Managed Service Column ＜システム運用コラム＞WAFとは？Webサイトのセキュリティ対策の仕組みを解説

はじめに

インターネットを利用するうえで、セキュリティ対策は必須項目です。中には、「ファイアーウォールを導入しているから大丈夫！」と思っている方も多いのではないでしょうか。 しかし、実はファイアーウォールだけではWebサイトやサービスへの攻撃を防ぎきれないこともあります。そこで必要になるのがWAFというセキュリティシステムです。

今回はWAFとは何なのか、その仕組みや重要性などについて解説します。

WAFとは？

WAFとは、Webアプリケーションファイアーウォール（Web Application Firewall）のことです。Webアプリケーションにはさまざまな脆弱性が見られることがあり、ときには攻撃を受けるおそれもあります。WAFはそのようなサイバー攻撃の危険から守ってくれるセキュリティシステムの1つです。

ファイアーウォールとは

本来ファイアーウォールとは防火壁という意味で、セキュリティ対策においてはインターネットなどの外部から、内部ネットワークやPCに対する不正アクセスを防ぐシステムのことを指します。

具体的には、IPアドレスや、ポート番号と呼ばれるシステムの入り口に割り振られた番号を元に、アクセスの許可や拒否を行ない、許可された通信のみを実行することで攻撃を防ぐという仕組みです。ファイアーウォールには、無害の通信を判別するフィルタ機能と、社外から各PCのIPアドレス特定を防止することにも有効なNAT機能などが搭載されています。

関連記事：「ファイアウォール（FW）とは？仕組みや機能と併せてWAFなどとの違いについても解説」

WAFとファイアーウォールの違い

WAFとファイアーウォールの違いは、防御対象と防げる攻撃にあります。WAFは、WebサイトやWebアプリケーションを防御対象にしたセキュリティシステムです。具体的には、WAFは脆弱性が判明した際の防御壁になるほか、脆弱性発見後の対処、そしてサイバー攻撃への対処などを行ないます。

対してファイアーウォールは、あくまで内部ネットワークとインターネット間のセキュリティを強化するもので、Webサイトのコンテンツやアプリケーションへの対策はできないのです。したがって、安全にインターネットを利用するためには、ファイアーウォールのみだと不十分といえるでしょう。

WAFのメリット

Webサイトへの攻撃は、さまざまなところで発生する可能性があります。そういった攻撃から身を守るためにも、WAFは重要な役割を果たします。

WAFでは、サイバー攻撃や不正アクセスの攻撃パターンを定義化し、ファイル化したものを使用します。そしてWebサイトを常時リアルタイムで監視することで、怪しいアクセスがあった場合自動的に「サイバー攻撃だ」と判断してアクセスを遮断できるのです。

WAFを導入することで、さまざまなサイバー攻撃から身を守れます。特に、企業や店舗など多くの個人情報を扱うサイトが攻撃を受けた場合、社会的な信用問題につながるうえ、大きな損害になってしまいます。WAFを導入することで、このようなリスクを大幅に軽減可能です。

サイバー攻撃の危険性について

WAFはサイバー攻撃対策として用いられるシステムです。では、サイバー攻撃にはどのような危険性があるのでしょうか。ここからは、サイバー攻撃を受けるとどうなるのかということも含めて見ていきましょう。

セキュリティが脆弱な中小企業が狙われやすい

中小企業のなかには、規模がそこまで大きくないために、セキュリティ対策をあまり意識していないケースも珍しくありません。そんな中小企業にとって怖いのが、サプライチェーン攻撃です。

サプライチェーン攻撃とは、関わりのある企業ネットワークへ入り込み、大企業へ被害を与えるもの。本来であれば、ハッカーの狙いは大企業や国際企業のはず。しかし、このような企業はセキュリティが頑丈なため簡単には攻撃できません。そこで対策の甘い関連企業のネットワークに侵入し、顧客の個人情報など重要なデータを盗み取るのです。

この手法の恐ろしいところは、本命企業がいくら対策していても、取引先などに欠陥があればそこから侵入してきてしまう点にあります。また、侵入された中小企業も被害拡大の要因となったとして、信用を失うことが考えられるでしょう。
以上を踏まえると、規模がそこまで大きくない企業でも強固なセキュリティ体制を整えることが重要といえます。

個人情報などが漏洩した場合、どのような事態になるのか

個人情報が漏洩すると、どのような事態になるのかも見ていきましょう。

個人情報が一度盗まれると、その情報を手にしたハッカーが新しいサイバー攻撃を仕掛けます。
例えば、フィッシングサイトへ誘導するような迷惑メールは、漏洩したメールアドレスを元にばらまかれているといわれています。さらに、クレジットカードやネットサービスの不正利用、そしてSNSの乗っ取りなどの被害も起こりえます。最悪、物理的なアプローチとして、知らない業者からの電話や、営業訪問ということも考えられるでしょう。

企業が個人の情報を漏洩してしまうと信用が失墜し、大きな損害が発生してしまいます。売上がなくなるだけでなく、最悪の場合は損害賠償を支払う必要もあるかもしれません。このような事態を避けるためにも、特に企業では入念なセキュリティ対策が必要になります。

Webサイトへの攻撃の種類

Webアプリケーションへの具体的なサイバー攻撃にはさまざまな種類があります。それでは、具体的にWAFではどのような攻撃を防ぐことができるのか代表的なものを見ていきましょう。

SQLインジェクション

SQLインジェクションとは、データベース言語であるSQLに対し不正なSQLコードを注入する攻撃方法です。例えば、入力フォームのあるサイトで不正なコードを入力し、検索や送信を行なうことでSQLの内容を改ざんします。これによって、サイトの利用者などの重要データが盗まれたり、サイトが書き換わってしまったりすることもあるのです。

OSコマンドインジェクション

OSコマンドインジェクションも、入力フォームがあるサイトなどで発生する攻撃です。フォームにOSへの命令文を書き込んで不正に操作し、想定外の命令文を強制実行させます。そうすることによって、情報の漏えいや改ざん、ウイルス感染などを発生させるのです。

ちなみに、SQLインジェクションとの違いは、SQLインジェクションはあくまでデータベースへの攻撃ですが、OSコマンドインジェクションはシステムそのものに攻撃を仕掛けるものという点です。

クロスサイトスクリプティング

クロスサイトスクリプティングは、脆弱性のあるサイトに対し罠を仕掛け、サイト訪問者の個人情報を盗むという攻撃です。上記2つとは異なり、直接被害を受けるのはサイトの訪問者になります。また、スクリプトによって偽サイトを表示させ、個人情報入力を促し、個人情報を奪うこともあります。

おわりに

インターネットが必須の環境となった現代で、必ず意識しておきたいセキュリティ対策。「きっと大丈夫だろう」と対策を怠ると、思わぬ被害を受ける可能性もあります。

特に大量の個人情報を保管している企業で問題が発生してしまうと、信用力の低下につながるだけではなく、大きな損失が生まれてしまうかもしれません。

近年サイバー攻撃は巧妙化しているため、被害も多様化しており、広い範囲での影響が心配されます。サイバー攻撃は進化を続けており、WAFを使っても100％防げる保証はありません。しかしそれでも、WAFで防げる攻撃は数多く、導入するメリットは大いにあるといえるでしょう。

Tag： ネットワーク セキュリティ WAF ファイアウォール

• 

  DNSの２つの提供形態－パブリックDNSを利用する際のメリット・デメリットも解説

• 

  Active Directoryとは？メリットやデメリット、使用上の注意点などを解説