WAF（Web Application Firewall）とは、WebサーバーとWebアプリケーションの間でHTTP通信を監視し、悪意のある攻撃を検知・ブロックするセキュリティ対策です。

企業・組織はWAFを活用することで、SQLインジェクションやクロスサイトスクリプティング（XSS）といった、Webアプリケーションの脆弱性を突くサイバー攻撃を防御することができます。

Webサイトの安全性を確保する上で、WAFの導入は心強い味方といえるでしょう。

また、Webサーバーを守るセキュリティ対策には、WAFのほかに「ファイアウォール」や「IDS/IPS」があります。

WAFとIDS/IPSの大きな違いは「守備範囲」であり、WAFが「Webアプリケーション」への攻撃を、IDS/IPSが「OS/ミドルウェア層」への攻撃を防ぐ点で異なります。

もう一つのファイアウォールは、外部から内部ネットワークへの不正アクセスを制御するセキュリティ機能であり、パケットの細やかな情報を精査することは困難です。

3者はそれぞれ防御できる脅威にも違いがあり、単体でなく複数を組み合わせることで、高度な多層防御を実現できます。

この記事では、Webを活用する上で一般的なセキュリティ対策となるWAFの基本や、WAFの課題、対処法について解説します。

※組織がWeb上に公開するものは、コーポレートサイトやアプリケーション、情報記事など多種多様です。この記事では、これらを包括して「Webサービス」と記載します。

WAFとは

WAF（Web Application Firewall）とは、Webアプリケーションに対する攻撃を防ぐためのセキュリティ対策の一つで、「ワフ」と読みます。

WebサーバーとWebアプリケーションの間に配置することで、HTTP通信を監視し、Webアプリに対する悪意ある通信を検知・ブロックします。

WAFを導入することで、Webサイトを狙う「SQLインジェクション」や「XSS（クロスサイトスクリプティング）」といった攻撃を早期に検知し、サイトの改ざんや不正アクセスといった被害を防止することが可能です。

WAF市場規模は2025年まで右肩上がりで拡大見込み

株式会社アイ・ティ・アールが発表した国内のWAF市場規模推移および予測によれば、WAF市場の2020年度の売上金額は104億9,000万円で、前年度と比較すると15.9％も増加しています。

出典：ITR｜ ITRがWAF市場規模推移および予測を発表（2022年6月21日）

またWAFの市場規模は、今後も右肩上がりで拡大見込みとなっており、2025年度には170億円を超えると予測されています。

WAFはなぜセキュリティ対策に必要なのか？

オンラインでのビジネス展開が一般的となった現代、Webサイトやアプリケーションの運用は、組織が営利活動を継続するために欠かせない役割を担っています。

しかし、裏を返せば世界中の攻撃者がWebサービスへアクセスし、攻撃を試みることができるとも言えるでしょう。Webサイトがサイバー攻撃の被害にあうことで、Web上の顧客情報が漏洩したり、Webサービスの改ざんによって意図しない情報が発信されたり、企業にマイナスな影響を及ぼす恐れがあります。

Webアプリケーションの脆弱性を狙うサイバー攻撃が後を絶たない

サイバーセキュリティサービスを開発・提供している企業が公表したレポートによれば、2023年1月1日から12月31日までに検知されたWebアプリケーションへのサイバー攻撃の総攻撃数は7億3550万件以上で、これは1秒間に23回のサイバー攻撃を受けている計算となります。

出典：サイバーセキュリティクラウド｜1秒間に23回ものサイバー攻撃を検知 2023年1月～12月の『Webアプリケーションへのサイバー攻撃検知レポート』を発表（2024年3月29日）

また、1ホストあたりでは1年間に約4万8000件の攻撃が行われており、Webアプリケーションの脆弱性を狙った攻撃がいかに多いかがうかがえます。

このような脅威から自組織のWebサービスをい精度で守るため、セキュリティ対策として「WAF」の活用が注目されています。

WAFとファイアウォール、IPS/IDSの違い

セキュリティシステムはWAFだけではなく、ファイアウォールやIPS/IDSなど様々なものが存在しており、それぞれ以下のように違いがあります。

WAFとファイアウォールの違い

ファイアウォールとは、コンピューターシステムやネットワークを外部からの攻撃や不正アクセスから守るためのセキュリティ対策の一つです。

ネットワーク上を流れるデータ通信を監視し、不正な通信を遮断することで、外部からの攻撃やウイルス感染、不正アクセスなどのリスクから内部ネットワークを守ります。

WAFとの違いは、WAFがWebアプリケーションに対する攻撃を防ぐセキュリティソリューションであるのに対し、ファイアウォールはネットワーク通じた外部攻撃や侵入を防ぐという点です。

WAFと IPS/IDSの違い

IPS（Intrusion Prevention System）は、侵入検知防止システムとも呼ばれ、ネットワーク上で発生する不正なアクセスや攻撃を検知し、遮断することでセキュリティを確保します。

一方、IDS（Intrusion Detection System）は、侵入検知システムとも呼ばれ、ネットワーク上で発生した不正なアクセスや攻撃を管理者に通知することで、早期の脅威対処をサポートするセキュリティ機能です。

WAFとの違いは、WAFがWebアプリケーションの脆弱性を狙った攻撃に対して有効であるのに対し、IPS/IDSはOS・ミドルウェア（Webサーバーなど）に対する攻撃を検知・防御するためのツールという点です。

「SQLインジェクション」や「クロスサイトスクリプティング（XSS）」など、Webアプリケーションを狙った攻撃は、ネットワーク内部で監視を行うIDS/IPSでは捉えきれません。

また、これらのセキュリティ機器は「いずれかが優れている」ではなく、ニーズ最適なものを選択することが望ましいです。多くの場合、いくつかのシステムが併用され、補完的な役割を果たします。

WAFの仕組み

WAFはWebサイトを含むWebサービスへの通信（HTTPやHTTPSによるアクセス）を監視・解析し、Webサービスへの通信を「シグネチャ」と照らし合わせて、悪意のある攻撃者からの通信を検知します。

「シグネチャ」とは、攻撃を検知するためのパターンマッチング技術です。あらゆる攻撃手法に対応するため、特定の攻撃パターンを定義し、通信内容とパターンファイルを照らし合わせることで、悪意ある通信を検出します。

ファイルはしい攻撃手法にも対応するため、定期的に更新・改善されています。

また、シグネチャの定義は「ホワイトリスト型」と「ブラックリスト型」があります。

ホワイトリスト型	許可する通信を定義し、一致しない通信を弾くことで不正アクセスを防止する。
ブラックリスト型	拒否する通信をシグネチャに定義し、一致する通信を弾く。

ブラックリスト型は既知の攻撃パターンの情報を収集しシグネチャを更新する必要があるため、後述するOWASPの情報を活用することがあります。

セキュリティ情報を提供するOWASP

OWASP（Open Worldwide Application Security Project）とは、Webやソフトウェアのセキュリティ動向や、セキュリティ技術の共有を行なっているコミュニティです。
OWASPでは、数年に1度のペースで「OWASP Top 10」と呼ばれる特に重要なセキュリティリスクのレポートを公開しています。

日々新しいサイバー攻撃や脆弱性が発見される中、網羅的にリスクを評価し対処を検討することは、多くの組織にとって困難でしょう。多くのWAF製品はOWASPが提供する情報など、様々なセキュリティリスクを製品に反映させています。それにより幅広い攻撃への対処が可能となっています。

自組織独自の調査やセキュリティ対策では防ぎきれないセキュリティリスクも、WAFを活用することでリスクを軽減することができます。

WAFが防ぐWeb上のサイバー攻撃

WAFにより防げるWeb上の攻撃には、どのようなものがあるのかを紹介します。

SQLインジェクション

SQLインジェクションとは、攻撃者がWebサービスの入力フォームやURLのクエリを悪用し、不正なSQLコードの実行を試みる攻撃です。
例えば、入力フォームへログインアカウントの制御を行うSQLコードを実行することで、攻撃者がWebサービスの管理者権限を持ってしまうといった被害が考えられます。
WAFにより不正なSQLコードを検出し、このような被害を防ぐことに繋がります。

クロスサイトスクリプティング

クロスサイトスクリプティング（Cross Site Scripting、XSS）は、脆弱性のあるWebサービスに攻撃者が悪質なスクリプトを埋め込み、ユーザーが意図しないスクリプトを実行させる攻撃です。
ユーザーのログイン情報を奪取してなりすましを行なう、マルウェアなどの不正プログラムを実行させる、と言った被害が想定されます。
WAFにより不正なスクリプトを検出することで、攻撃を防ぐことに繋がります。

ブルートフォース攻撃

ブルートフォース攻撃とは、パスワードなどの秘密情報を解読するために、全ての可能性のあるパスワードを順番に試行する攻撃手法のことです。攻撃者は、パスワードの長さや使用可能な文字種類などを推測し、それに基づいて自動的にパスワードを生成し、試行します。この攻撃は、非常に時間がかかりますが、攻撃者が十分な時間とリソースを持っている場合、いかなるパスワードも解読できる可能性がある攻撃手法となっています。

OSコマンドインジェクション

OSコマンドインジェクションとは、Webサーバーへのリクエストの中に不正なOSコマンドを注入することで、Webサーバー側に意図しない不正な命令を実行させるサイバー攻撃です。

WAFを導入することで、万が一外部から不正な入力データが送信されても、検知および通信の遮断をしてくれます。

バッファオーバーフロー

バッファオーバーフローとは、バッファ（一時的にデータを保持しておくための記憶領域）の許容範囲を超えるデータを送りつけ、バッファを溢れさせることで、意図しない動作を引き起こすサイバー攻撃です。

WAFを導入することで、バッファの許容量を細かく設定することができるので、バッファオーバーフローから防御することができます。

WAFにより、ここで紹介した以外にも様々な攻撃を防ぐことができます。

WAFの種類

WAFの提供形態には

1.オンプレミス（アプライアンス）型
2.クラウド型
3.ソフトウェア型
4.オプション型

の4種類があります。

1.　オンプレミス（アプライアンス）型WAF

WAF機能を搭載した物理機器を組織のネットワーク上に配置します。
オンプレミスでWebサーバーを公開している、特別な要件が存在するなどの場合はこのタイプが使いやすいケースがあります。
機器の購入や日常的なメンテナンスが必要となるため、初期コストや運用負担は大きいと言えるでしょう。

2.　クラウド型WAF

クラウド上で提供されるWAFを利用する方法です。
サービスを契約すれば即座に利用可能な点や、物理的なメンテナンスが不要な点がメリットです。
カスタマイズできる範囲やWAFの挙動はサービス側で定められているケースもあり、自組織の要件にマッチしない可能性もあります。

3.　ソフトウェア型WAF

WebサーバーにソフトウェアのWAFをインストールする方法です。
必要となるネットワーク側の設定変更や調整が少なくなる傾向にあり、インストール・設定が完了すれば動作します。
WAFが動作するためのリソースはWebサーバー上に用意する必要があるため、サーバーリソースに注意する必要があります。

4.　オプション型WAF

レンタルサーバーなどを活用してWebサービスを公開している場合は、レンタルサーバーのオプションとしてWAFが提供されることも多くあります。
細かな設定は行えないケースもありますが、比較的安価かつ簡単に導入できる点がメリットです。
特に設定を行なわなくても、自動的にWAFが有効化されているレンタルサーバーも多くあります。

防御したいWebサービスの形態やコスト、運用負担を総合的に判断し、自組織にマッチした方法を選択しましょう。

WAFの選定ポイントと運用における注意点

ここではWAFを選定する際のポイントや運用における注意点をご紹介します。

WAFを選定する際の4つのポイント

1.機能性（防御力）

WAFの機能性は、セキュリティの強化に直結します。SQLインジェクションやクロスサイトスクリプティングなどの攻撃を防ぐための機能が必要ですが、シグネチャの更新頻度が大きく影響します。そのためWAFを選定する際はシグネチャの更新頻度も確認すると良いでしょう。

2.パフォーマンス

WAFは、通信の分析に時間がかかることでWebサービスのアクセス速度に影響を与えることがあります。Webサービスのレスポンスが落ちればユーザーの離脱にもつながってしまうため、Webサイトの応答速度やレスポンス時間に影響を与えないWAFを選定する必要があります。

3. カスタマイズ性

WAFは、Webサイトの特性に合わせてカスタマイズすることができます。WAFをネットワーク上のどこに設置できるのか、監視対象とする通信の選択などの設定をカスタマイズできることは、Webサービスのセキュリティ強化に直結するため、選定する際には重要なポイントのひとつです。

4. コスト

WAFは、導入コストや運用コストがかかるため、コスト面も重要なポイントです。WAFのコストは、機能性やパフォーマンス、カスタマイズ性によって異なるため、選定する際にはコスト面も考慮する必要があります。

以上の4つのポイントを考慮して、自社の目的にあったWAFを選定することが大切です。

WAFの課題

Webサービスを守るために欠かせないWAFですが、課題も存在します。

WAFでは防げない攻撃手法の存在

WAFはWebサービスへ施すセキュリティ対策として有効ですが、万能な仕組みではありません。DDoS攻撃やゼロデイ攻撃などは、WAFが対応できない場合があります。DDoS攻撃は、大量のトラフィックを送信してWebサーバーをダウンさせる攻撃であり、ゼロデイ攻撃は、まだ公開されていない脆弱性を突いた攻撃です。
これらの攻撃は、WAFが対応する前に被害を受ける可能性があります。
また、これら以外にもアプリケーション開発時の設計・開発ミスやWebサーバの設定ミス、サポート切れや脆弱性が報告されているミドルウェアの使用が原因となり、サーバダウン・サービス停止や個人情報の漏洩といった被害を受けてしまうケースがあります。

適切な設定や誤動作の対応

シグネチャによって定義されたルールに則って動作するため、場合によっては本来は許可したい通信であってもWAFによりブロックされてしまうケースがあります。攻撃に対する防御は行える状態かつ、正当な通信を許可するなど、通信やインフラ、運用など網羅的な視点でWAFを設定することが大切です。

安全にWebサービスを運営するためには、WAFだけでなくセキュリティ対策を総合的に行うことが重要です。

WAFの課題に対する対処法

WAFの課題に対処するための方法を紹介します。

多層的な防御

WAFだけではなく、ファイアウォールやIDS／IPSなど複数のセキュリティ対策を施すことで、攻撃が成功するリスクを大きく軽減することに繋がります。Webサービスに必要な防御にはどのようなものがあるのか、十分に検討する必要があります。

専門家による分析や対策立案

Webサービスが動作する環境に潜む脆弱性を見極め、利便性を損なわずにセキュリティを向上させるためには高度な専門知識が必要です。そのため、セキュリティ環境を俯瞰し、適切な対策を施せる専門家の存在はWebサービスを公開する上で極めて重要と言えます。

Webアプリケーション脆弱性診断の活用

Webサービス全体を俯瞰し、適切なセキュリティ対策を施すためには専門家の知識や工数、分析を行なうための仕組みなど様々な要素が必要です。社内リソースやコスト、IT知識などの問題で実施することが現実的に難しい組織も多いでしょう。
外部の脆弱性診断を活用することで、専門家による見解や解決策の提案を受けることができます。

WAFでできること、できないことを把握し、Webサービス全体を守るセキュリティ対策の実現を目指しましょう。

WAFと併用したいLANSCOPE プロフェッショナルサービスの「Webアプリケーション脆弱性診断」

WAFは有効なセキュリティ対策ではありますが、全てのリスクを排除できるものではありません。
専門家による分析やセキュリティ環境の整備を行なうことで、Webサービスに潜む個別のリスクに対しても適切なアプローチを取ることに繋がります。

「LANSCOPE プロフェッショナルサービス」が提供する「Webアプリケーション脆弱性診断」では、セキュリティ・スペシャリストがきめ細かい診断を行い、企業WebサイトやECサイト、SNSツールなど、お客様独自で開発されたWebアプリケーションに対し、脆弱性の有無を診断します。

診断結果は自サイトが抱えるリスクを「点数」で可視化することが可能。また、報告書には、経営層が自社サイトのリスクを把握するためのエグゼクティブサマリーや、発見された脆弱性の対策・修正提言なども含まれています。

Webアプリケーション脆弱性診断の詳細につきましては、以下のページをご覧ください。

まとめ

本記事では「WAF」をテーマに、特徴や必要性、選定ポイントなどを解説しました。

Webは多種多様な人物が利用しており、その中には悪意を持ったユーザーも存在します。

公開している情報に機密情報がない、アクセスが少ないため狙われにくい、のように考えず、どのようなWebサイトでもサイバー攻撃の標的になりえると認識し、適切なセキュリティ対策を講じることが大切です。