Webセキュリティは、昨今のデジタル化が進んでいるビジネス環境において、絶対に無視できない要素です。セキュリティ対策を講じなければ、マルウェア感染やハッキングなど、情報を抜き取られる危険性があり注意が必要です。
セキュリティ対策の中でも、Web Application Firewall(WAF)は、Webアプリケーションを様々な脅威から守るための重要な対策となります。
しかし、WAFはセキュリティの専門的な知識がなければ、理解をするのが難しいかもしれません。
この記事では、WAFの基本的な概念から、具体的な導入方法、適切な運用方法などを詳しく解説していきます。セキュリティについてあまりわからない方でも内容を理解できるよう、わかりやすく解説していきますので、ぜひ参考にしてみてください。
2014年 大学在学中にソフトウェア開発企業を設立
2016年 新卒でリクルートに入社 SUUMOの開発担当
2017年 開発会社Jiteraを設立
開発AIエージェント「JITERA」を開発
2024年 「Forbes 30 Under 30 Asia 2024」に選出
WAFの基本とは?
WAF(Web Application Firewall)は、Webアプリケーションに対する様々な攻撃からアプリケーションを保護するための重要なセキュリティ対策です。
ここでは、WAFの理解を深めるべく、以下の内容について詳しく解説します。
- WAFの定義と役割
- WAFの主な機能と導入メリット
- WAFのセキュリティ対策の重要性
WAFの定義と役割
WAFは、Webアプリケーションに対する攻撃からシステムを保護するツールのことです。
一般的なファイアウォールでもある程度の攻撃は防げますが、それでは防げない特殊かつ強力な攻撃によって、システムに侵入されることがあります。そういった脅威から身を守るのがWAFです。
たとえば、ユーザー入力を通じて不正なSQL文を注入し、データベースを悪用しようとするSQLインジェクション攻撃などを防ぐことができます。他には、不正なスクリプトをWebページに埋め込み、不特定多数のユーザーに悪影響を及ぼすクロスサイトスクリプティングも防げます。
これらの攻撃は顧客データの漏洩など、サービス中断につながる可能性を秘めていますが、こういった事態を未然に防止することがWAFの重要な役割となっています。
WAFの主な機能と導入メリット
WAFの主な機能は、Webアプリケーションに対する様々な攻撃を検出し、防ぐことです。具体的には、以下のようなセキュリティ機能を持っています。
- 通信の監視とブロック
- Cookieの保護と暗号化
- 特定のURL、IPアドレスの除外設定
- レポートの確認
- 新たな攻撃手法の感知
このように、通信の監視を行うだけでなく、その通信の内容も事細かにチェックできる特徴があります。
そのため、以下のような悪質な攻撃を未然に防ぐことが可能です。
- SQLインジェクション
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ
- OSコマンドインジェクション
- バッファオーバーフロー
- POODLE攻撃
- DoS攻撃、DDoS攻撃
- パストラバーサル
ただし、ファイアウォールが対応するネットワーク層に対しての攻撃や、何度も周回を行い不正アクセスを試みるbotなどの攻撃はWAFでは防げないこともあるため、注意しなければなりません。
WAFのセキュリティ対策の重要性
WAFの重要性について、前述した内容によって理解していただけたでしょうか?しかし、もしかすると抽象的な内容で、自分のことだと理解できないケースがあるかもしれません。
そのため、ここではケーススタディを1つ紹介したいと思います。
ある企業Aは、WAFを導入していなかったために、SQLインジェクション攻撃によって重要な顧客データが外部に漏洩してしまいました。その結果、企業の信頼性が大きく損なわれ、大きな損失を被る事態となりました。
具体的な企業名はぼかしていますが、これは本当にあった事例です。「SQL インジェクション攻撃 事例」と検索いただければ出てくるかもしれません。
しかし、同規模の企業Bでは、早い段階でWAFを導入していたと仮定します。この場合、同様の攻撃を受けたときでも、WAFが攻撃を感知し、未然に攻撃を防ぐことが可能です。その結果、データ漏洩の危険を事前に回避することができました。
この事例からも分かるように、WAFによるセキュリティ対策は、企業の重要なデータと評判を保護し、ビジネスの継続性を確保するために必要不可欠なツールなのです。
WAFの料金体系と注意点
ここまで、WAFの重要性について紹介してきましたが、理解いただけたでしょうか?しかし、WAFにはさまざまな製品があり、どれを選択すれば良いかわからないケースもあるかもしれません。
特に、WAFの料金は多岐にわたり、月々数万円のものから、年間数百万円の費用がかかるものもあります。そのため、慎重に選択しなければなりません。
ここでは、WAFの料金を決める際のポイントや、比較方法について詳しく解説します。
WAFの料金設定のポイント
WAFの料金設定を選ぶ際には、以下のポイントを考慮することが重要です。
- 予算
- 利用状況
- サービスの成長予測
- カスタマイズ
まず、WAFを導入するための予算について考えます。基本的には、初期費用、月額または年間費用、そして保守費用などの料金が含まれており、どの程度のコストがかかるかを事前に確認しなければなりません。そして、予期せず巨額の費用が発生しないよう、料金体系も詳しく確認しておきましょう。
次に、WAFの利用状況についても考えます。トラフィックの量、必要な機能、保護するWebアプリケーションの数などを洗い出し、どの程度対策が必要なのかを考えます。この段階で、WAFの種類や規模が決まります。ただし、判別には専門的な知識が必要なので、セキュリティ担当者に相談したり、代理店に相談したりする必要があるでしょう。
また、長期的な視点からビジネスの成長予測を行い、適したWAFを選択することも大切です。将来的にトラフィックが増加する場合や、新たなWebアプリケーションを追加する場合など、WAFの拡張性についても事前に確認しておくべきです。
最後に、WAFのカスタマイズ要件も料金に影響を与えるため、確認しておく必要があります。特定のセキュリティルールを追加したり、特定の攻撃に対する防御機能を強化したりする場合、追加費用が発生することも考えられます。将来的に行う可能性があるカスタマイズについても事前に確認しておくべきでしょう。
これらのポイントを考慮し、自社の要件に最も適した料金設定のサービスを選ぶことが大切です。また、料金プランについては次の見出しでより詳しく解説します。
料金プランの比較と選定方法
WAFの料金設定については、主に3つのタイプが存在します。
- 月額費用型
- 年間費用型
- 従量課金型
まず、月額費用型の場合、毎月一定の料金を支払うことになります。月額〇円というように費用が定められているため、予算を事前に把握でき、安定した費用管理が可能です。しかし、利用量が設定されていることも多く、指定以上の利用の場合、追加で費用がかかることもあります。
次に、年間費用型は、一年間の利用料金を前払いする料金形態です。通常、年間契約を結ぶため、月額費用型よりもコストが抑えられ、サポートも充実している傾向にあります。しかし、一度契約を結んでしまうと途中での解約が難しいため、長期間にわたる利用を検討している場合に役立つ方式です。
そして、従量課金型は、利用量やトラフィックの量に応じて料金が発生する形式です。利用量が少ない場合には低コストで済みますが、突発的なトラフィック増加や攻撃時には高額な費用が発生する可能性があるため、かかるコストを計りづらい点がデメリットとして挙げられます。
上記でご紹介したように、各料金設定にはメリット・デメリットがあるので、自社の利用状況や予算、リスク許容度などの要件を詳しく設定し、満たすものを選択することが大切です。
| メリット | デメリット | |
| 月額費用型 | 定額費用で利用できる。 | 利用料に制限がある。 超える場合は追加で費用がかかることも。 |
| 年間費用型 | 年間費用のため、月額よりは安くなりがち。 サポートも充実していることが多い。 |
一度契約を結ぶと解約が難しい。 |
| 従量課金型 | 利用量が少ない場合は低コストで済む | 突発的なトラフィック増加・攻撃によって、高額費用がかかることもある。 |
WAFの設定手順と運用方法
次に、WAFの設定と運用についての基本的な理解を深めるため、設定方法や運用方法について詳しく解説します。
WAFの基本的な設定方法
WAFの設定は、セキュリティポリシーの定義とその適用から始まります。まず、保護対象のWebアプリケーションの特性と要件に基づいて、必要なセキュリティルールを定義します。
次に、ルールをWAFに適用し、それらが正しく機能するかテストします。そして、特定の脅威に対する対策を強化するために、カスタムルールを作成し適用することでセキュリティを強化できるものもあります。
ただし、WAFの設定は一度行えば良いというわけではなく、継続的に行う必要があります。新しい脅威の発生に応じてルールを更新し続けなければなりません。運用については以下の見出しで詳しく紹介しているので、ぜひ参考にしてください。
WAFの運用管理とベストプラクティス
WAFを運用する際は、ログをチェックし、異常なトラフィックパターンや攻撃の兆候を探す必要があります。また、システムの負荷を監視し、必要に応じて調整しなければなりません。
たとえば、突然のアクセス増加や特定のIPからの異常なアクセスパターンなどを、ログから確認します。またシステムの負荷が急激に上昇した場合、WAFの設定を見直して負荷分散を図るなど、適宜調整を行うことも求められます。
中でも重要なのは、セキュリティチェックを定期的に行い、新たに発見された脅威に対抗するために、ルール更新を継続的に行うことです。たとえば、新たなマルウェアが検出された場合、その挙動を分析し、それをブロックする新しいルールを追加するなどの対策が必要になります。
WAFの主な機能と活用方法
WAFはウェブアプリケーションの保護を目的とした特殊なファイアウォールの一種で、その活用方法は多岐にわたります。ここでは、活用方法についてより詳しく解説していきます。
レイヤー7の攻撃からの保護
レイヤー7(アプリケーション層)の攻撃は、Webアプリケーションの脆弱性を狙ったもので、一般的にSQLインジェクションやクロスサイトスクリプティングなどの手法があります。
これらの攻撃から保護するために、WAFでは、HTTP/HTTPSトラフィックを監視し、定義されたルールに基づいて不正なリクエストをフィルタリングすることが可能です。
カスタムルールの作成と適用方法
WAFを活用する際の有効な機能の1つが、カスタムルールの作成と適用です。カスタムルールを作成することで、WAFで特定の攻撃を防ぐことが可能です。
たとえば、とある国からのアクセスが疑わしいと判断した場合、その国のIPアドレス範囲をブロックするカスタムルールを作成できます。これにより、怪しいと思われる攻撃パターンもしくは、特定の状況に対応するセキュリティ対策を強化することができます。
ログ解析と運用改善のための機能
また、ログ解析においてもWAFは高い機能性を発揮します。なぜなら、監視されたトラフィックに関する詳細なログを生成できる機能を持っているためです。
たとえば、特定のIPアドレスから異常なアクセスパターンを検出した場合、その詳細をログに記録します。これにより、セキュリティチームは不正アクセスの試みを素早く認知し、適切な対策を講じることが可能です。
WAFのセキュリティの仕組みと保護対象
続いて、WAFのセキュリティの仕組みと、その保護対象について詳しくみていきます。
WAFの動作原理とフィルタリング技術
WAFは、HTTP/HTTPSの通信をチェックし、事前に設定したルールに従って不正なリクエストをフィルタリングします。具体的な例としては、SQLインジェクション攻撃があります。
これは攻撃者がユーザー入力欄などから不正なSQL文を注入し、データベースを改ざんしたり情報を盗み出したりする攻撃です。WAFはこのような不正なSQL文を含むリクエストを検出し、ブロックすることでSQLインジェクション攻撃を防ぐことができます。
主要な脅威からの保護と攻撃の検知方法
たとえば、不正なリクエストの検知とブロック機能を使うと、ユーザーからのリクエストが不正なものであるかどうかを判断し、必要に応じてそのリクエストをブロックすることができます。そのため、悪意のあるユーザーによるサイトの改ざんやデータの盗み出しを防ぐことが可能になります。
また、攻撃の早期検知と警告機能によって、急激なトラフィックの増加や異常なアクセスパターンなど、攻撃の兆候を早期に察知し、対策を講じることができます。
つまり、未然に不正なリクエストを防ぐことと、早期検知・特定をすることで、セキュリティの脅威から身を守れるのです。
AWS WAFやCloudFront WAFなどの展開と連携
AWS WAFとCloudFront WAFは、Amazonが提供するWAFです。クラウド環境でのWebアプリケーションの保護を強化する機能をこれらのサービスは、AWSのリソースと連携して動作し、分散型サービス拒否(DDoS)攻撃などの脅威から保護します。
たとえば、AWSに紐づけられているWebアプリケーションを持っていて、突然、大量のトラフィックがウェブサイトに流れ込み、サイトがダウンしてしまうと仮定します。つまり、DDoS攻撃によって、攻撃者がサーバーに大量のリクエストを送信し、サービスが利用不可になってしまったと仮定しましょう。
このような場合、AWS WAFは、あらかじめ設定したルールに基づいて不正なトラフィックをフィルタリングし、Webアプリケーションへ過剰に送られるリクエストを防ぎます。また、CloudFrontはDDoS攻撃の脅威から保護しつつ、Webコンテンツをスピーディーに配信する機能を持っています。
AWS WAFとCloudFront WAFを組み合わせることで、攻撃から身を守り、素早くサービスを復旧させられるのです。
主要なWAF製品の紹介
WAFにはさまざまな製品があります。そのため、どのWAF製品を選べば良いか難しいと感じる方も多いでしょう。ここでは、主要なWAF製品の特性とそのメリットについて詳しく紹介します。ぜひ参考にしてみてください。
AWS WAFの特徴と利点
AWS WAFは、Amazon Web Services(AWS)が提供するWebアプリケーションファイアウォールサービスです。AWS WAFの特徴は次の2つです。
- セキュリティルールの設定を自由に行えること
- API連携で管理が可能
まず、セキュリティルールの設定についてですが、IPアドレス、HTTPヘッダー、URLなどの条件をもとにしてフィルタリングができるため、細かい攻撃に対してもセキュリティを働かせることができます。
また、標準で搭載されているルールはもちろんのこと、APIを使用して特定の通信を管理することができ、最適な形を保ちつつ運用が可能です。
CloudFront WAFの活用方法
CloudFront WAFはAWSが提供するCDNサービスである、CloudFrontと紐付けすることで使用できるAWFサービスです。CloudFrontのディストリビューションを作成し、そこからWAFの有効を選択することで、WAFの機能を付帯することができます。
Amazon CloudFrontは「Amazon Prime Video」や「Hulu」などのサービスでも利用されていることから、多くのデータ量を使用し、かつセキュリティ対策が必要なサービスでの利用に役立ちます。CloudFront経由で提供しているサービスのセキュリティを保ちたい場合には、 WAFの活用が効率的でおすすめです。
その他のWAF製品の比較
市場にはAWS WAFやCloudFront WAF以外にもさまざまなWAF製品が存在します。それぞれの製品には、特定の環境や要件に適した機能や特性があるため、製品を選択する際は、自社の要件に最も適した製品を選択することが重要です。
一例を挙げると、以下のようなWAF製品があります。
| 製品名 | タイプ | 料金 |
| SiteGuard | クラウドで利用するタイプもしくは、ソフトウェアをインストールするタイプ | 月額25,000円~(クラウド)もしくは、252,000円~(ソフトウェア |
| Imperva Web Application Firewall | WAFの専用機器を設置するタイプ | 要問い合わせ |
| 攻撃遮断くん | クラウドで利用するタイプ | 月額10,000円〜(初期費用は別途必要) |
| InfoCage SiteShell | ソフトウェアをインストールするタイプ | 年間ライセンス600,000円〜 |
| CloudCoffer on Cloud | クラウドで利用するタイプ | 初期費用98,000円+月額費用58,000円〜 |
| Cloudbric WAF+ | クラウドで利用するタイプ | 初期費用68,000円~+月額28,000円〜 |
上記で紹介したように、クラウドもしくはソフトウェアをインストールして利用するタイプのWAFが多いです。そして、そのような運用方法の方がコストパフォーマンス的にはメリットが大きいと思います。
ただし、強靭なセキュリティが必要な場合は、WAFの専用機器を設置するタイプ(アプライアンス型)の方が良いでしょう。このあたりはどの程度リスクを許容し、コストをかけられるのかを入念にチェックしてから選ぶ必要があります。必要に応じて代理店に相談することも検討してみてはいかがでしょうか。
WAFのまとめ
この記事では、WAF(Web Application Firewall)について詳しく解説しました。WAFは、Webアプリケーションを保護するための重要なツールであり、SQLインジェクションやクロスサイトスクリプティングなどの攻撃から保護する機能を持っています。
WAFにはさまざまな料金体系で提供されているものがあり、ツールによっても特徴が大きく異なります。自社のニーズやリスク許容度などをもとに最適なWAFを選択してみてください。
また、WAFに関して不明な点や困りごと、質問、相談、案件、依頼などがあれば経験豊富な株式会社Jiteraにお問い合わせください。
メールマガジン登録
