制作事例

WAFとは?WEBアプリケーションのセキュリティを高めるツール

シェア:
  • share facebook
  • share twitter

近年はサイバー攻撃の多様化が進んでおり、企業のセキュリティ対策は日々改善が求められています。 従来はファイアウォールの設置による、ネットワーク通信のアクセス制限を行うことで、十分なセキュリティ対策ができていましたが、最近は「SQLインジェクション」や「クロスサイトスクリプティング(XSS)」など、WEBアプリケーションそのものを対象とした攻撃が増えており、対策が困難になっています。 そこで注目を集めているのがWAF(ワフ)というツールです。 今回は、このWAFについてどのような特徴を持っているのか、なぜ必要とされているのかなど、さまざまな内容を解説していきたいと思います。 興味を持っている方はぜひ最後までご覧ください。

WAFとは

WAF(ワフ)とは、「Web Application Firewall」の略称で、”WEBアプリケーションのセキュリティホールを狙った攻撃”から防ぐための機能を備えたツールです。 ※セキュリティ対策のことを指す場合もあります。 WAFは「ユーザー」と「WEBアプリケーションもしくはWebサイト」との間に設置されるのが基本で、通信の解析や検査を行います。 その際に認証できなかったり不正アクセスと判断されると、通信が遮断され、セキュリティ保護ができるといった仕組みです。 最近ではインターネットバンキングやECサイトなどのサービスで利用されることが多く、ユーザーが安心してWEBアプリケーションを使うことができます。

WAFの基本的な動き

WAFの基本的な動きですが、アクセス元(ユーザー)とWEBサーバーで行われる通信に介在し、その内容を検査して攻撃の検出を行います。 判断する際の材料は「シグネチャ」というある攻撃パターンを定義したものです。 たとえば、通信の中でシグネチャに該当するアクセスが検出された時、自動でその通信を除外・遮断してくれます。 怪しいアクセスを未然に防ぐことができるので、WEBアプリケーションを利用する企業はWAFの導入が必須でしょう。

WAFが求められている背景

今ではインターネットは生活の一部としてなくてはならないものになりました。 企業の商品・サービスを紹介するためのWEBサイトや、買い物をオンラインでできるようにするWEBアプリケーションなど、どれも重要なツールです。 しかし、このように公開されているWEBアプリケーションはサイバー攻撃の対象となりやすく、攻撃を受けてしまうと関わっている企業や顧客に大きな影響を及ぼしてしまいます。 従来のファイアウォールやIPSでは、企業のネットワークとインターネットの間で行われる通信をブロックできますが、WEBアプリケーション自体のセキュリティは十分ではありませんでした。 そのため、WEBアプリケーション自体を守ることができるWAFの需要が高まっているのです

WAFの基本的な種類とそれぞれの特長

実はWAFには大きく分けて3つの種類が存在します。 それぞれの特徴を理解して、自社に適したツールを導入しましょう。

アプライアンス型WAF

アプライアンス型WAFとは、WAFの機能を持った専用のハードウェアです。 特徴としては、アプライアンス型WAFの導入台数はWEBアプリケーションサーバーの台数に依存しないため、数多くのWEBアプリケーションサーバーを運用している企業にとっては大幅なコスト削減につながることでしょう。 しかし、ハードウェアであるため導入や運用時のコストがかかってしまう点はデメリットになります。

ソフトウェア(ホスト)型WAF

ソフトウェア型WAFは、文字通りパソコンにインストールして利用するものです。 ネットワーク構成の変更や再設計の手間が不要なため、短期間での導入を実現できるほか、専用機器の用意が必要なく導入コストを抑えることができます。 ただし、WAFに対して多くのリソースを使ってしまうと、他のWEBサービスに影響を及ぼすことがあるので注意です

クラウド型WAF

クラウド型WAFとは、ベンダー企業がサービスとして提供しているWAFの機能をインターネット上で使用するものです。 インターネットにアクセスするだけでWAFを使うことができるため、導入は短期間で簡単に行えます。 また、機能や容量などプラン形式で選ぶことが可能で、運用コストが少なく最近の主流となっています。 しかし、性能などはサービス提供者に依存するため、コストパフォーマンスが良いかしっかり判断するようにしましょう

WAFの導入でWEBアプリケーションのセキュリティを強化

この記事では、WAFとは何か概要から特徴、求められている背景などを解説しました。 さまざまなサイバー攻撃が増えている中で、ネットワークとインターネットの境界を守るだけでは不十分です。 WEBアプリケーションを対象としたサイバー攻撃から身を守るため、システムへの侵入を感知できるWAFの導入を行うようにしましょう。 最近は多種多様なツールが提供されているので、自社に適した機能やプランが用意されているツールをじっくり選定して下さい。

WRITTEN BY

ice

関連の投稿

View More
社内SEとはどんな仕事?開発しないって本当?社内SEの仕事内容を解説
2022.06.29

社内SEとはどんな仕事?開発しないって本当?社内SEの仕事内容を解説

企業において、社内システムの開発から運用までを担当する社内SE。職場の環境や状...
基幹システムとは?|メリット・ERPとの違いについて徹底解説
2022.06.21

基幹システムとは?|メリット・ERPとの違いについて徹底解説

現在、多くの企業でITによる業務改革が行われています。労働人口が減少しつつあり...
パブリッククラウド・プライベートクラウドとは?|特徴・違いを解説
2022.06.19

パブリッククラウド・プライベートクラウドとは?|特徴・違いを解説

2006年にAmazonが始めたサービスであるクラウドコンピューティングは、現在ではあらゆ...

Q&A

よくある質問

契約、開発体制、成果物などに関してよくある質問をまとめて回答します。

Contact.

お問い合わせ

案件のご相談、パートナーの協業、取材の依頼など気軽にお問い合わせください