多くの方がインターネットで情報収集を行なう現代において、Webサイトを通じて自社製品やサービスをアピールすることは当たり前となっています。また、人材獲得やマーケティングを目的としたWebの活用も多くの組織が実施しているでしょう。
その中で無視できない要素がWeb上のセキュリティです。
多種多様な攻撃手法が生まれ、高度化するサイバー攻撃に対し、Web上ではどのような対策が考えられるでしょうか。

この記事では、Webを活用する上で一般的なセキュリティ対策となるWAFの基本や、WAFの課題、対処法について解説します。

※組織がWeb上に公開するものは、コーポレートサイトやアプリケーション、情報記事など多種多様です。この記事では、これらを包括して「Webサービス」と記載します。

WAFとは

「WAF」とは、「Web Application Firewall」の頭文字を取った略語であり、「ワフ」と読みます。Webサービスを外部攻撃や不正アクセスから保護するために使用されます。

WAFとその他セキュリティシステムの違い

セキュリティシステムはWAFだけではなく、ファイアウォールやIPS/IDSなど様々なものが存在しており、それぞれ以下のように違いがあります。

・WAF

WAFはWebアプリケーションに対する攻撃を防ぐためのセキュリティ対策の一つです。WAFは、WebサーバーとWebアプリケーションの間に配置され、HTTP通信を監視し、悪意のある攻撃を検知してブロックすることができます。WAFは、SQLインジェクションやクロスサイトスクリプティングなどの攻撃からWebアプリケーションを保護することができます。WAFは、セキュリティ対策の一つとして、Webアプリケーションのセキュリティを高めるために必要なものです。

・ファイアウォール

ファイアウォールとは、コンピューターシステムやネットワークを外部からの攻撃や不正アクセスから守るためのセキュリティ対策の一つです。ファイアウォールは、ネットワーク上を流れるデータ通信を監視し、不正な通信を遮断することで、外部からの攻撃やウイルス感染、不正アクセスなどのリスクを軽減します。
WAFとの違いについては、Webアプリケーションに対する攻撃を防ぐために使用され、ファイアウォールはネットワークに対する攻撃を防ぐために使用される点です。

・IPS/IDS

IPSとIDSは、ネットワークセキュリティにおいて重要な役割を果たす技術です。IPSはIntrusion Prevention Systemの略で、侵入検知防止システムとも呼ばれます。IPSは、ネットワーク上で発生する不正なアクセスや攻撃を検知し、遮断することでセキュリティを確保します。一方、IDSはIntrusion Detection Systemの略で、侵入検知システムとも呼ばれます。IDSは、ネットワーク上で発生した不正なアクセスや攻撃を管理者に通知することで早期に対処することができます。
WAFとの違いについては、WAFはWebアプリケーションの脆弱性を狙った攻撃に対して有効であり、IPS/IDSはネットワークに対する攻撃を検知・防御するためのツールという点です。

WAFを利用する重要性

オンラインでのビジネス展開が一般的に行なわれる現代、Webサービスは組織が活動を継続するために重要な役割を担っています。世界中の方々へ情報を発信できるWebは、なくてはならないものとなりました。

しかし、裏を返せば世界中の攻撃者がWebサービスへアクセスし、攻撃を試みることができるとも言えるでしょう。サイバー攻撃の被害にあってしまえば、情報漏洩やWebサービスの改ざんにより意図しない情報発信が行なわれてしまう恐れもあります。
このような脅威から自組織のWebサービスを守るためのセキュリティ対策として、WAFの活用は極めて重要です。

WAFによりWebサービスの安全を守り、安全なビジネス展開を見込むことができます。

WAFの仕組み

Web上の安全を守るWAFは、どのような仕組みで動作するのかを解説します。

WAFが攻撃を検知する仕組み

WAFはWebサイトを含むWebサービスへの通信（HTTPやHTTPSによるアクセス）を監視・解析を行います。Webサービスへの通信を「シグネチャ」と照らし合わせて、悪意のある攻撃者からの通信を検知します。
シグネチャとは、攻撃を検知するためのパターンマッチング技術です。攻撃者が使用する様々な攻撃手法に対応するために、特定の攻撃パターンを識別するためのパターン定義となっていて定期的に更新され、新しい攻撃手法に対応するために常に改善されています。

シグネチャの定義は「ホワイトリスト型」と「ブラックリスト型」があります。
ホワイトリスト型は、許可する通信を定義し一致しない通信を弾くことで不正アクセスを防止します。一方のブラックリスト型は拒否する通信をシグネチャに定義し一致する通信を弾くものです。ブラックリスト型は既知の攻撃パターンの情報を収集しシグネチャを更新する必要があるため、後述するOWASPの情報を活用することがあります。

セキュリティ情報を提供するOWASP

OWASP（Open Worldwide Application Security Project）とは、Webやソフトウェアのセキュリティ動向や、セキュリティ技術の共有を行なっているコミュニティです。
OWASPでは、数年に1度のペースで「OWASP Top 10」と呼ばれる特に重要なセキュリティリスクのレポートを公開しています。

日々新しいサイバー攻撃や脆弱性が発見される中、網羅的にリスクを評価し対処を検討することは、多くの組織にとって困難でしょう。多くのWAF製品はOWASPが提供する情報など、様々なセキュリティリスクを製品に反映させています。それにより幅広い攻撃への対処が可能となっています。

自組織独自の調査やセキュリティ対策では防ぎきれないセキュリティリスクも、WAFを活用することでリスクを軽減することができます。

WAFが防ぐWeb上のサイバー攻撃

WAFにより防げるWeb上の攻撃には、どのようなものがあるのかを紹介します。

SQLインジェクション

攻撃者がWebサービスの入力フォームやURLのクエリを悪用し、不正なSQLコードの実行を試みる攻撃です。
例えば、入力フォームへログインアカウントの制御を行なうSQLコードを実行することで、攻撃者がWebサービスの管理者権限を持ってしまうといった被害が考えられます。
WAFにより不正なSQLコードを検出し、このような被害を防ぐことに繋がります。

クロスサイトスクリプティング

クロスサイトスクリプティング（Cross Site Scripting、XSS）は、脆弱性のあるWebサービスに攻撃者が悪質なスクリプトを埋め込み、ユーザーが意図しないスクリプトを実行させる攻撃です。
ユーザーのログイン情報を奪取してなりすましを行なう、マルウェアなどの不正プログラムを実行させる、と言った被害が想定されます。
WAFにより不正なスクリプトを検出することで、攻撃を防ぐことに繋がります。

ブルートフォース攻撃

ブルートフォース攻撃とは、パスワードなどの秘密情報を解読するために、全ての可能性のあるパスワードを順番に試行する攻撃手法のことです。攻撃者は、パスワードの長さや使用可能な文字種類などを推測し、それに基づいて自動的にパスワードを生成し、試行します。この攻撃は、非常に時間がかかりますが、攻撃者が十分な時間とリソースを持っている場合、いかなるパスワードも解読できる可能性がある攻撃手法となっています。

WAFにより、ここで紹介した以外にも様々な攻撃を防ぐことができます。

WAFの種類

実際にWAFを利用する場合、どのような選択肢があるのでしょうか。

オンプレミス（アプライアンス）型WAF

WAF機能を搭載した物理機器を組織のネットワーク上に配置します。
オンプレミスでWebサーバーを公開している、特別な要件が存在するなどの場合はこのタイプが使いやすいケースがあります。
機器の購入や日常的なメンテナンスが必要となるため、初期コストや運用負担は大きいと言えるでしょう。

クラウド型WAF

クラウド上で提供されるWAFを利用する方法です。
サービスを契約すれば即座に利用可能な点や、物理的なメンテナンスが不要な点がメリットです。
カスタマイズできる範囲やWAFの挙動はサービス側で定められているケースもあり、自組織の要件にマッチしない可能性もあります。

ソフトウェア型WAF

WebサーバーにソフトウェアのWAFをインストールする方法です。
必要となるネットワーク側の設定変更や調整が少なくなる傾向にあり、インストール・設定が完了すれば動作します。
WAFが動作するためのリソースはWebサーバー上に用意する必要があるため、サーバーリソースに注意する必要があります。

サーバー提供サービスに付随するWAF

レンタルサーバーなどを活用してWebサービスを公開している場合は、レンタルサーバーのオプションとしてWAFが提供されることも多くあります。
細かな設定は行えないケースもありますが、比較的安価かつ簡単に導入できる点がメリットです。
特に設定を行なわなくても、自動的にWAFが有効化されているレンタルサーバーも多くあります。

防御したいWebサービスの形態やコスト、運用負担を総合的に判断し、自組織にマッチした方法を選択しましょう。

WAFの選定ポイントと運用における注意点

ここではWAFを選定する際のポイントや運用における注意点をご紹介します。

WAFを選定する際の4つのポイント

1.機能性（防御力）

WAFの機能性は、セキュリティの強化に直結します。SQLインジェクションやクロスサイトスクリプティングなどの攻撃を防ぐための機能が必要ですが、シグネチャの更新頻度が大きく影響します。そのためWAFを選定する際はシグネチャの更新頻度も確認すると良いでしょう。

2.パフォーマンス

WAFは、通信の分析に時間がかかることでWebサービスのアクセス速度に影響を与えることがあります。Webサービスのレスポンスが落ちればユーザーの離脱にもつながってしまうため、Webサイトの応答速度やレスポンス時間に影響を与えないWAFを選定する必要があります。

3. カスタマイズ性

WAFは、Webサイトの特性に合わせてカスタマイズすることができます。WAFをネットワーク上のどこに設置できるのか、監視対象とする通信の選択などの設定をカスタマイズできることは、Webサービスのセキュリティ強化に直結するため、選定する際には重要なポイントのひとつです。

4. コスト

WAFは、導入コストや運用コストがかかるため、コスト面も重要なポイントです。WAFのコストは、機能性やパフォーマンス、カスタマイズ性によって異なるため、選定する際にはコスト面も考慮する必要があります。

以上の4つのポイントを考慮して、自社の目的にあったWAFを選定することが大切です。

WAFの課題

Webサービスを守るために欠かせないWAFですが、課題も存在します。

WAFでは防げない攻撃手法の存在

WAFはWebサービスへ施すセキュリティ対策として有効ですが、万能な仕組みではありません。DDoS攻撃やゼロデイ攻撃などは、WAFが対応できない場合があります。DDoS攻撃は、大量のトラフィックを送信してWebサーバーをダウンさせる攻撃であり、ゼロデイ攻撃は、まだ公開されていない脆弱性を突いた攻撃です。
これらの攻撃は、WAFが対応する前に被害を受ける可能性があります。
また、これら以外にもアプリケーション開発時の設計・開発ミスやWebサーバの設定ミス、サポート切れや脆弱性が報告されているミドルウェアの使用が原因となり、サーバダウン・サービス停止や個人情報の漏洩といった被害を受けてしまうケースがあります。

適切な設定や誤動作の対応

シグネチャによって定義されたルールに則って動作するため、場合によっては本来は許可したい通信であってもWAFによりブロックされてしまうケースがあります。攻撃に対する防御は行える状態かつ、正当な通信を許可するなど、通信やインフラ、運用など網羅的な視点でWAFを設定することが大切です。

安全にWebサービスを運営するためには、WAFだけでなくセキュリティ対策を総合的に行うことが重要です。

WAFの課題に対する対処法

WAFの課題に対処するための方法を紹介します。

多層的な防御

WAFだけではなく、ファイアウォールやIDS・IPSなど複数のセキュリティ対策を施すことで、攻撃が成功するリスクを大きく軽減することに繋がります。Webサービスに必要な防御にはどのようなものがあるのか、十分に検討する必要があります。

専門家による分析や対策立案

Webサービスが動作する環境に潜む脆弱性を見極め、利便性を損なわずにセキュリティを向上させるためには高度な専門知識が必要です。そのため、セキュリティ環境を俯瞰し、適切な対策を施せる専門家の存在はWebサービスを公開する上で極めて重要と言えます。

脆弱性診断の活用

Webサービス全体を俯瞰し、適切なセキュリティ対策を施すためには専門家の知識や工数、分析を行なうための仕組みなど様々な要素が必要です。社内リソースやコスト、IT知識などの問題で実施することが現実的に難しい組織も多いでしょう。
外部の脆弱性診断を活用することで、専門家による見解や解決策の提案を受けることができます。

WAFでできること、できないことを把握し、Webサービス全体を守るセキュリティ対策の実現を目指しましょう。

WAFを有効活用した上で、さらなるセキュリティ対策を

Webは多種多様な人物が利用しており、その中には悪意を持ったユーザーも存在します。
公開している情報に機密情報がない、アクセスが少ないため狙われにくい、のように考えず、どのようなサイトでもサイバー攻撃の標的になりえると認識することが大切です。
機密情報がWebサーバー上に保存されていなくても、掲載内容を改ざんされ、組織の本意ではない記述がWeb上で公開されてしまうなどのリスクもあります。

WAFは有効なセキュリティ対策ではありますが、全てのリスクを排除できるものではありません。
専門家による分析やセキュリティ環境の整備を行なうことで、Webサービスに潜む個別のリスクに対しても適切なアプローチを取ることに繋がります。

「LANSCOPE プロフェッショナルサービス」が提供する「Webアプリケーション脆弱性診断」では、セキュリティ・スペシャリストがきめ細かい診断を行い、企業WebサイトやECサイト、SNSツールなど、お客様独自で開発されたWebアプリケーションに対し、脆弱性の有無を診断します。

診断結果は自サイトが抱えるリスクを「点数」で可視化することが可能。また、報告書には、経営層が自社サイトのリスクを把握するためのエグゼクティブサマリーや、発見された脆弱性の対策・修正提言なども含まれています。

自組織のリスクを見極め、適切なセキュリティ対策を講じられるようにしましょう。