はじめに

サイバー攻撃の高度化・巧妙化が進む中で、サイバーセキュリティ対策の手法・製品も多様化しています。皆様の中には、効果的なサイバーセキュリティ対策を実施したくても、具体的にどの手法・製品を活用したらよいか分からないと悩んでいる方も多くいらっしゃるのではないでしょうか。 そこで今回は、高度化・巧妙化するサイバー攻撃をレイヤーの観点から切り分け、その中でアプリケーション層に対する攻撃の有効な対策となるWAFについてご紹介します！

OSI参照モデルとは

サイバー攻撃をレイヤーの観点から切り分けるために、今回はOSI参照モデルを利用します。 OSI参照モデルとは、通信機能ごとに7つの階層に分け、それぞれの役割を分類・明確化するために国際標準化機構により策定されたモデルです。 低階層がハードウェア寄りの通信となり、高階層がソフトウェア寄りの通信となります。各層の名称と、対応する主なサイバー攻撃は下表の通りです。

階層	OSI参照モデル	主なサイバー攻撃
第7層	アプリケーション層	SQLインジェクション クロスサイトスクリプティング
第6層	プレゼンテーション層
第5層	セッション層	IPアドレス偽装 SYNフラッド攻撃
第4層	トランスポート層
第3層	ネットワーク層	IPアドレス偽装
第2層	データリンク層	MACアドレス偽装
第1層	物理層	データセンター等への侵入

レイヤーごとに考えるセキュリティ対策

サイバー攻撃への効果的な対策への一歩として、ネットワークのどの箇所がどのように狙われる可能性があるのかを理解することが必要です。前述したOSI参照モデルを把握し、ネットワークを階層として捉えることで、適切なセキュリティ対策を検討する事が可能となります。 本記事のテーマであるWAFは、OSI参照モデルのアプリケーション層を狙ったサイバー攻撃に有効な対策となります。 アプリケーション層のプロトコルには、HTTPやSMTP通信が含まれ、Webサイトの閲覧等にも関わります。

Webサイト脆弱性対策の重要性

企業のWebサイトはその企業の顔となり、顧客や取引先との重要な接点となります。そのため、万が一Webサイトの脆弱性による被害が発生した場合、企業活動に重大な影響を及ぼしかねません。 WAFを効果的に活用することで、Webサイトに関わるセキュリティリスクを低減し、より安全で安定的なWebサイト運用を行いましょう。

WAF（Web Application Firewall）とは？

それでは、いよいよWAFについて具体的に解説していきます。 WAF（ワフ）とは、Web Application Firewallの略称であり、Webアプリケーションに特化したセキュリティシステムの一種です。 WAF を導入することで、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを保護することが可能です。

WAFの種類

WAFを提供形態の観点から分類すると以下の3つに大別できます。 保護対象のネットワーク環境や運営方針に合わせてWAFを選択することが、より効果的なセキュリティ対策に欠かせません。

名称	特徴
クラウドサービス型	WAFサービス提供者より、クラウドサービスとして提供を受ける形態です。専用機器が不要であり、企業のネットワーク構成の変更も不要です。
ソフトウェア型	保護対象とするWebサーバ自体に、ソフトウェアとしてWAFをインストールする形態です。こちらも専用機器が不要であり、企業のネットワーク構成の変更も不要です。
アプライアンス型	各組織のネットワーク内に、専用機器としてWAFを設置する形態です。専用機器として独立して動作するため、Webサーバに負荷をかけることがありません。

WAFで検知可能な攻撃① DDos攻撃

攻撃対象とするサーバーやWebサイトに対して、意図的に過剰なデータを送付、もしくはアクセスを行い負荷をかけるDoS攻撃（Denial of Service attack）を複数のマシンを利用して一斉に行う攻撃です。

WAFで検知可能な攻撃② SQLインジェクション

攻撃対象とするWebアプリケーションの脆弱性を利用して、データベースを不正に操作する攻撃です。入力フォーム等に不正な操作を目的としたSQL文を投入する等して実行されます。

WAFで検知可能な攻撃③ クロスサイトスクリプティング

Webサイトの脆弱性を利用し、サイトの閲覧者に対して、悪意のあるコードをスクリプトとして実行させる攻撃です。

WAFの監視対象外になる攻撃

SSHを使用した不正アクセス等は、一般的なWAFは監視対象としておりません。攻撃の監視対象としているプロトコルはHTTPとHTTPSのみとなります。

WAFのメリット

続いて、WAFの導入により得られるメリットついてご説明します。当然ながらWebアプリケーションの脆弱性をつく攻撃サイバー攻撃を検知、防御することができる点が一番のメリットです。加えて、アクセスの解析と遮断もWAFによって実施が可能です。 また、Webアプリケーションの脆弱性をつく攻撃サイバー攻撃は近年増加傾向にあります。他のサイバーセキュリティ製品と組み合わせて利用することでより強固なセキュリティ対策が可能となります。

WAFのデメリット

デメリットとして真っ先に挙げられるのがコストの問題です。どの提供形態を選択するかにもよりますが、WAFの種類の項目でご説明したクラウトサービス型では、保護対象としたいWebサーバの台数に比例して運用費用が増加することが多いです。また、アプライアンス型では、専用機器の購入に高額な初期費用が掛かったりする可能性があります。 また、運用開始後もWAFのアップデートや検知設定の見直しなど、一定の運用負荷がかかるため、そのための人員の確保も必要となります。

WAFの導入・運用のポイント

では、WAFを実際に導入・運用していく際にどのような点に注意すればよいのでしょうか。それぞれについてポイントを解説します。

導入時のポイント

保護対象のネットワーク環境やWebサーバの台数に応じて適切な種類のWAFを選択することがポイントです。ネットワーク構成を変更できない場合は、WAFをクラウドサービスとして提供を受けるクラウドサービス型やWebサーバ自体に、ソフトウェアとしてWAFをインストールするソフトウェア型のWAFが選択肢となります。 一方、Webサーバの台数が多い等、保護対象の規模が大きい場合や、より詳細な検知条件の設定等を行いたい場合は、専用機器としてWAFを設置するアプライアンス型が選択肢となります。

運用のポイント

WAFを効果的に活用するために、運用フェーズでのWAFのアップデートや検出パターンの更新を小まめに実施することがポイントとなります。また、保護対象とするWebサイトの性質によっては、24/365の監視体制が必要な場合もあります。 各組織内でこれらの体制・人員を確保することが困難な場合は、比較的運用の負担が少ないクラウドサービス型のWAFを選択するか、WAFの運用自体をアウトソーシングすることも検討が必要です。

おわりに

今回は、WAFの特徴や運用のポイントについてご紹介しました。WAFのメリット・デメリットや導入に際して何に気を付けるべきかなどを知っていただき、WAF導入検討の一助となれば幸いです。 また、今回ご紹介したWAFの運用に関して、JIG-SAWでは、各種WAF製品の導入から運用代行までをカバーし、サイバー攻撃からのWebアプリケーション保護をワンストップで実現する「マネージドWAFサービス」を提供しております。 ご要望に合わせて最適なご提案をさせて頂く事も可能ですので、 こちらのサイト をご参照の上、お気軽にご相談ください。