサイトが攻撃を受けると、WAFは素早い原因調査と問題の解消に貢献します。目の前にある危機を最小限の被害で食い止め、被害の拡大を防ぎます。

WAFのデメリット・注意点

誤検知・誤遮断が発生する可能性がある

WAFのセキュリティレベルが厳しすぎると、正常な通信を誤って遮断しする誤遮断が起こることもあります。

誤検知・誤遮断が起きた場合、シグネチャの設定の修正・通信方法の見直しが必要になります。もし専門の担当者が付けられない場合は、運用サービスも合わせて提供されることが多いクラウド型WAFの利用を検討するとよいでしょう。

防げない攻撃もある

WAFはWebアプリケーションの保護に適したセキュリティ対策ですが、botの不正ログイン・OSやネットワークへの攻撃には不得手です。そのため、他のセキュリティ方法も併用する必要があります。

WAF以外にもセキュリティサービスを提供しているベンダーもあるので、検討の際には他にどのようなセキュリティ対策を依頼できるか確認しておくとよいでしょう。

WAFの導入事例

攻撃遮断くん

攻撃遮断くんとは、サイバーセキュリティクラウドが提供する、サーバーへのあらゆる攻撃を遮断できるクラウド型のサーバーセキュリティサービスです。外部からの攻撃による情報の漏えいや、Web情報の改ざん、サービスの妨害などのさまざまな被害を未然に防げます。

NTTドコモの導入事例

課題：サーバー増加と複雑化により導入コストが増加

最大手の通信事業者のためデータセンターが複雑に混在している状態であり、サーバー自体も各所に何百台もある状況だった。そのため既存のサービスでは導入コストが膨大になってしまうことが問題に。

結果：使い放題プランの採用でコスト削減

攻撃遮断くんの「使い放題プラン」を採用により、複数の拠点に何百台ものサーバーが存在していても、1つの契約のみですべてのサーバーをまかなえます。これにより、圧倒的なコストパフォーマンスでサーバー運用およびコストの課題を解決できます。

その他の事例や攻撃遮断くんについて詳しくはこちらから。

アピリッツ

課題：海外製品の利用でトラブルが続出していた

海外製WAFを導入、運用を行ってきたが運用面に課題があった。 再起動時に Master／Slave の切り替えが正常に行われないことが多々あった。またファームウェアアップデートが正しく行われずに、サービス停止を伴うトラブルが発生していた。さらに、日本の環境では誤検知も多く運用コストが増大していた。

効果：運用に関する諸問題を解決

誤検知やアップデートなどの問題や課題となっていたエンジニアの運用負荷を大幅に削減。検証を実施し、約 1か月で移行を完了できた。

Scutum

Scutumは月額29,800円^※と比較的安価で利用できるセキュアスカイ・テクノロジーが提供するWAFです。
業種・規模を問わず多くのサイトで導入されてきた実績があり、富士キメラ総研の調査結果によると、国内のSaaS型WAF市場シェア連続No.1^※を獲得しているサービスです。

※出典：Scutum公式サイト「クラウド型（SaaS型）WAF市場シェア連続No.1」（2023年7月5日閲覧）

タワーレコード

課題：基準値を超える数のアクセスが常態化

基準値を超えるアクセスに対応するため、フロントサーバーをオンプレミスからクラウド環境への移行を行うことになった。さらに親会社のセキュリティ基準に合わせる必要も生じ、要求事項にWAFの導入が求められていた。

効果：アクセス数増加時も誤検知がなくなった

サイト全体で行うセールやポイントキャンペーンなどによってアクセスが増えるものの、期間中も誤検知を出さずに機能している。さらに、セキュリティやWAFの詳細を理解していない経営陣に対して、WAF導入の効果を示すことが、管理画面で見られる防御ログによって可視化できる効果も大きかった。

Symantec Endpoint Protection Small Business Edition（SEP SBE）

SEP SBEは、小規模企業のセキュリティ面のニーズを満たすように設計されています。また、生産性を損なうことなく、マルウェアおよびゼロデイ攻撃を、侵入前の段階で迅速かつ効率的に阻止します。

はとバス

課題：想定外のSQLインジェクションによりサイトを閉鎖に追い込まれた
バス旅行の販売や広報でWebを活用しており、総予約数の30%強がウェブサイトを経由した申し込みだった。以前からセキュリティ対策を実施していたものの、SQLインジェクション攻撃を受けたことでウェブサイトの改ざんが行われる事態に。閲覧者がウイルスに感染するように仕込まれた結果、ウェブサイトを閉鎖しないといけない状態に追い込まれた。

効果：Webサイトの早急な再開
アプリケーションの修正やパッチ当て、季節の商品コンテンツへの更新作業も含めて17日間とスピードでWebサイトを再開できた。

関連記事
・ファイアウォールとは
・IPS・IDSとは
・WAFの導入事例
・WAF製品の比較
・クラウドWAFの比較

WAFの導入を検討される方へ

WAF はWebアプリケーションに特化することで優れた特徴を保有し、中でもクラウド型は導入も手軽です。またファイアウォールやIPS／IDSなど他のセキュリティと組み合わせることで、より高いセキュリティの構築が可能になることがわかりました。

情報漏えいや改ざんなどのリスクは、以前にも増して大きくなっています。甚大な損害が生じる前に、WAF導入の重要性と必要性について考えてみる必要があるのではないでしょうか。下記の記事では、導入をご検討されている方向けに、WAF製品について詳しく紹介しています。ぜひともご参考にしてくださいね！

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}