14 7月 WAFとは、その必要性とは「ネットを使う企業が持っておくべきセキュリティ」
ウェブ・アプリケーション・ファイアウォール(以下、WAF)はセキュリティ技術の1つで、Webサーバーを使ってWebサイトやWebアプリを運営している企業なら持っておきたいものです。
WAFは、アプリのアクセスに異常を検知したときに、その通信を遮断してサーバーとサイトを守ります。ネットバンキング、ネットゲーム、ECサイトなどの、アプリとサイトを使って事業を行っている企業は真剣にWAFの導入を検討したほうがよいでしょう。
この記事では、そもそもWAFとは何かを解説したうえで、WAFの必要性や、その他のセキュリティ技術との違いなどについて解説します。
WAFとは何か
WAFはアプリの脆弱性を突いてサーバー攻撃をしかけてくる攻撃者からサーバーやサイトなどを守るセキュリティ技術です。
なぜアプリは弱いのか
攻撃者はアプリの脆弱性を狙うわけですが、では、なぜアプリは弱くなってしまうのでしょうか。
アプリは、気軽につくって気軽に使ってもらうことができるので、これを使えばさまざまなサービスを気軽に提供できます。多くの企業がアプリを使って顧客や消費者にサービスを提供するようになったのは、この気軽さがあったからです。
しかしアプリには構造的な弱さがあります。あまりに簡単にアプリをつくってしまうとセキュリティ体制が十分でないことがあります。また、コスト安にアプリをつくろうとすると、セキュリティにお金をかけられないこともあるでしょう。
ところが簡単につくれることとコスト安こそ、アプリのメリットになっているのでこの問題を解決することは容易ではありません。アプリの不具合で散見されるのは、プログラムミス、作動時の不具合、ダウンロード時の設定ミス、データやコンテンツの管理方法の設定ミスなどです。これらはすべてアプリの脆弱性につながり、攻撃者に突かれるスキになります。
WAFをどこに置くのか
WAFはサーバーの前段に置くシステムです。攻撃者は(当然ですが)通信を使ってアプリに接触します。アプリを動かすサーバーの前にWAFを置くことで、アプリに接触を試みるすべての通信をチェックし、異常を排除することができます。
WAFはどのようにWebサイトを守るのか
WAFはアプリに接触を試みる正常通信も攻撃通信もすべてチェックします。WAFはすべての通信を解析、検査してサイバー攻撃かどうかを判断します。攻撃と認定したらその通信を遮断します。通信が遮断されるのでサーバーは傷つきません。
WAFはアプリやサイト、サーバーを守るだけでなくCookieも保護します。WAFには攻撃パターンを読み取る機能もあります。WAFが一度攻撃パターンを読み取ったら、それに一致する通信を拒否します。逆に、正常パターンも読み取ります。WAFが一度正常パターンを読み取ったら、それに一致する通信を通過させます。
ホスト型とゲートウェイ型とクラウド型の違い
WAFには「ホスト型、またはソフトウェア型」と「ゲートウェイ型、またはネットワーク型」と「クラウド型、またはサービス型」の3種類があります。ホスト型は、既存のサーバーにWAFのソフトをインストールする方法です。新規にネットワーク機器を増やさないのでコスト面で有利ですが、複数のサーバーを使っているとその都度WAFソフトをインストールしないとならないのでかえってコスト高になることもあります。
ゲートウェイ型は、WAF専用のネットワーク機器を設置する方法です。新たにネットワーク機器を設置するのでコスト高ですが、複数サーバーを一気に保護できるメリットがあります。
クラウド型は、WAFサービスを提供する事業者のWAFをクラウド経由で利用するものです。初期費用は安いのですが毎月利用料を支払う必要があるため長期間利用すると、ホスト型やゲートウェイ型よりコスト高になることもあります。
WAFを必要とするのは誰か
WAFを必要とする企業は、自社でサーバーを持ち、自社でサイトを運営し、自社でアプリを提供し、これらでビジネスをしている企業です。ネットバンキング、ネットゲーム、ECサイトなど、サイトでビジネスを展開している企業はすべてWAFの導入を検討する価値がある、といえます。
なぜWAFを持っておいたほうがよいのか
WAFを導入すればサーバー、サイト、アプリの安全性が高まり、WAFを導入しないとリスクが高まります。
なぜリスクが高まるのか。
サイトやアプリでビジネスをしている企業は、これからますますサイトやアプリを利用する機会が増えると思います。なぜならサイトやアプリを利用したビジネスは拡大しやすく、顧客の利便性を高めやすく、自社の管理業務を効率化しやすいからです。
サイトやアプリでビジネスをしている企業がWAFを導入することは、自分たちのビジネスを守ることに他なりません。
銀行が銀行強盗から現金を守るために強固な金庫を設けて警備員を配置するように、サイトやアプリでビジネスをしている企業は攻撃者からサイトやアプリを守るためにWAFを導入する、という考え方になるでしょう。
クラウドを使っている企業はWAFは要らないのか
サイトやアプリを、自社のサーバーではなく、クラウドを使って外部業者のサーバーを利用している企業は、WAFを自社で導入する必要はありません。
自社にサーバーがないのでそれを守るWAFは必要ない、という理屈になります。
しかし、契約しているクラウド・サービス会社がWAFを導入しているかどうかは確認したほうがよいでしょう。クラウド業界では最早、WAFの装備は「当たり前のこと」なので、WAFを使っていなければ警戒したほうがよいといえます。
WAFの導入事例
WAFの導入事例を紹介します。
スーパーゼネコンの清水建設は2018年にクラウド型WAFを導入しました(*1)。
WAFを導入する前、同社には1)複数サイトのセキュリティ・レベルがばらばらだった、2)開発を外部委託しているシステムの安全性が担保されていなかった、3)サイトの脆弱性が指摘されていた、といった課題がありました。
WAFを導入してからサイトのセキュリティ診断を行ったところ、WAFを導入したサーバーのサイトの評価が確実に上がる、という成果が得られました。
都内遊覧バスを運営する、はとバスは、サイト経由の申し込みが30%を超えるなどサイトをフル活用している企業の1つです。そのため、はとバスはサイトを常に動かす体制を採っていました。
ところがアプリを狙ったサイバー攻撃に遭い、はとバスのサイトの内容が改ざんされ、そのサイトを閲覧した顧客がウイルス感染するかもしれない事態になりました。はとバスはやむをえずサイトを閉鎖しました。
サイトの再開を検討するなかでWAFの存在を知り、有効なソリューションであると判断し導入を決断しました(*2、3)。
*1:https://www.marubeni-sys.com/news/2018/20180618/
*2:https://xtech.nikkei.com/it/article/NEWS/20140226/539688/
*3:https://www.websecurity.digicert.com/ja/jp/theme/waf-customer-hatobus
WAFの特徴、他のセキュリティ技術と何が違うのか
WAF以外にもセキュリティ技術は存在します。ここではIPS、IDS、ファイアウォールとWAFとの違いを紹介します。
IPS・IDSとの違い
IPSはイントリューション・プリベンション・システム(不正侵入防止システム)の略で、プラットフォームを守るセキュリティ技術です。具体的にはOSやミドルウェアを守ります。
IDSはイントリューション・ディテクション・システム(不正侵入検知システム)の略で、異常な通信を検知します。IPSもIDSもアプリを対象としたものでありません。そのため、OS攻撃、ミドルウェア攻撃、異常通信に対処するにはIPSとIDSが必要で、アプリ攻撃に対処するにはWAFが必要になります。
これまでアプリを使ってこなかった企業はIPSとIDSだけで十分でしたが、アプリを多用することになったらWAFを追加する、という段取りになると思います。
ファイアウォールとの違い
ファイアウォールは、送信元情報と送信先情報を使ってアクセスを制限する仕組みです。これは、外部に公開していない、社内のみで使う業務システムなどを守るときに有効です。アプリは外部に公開しているものなので、ファイアウォールでアプリを守ることはできません。社内向けシステム(業務システムなど)をファイアウォールで守り、社外向けシステム(アプリやサイトのこと)をWAFで守る、という態勢が必要になります。
まとめ
~アプリを多用しているならWAFはマストアイテム
アプリは、業務システムと比べると簡単につくることができます。しかも顧客や消費者もアプリの利用に慣れているので、アプリでサービスを提供すればすぐに顧客や消費者を喜ばせることができます。
アプリは、提供する企業にも利用する消費者にもメリットが多いサービスといえます。しかしその分、攻撃者の標的になりやすくなってしまいました。アプリが普及すればするほど攻撃者は喜ぶ――というイメージです。アプリが攻撃されてサイトが閉鎖に追い込まれたときの損害を考えると、WAFの導入は賢い選択といえるでしょう。
