WAFとは？　ノンエンジニア向けにわかりやすく解説

世間一般に対して情報を提供する手段としてインターネットは重要な役割を担っています。ゆえにWebサイトに対して危害を加えようとする攻撃事例も増えつつあり、私たちは自らのWebサイトを守らなければなりません。今回はWebサイトを保護する手段としてよく採用されるWAFについて、エンジニアでない方にもわかりやすく解説します。

お役立ち資料　【押さえておきたい “サイバー攻撃の発生状況” と “Webセキュリティ対策”】

1. Webサイトは攻撃を受けている

2022年9月、日本政府が運営するいくつかのWebサイトが海外のハッカー集団により攻撃を受け、一時アクセスがしづらい状態となったことが報道されました。

引用：ロシアを支持のハッカー集団 日本政府サイトにサイバー攻撃か

NHK

攻撃を受けた対象が政府の運営するWebサイトであったことから大きく報道されましたが、今回の事件では日本の民間企業も攻撃を受けています。また今回に限らず、多くの民間事業者のWebサイトが攻撃の対象となる事件が頻繁に発生しています。あらゆるWebサイトにとって、決して対岸の火事ではありません。

2022年に報道されたサイバー攻撃事例

上記の事件のように、攻撃を受けた対象が政府運営のWebサイトであった場合の他には、「顧客の個人情報が流出した」「社会的なインフラに関わる重要な情報の提供がストップした」「攻撃を停止する代わりに金銭の支払を要求された」など事件性の高いものが大きく報道される傾向にあります。しかし、それ以外にもサイバー攻撃は日々発生しています。

2022年に発生したと報道された事例について、主だったものをいくつか紹介します。

• デンソーに身代金要求型のサイバー攻撃か 犯罪グループが声明／NHK

• ブリヂストンにランサムウェア攻撃　クルマ関連企業へのサイバー攻撃相次ぐ／ITmedia NEWS

• 酒造メーカー「月桂冠」にサイバー攻撃 受注できない状態に／NHK

• 「しまむら」にサイバー攻撃…グループ全２２００店で商品取り寄せできず／読売新聞オンライン

• 日能研から中学受験生関連のメールアドレス28万件流出、SQLインジェクション攻撃で／日経クロステック

• サンドラッグにリスト型攻撃　個人情報・クレカ情報など1万9000件流出の可能性／ITmedia NEWS

• 徳島 鳴門市の病院にサイバー攻撃 電子カルテなど使用できず／NHK

• 広島県にDdoS攻撃 – 県や市町のウェブ閲覧や防災メール配信に影響／Security NEXT

• 南房総市がランサムウエア被害、全小中学校の児童・生徒データなど閲覧できず／日経クロステック

攻撃の対象となってしまうWebサイトは種別を問わず、幅広い範囲に渡っていることが分かります。

警察庁のまとめによると、2022年上半期の国内ランサムウェア被害件数は前年同期比で87%増加しており、中小企業のWebサイトが対象になる割合が最も高かったとされています。ランサムウェアとは、攻撃者によって感染させられるウイルスのことで、ウイルスによる攻撃を停止する条件として金銭を要求されることで知られています。

引用：令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について

警察庁

他にも、特定のWebサイトに対して作為的に複数の端末から大量のアクセスを仕掛けることで、Webサイトを混雑状態に陥れ、機能を停止させてしまうDDoS攻撃の報道も顕著です。冒頭で紹介した日本政府が運営するWebサイトにも、このDDoS攻撃が加えられた可能性があると報道されています。

■ DDoS攻撃のイメージ

2. WAFはWebサイトを攻撃から守る手段

コンピュータがインターネットなどの通信を行う際は、ヒトが食べ物をかみ砕いて飲み込み消化していく営みのように、情報が複数の工程を経て処理されていきます。どの工程に関わる部分が攻撃の対象となるかによって対処の方法が変わるため、工程ごとに最適な攻撃対策を用意する必要があります。歯に異常があれば歯科、胃腸に異常があれば消化器科にかかるように、複数の対応が必要です。

Webサイトを守るためには？

上記の例を用いると、Webサイトは食べ物を口に運ぶ、一番初めの工程で情報が処理されます。私たちはコンピュータやスマートフォンがどのようにインターネットに接続されて情報を取得することが出来るのかという仕組みを細かく理解していなくても、手軽にブラウザなどを通じてインターネットを用いたサービスを利用することが出来ます。

つまり Webブラウザを通じてWebサイトを閲覧する際には、通信のやり取りをするための土台の仕組みが整った状態の、一番表層の部分によって情報が処理されているということです。この部分に対する攻撃を防御するために適しているサービスがWAF（Web Application Firewall）ということになります。

WAF（Web Application Firewall）とは？

WAF（ワフ）はその名の通り、Webアプリケーションに対する不正な通信を遮断するためのファイアウォール（防火壁）です。Webアプリケーションとは、Webブラウザを通じてユーザーが操作・閲覧するページやサービスのことを指し、Webサイトもここに含まれます。
先ほど列挙したサイバー攻撃事例の多くは、Webアプリケーションに対する攻撃によって被害を受けたものです。引き続き食事の例を用いれば、胃腸の健康には気を付けていたものの、歯の健康維持を怠ったがためにうまく食事が出来なかった、ということになります。Webアプリケーションを守るためには、それ専用の対策が必要です。

■ コンピュータが通信をする工程

Webアプリケーションに関する処理を行う工程よりも下層の工程に対しても、それぞれ適したセキュリティ対策があります。下層ほど通信の処理を行う上ではベースとなる工程なので、WAFの導入よりも先に対策されていることが多いでしょう。

3. WAFの利用にはどれくらいの金額がかかる？

WAFは複数のサービス提供事業者によっていくつかの種類で提供されており、価格体系も様々です。特に理由の無い限りは、比較的導入時の初期コストや、導入・運用にかかる人件費が安価に抑えられる傾向にあるクラウド型のWAFの検討をお勧めします。

WAFの種類

WAFには大きく分けて、以下の3種類があります。

• ソフトウェア型
• アプライアンス型
• クラウド型

ソフトウェア型

ソフトウェア型はサーバーに攻撃対策用のソフトウェアをインストールして利用します。自社で管理するサーバーに対する設定が必要なため、そのための人的リソースを用意する必要があります。

アプライアンス型

アプライアンス型は攻撃対策用の機器を設置して利用します。専用のハードウェアが必要になるので、機器の費用を支払わなければいけません。また導入の工数も高く、運用にも専任の担当者が必要になるので、サービスの利用費にプラスされる諸費用が膨らむ傾向にあるでしょう。比較してソフトウェア型よりも高価であることが多いです。初期費用として数百万円規模の金額が必要になる場合もあります。

クラウド型

クラウド型は最も低コストで導入することが可能な場合が多いです。他2つの種類と異なり、自社のサーバー機器に触れることなく、WAFサービス事業者が提供するシステムをインターネット上で利用することが出来ます。費用は安価なものであれば月間数万円程度のものが提供されています。

4. 導入は大変？ どれくらい時間がかかる？

Ｊストリームでは「Imperva App Protect」と「BLUE Sphere」という二つのクラウド型WAFサービスを提供しています。ここでは導入するWAFがクラウド型であることを前提に説明します。

比較的容易に導入できるクラウド型WAF

WAFには様々な攻撃のパターンが記録されています。WAFが監視している通信の中から、記録された攻撃パターンと合致するものがあれば、攻撃と判断して通信を遮断するという仕組みです。サイバー攻撃の手法は多種多様に日々進化をしており、新しく登場してきた攻撃手法にも対処できなければいけません。
クラウド型WAFはインターネット経由で利用するサービスとして提供されているため、WAF事業者により、自動的に新しい攻撃手法のパターンが記録されていくような仕様になっている場合が多いです。クラウド型以外のWAFは、自ら攻撃パターンを機器に記録させなければいけないなど、運用上の手間がかかる場合があります。

またクラウド型WAFは、WebブラウザにURLを入力すると目的のWebサイトに対してアクセスすることが出来る仕組みを活用して導入するため、WebサイトのURLの管理者によって利用を開始することが出来ます。前述のように防御すべき攻撃パターンは常に最新の状態に保たれているサービスが多いため、特殊な利用条件が無ければ、早ければ即日利用を開始できる場合もあります。通常は設定に誤りの無いようサービス仕様を確認したり、ベンダーによる導入初期サポートを受けたり、攻撃でない通信を攻撃と誤検知しないか確認する時間を設けたりして導入に至ることが多いので、1カ月程度の準備期間を経るものと考えた方が良いでしょう。

■ クラウド型WAFの通信イメージ

5. どんなサービスを選ぶべき？

WAFサービスを提供している事業者は、国内外含めて数十社程です。また前述のようにWAFサービス自体の種類も分かれているため、どのサービスを選ぶべきか判断することが難しいこともあるでしょう。現在自社のサーバー環境を運用している専門ベンダーに相談をすることが出来る場合は意見を求めてみることをお勧めします。ここでは、WAFサービスの違いを判断するためのいくつかの基準について紹介します。

対応できる攻撃の種類

WAFで防ぐことが出来る攻撃にはいくつかの種類があり、「SQLインジェクション」や「クロスサイトスクリプティング」など名前が付いています。よく見られる代表的な攻撃には概ねどのWAFサービスでも対処が可能ですが、例えば前述の「DDoS攻撃」などは、標準で防御可能、オプション費用の支払いにより防御可能、防御不可、などパターンが分かれている場合があります。

実績と第三者評価

前述の通り、WAFは攻撃手法を記録することで、問題のある通信か無い通信かを判断しています。たくさんのWebサイトの通信を監視することで、それだけたくさんの通信のパターンを記録することが出来るので、導入実績が豊富なWAFサービスの方が比較してたくさんの攻撃を検知できる可能性が高いと言えます。つまり第三者が評価していて、たくさんの導入実績があるサービスは、単にサービスに対する評判以外の意味でも信頼性が高いサービスということになります。WAF事業者のWebサイトなどでサービスを比較検討する際には、導入Webサイト数や事例などを参考にすると良いでしょう。

WAFが攻撃を検知する方法はこれ以外にも、通常の通信と比べて不自然な挙動をしているプログラムを攻撃とみなすものなどがあります。どの方法にも得意な点と不得意な点があるので、サービスベンダにより詳しく説明を受けましょう。

キャパシティ

WAFはDDoS攻撃のように、Webサイトに対して高い負荷をかけようとする攻撃を防御できるサービスですが、当然処理能力には限度があります。自らのWebサイトがどの程度の能力のセキュリティ対策を必要とするのかについては、導入サービスを選定する上で重要な指標となるでしょう。これには情報システムの管理者への確認が必要な場合があります。

国内製品と海外製品

WAFは国内の企業が開発した製品と海外の企業が開発した製品で、少々製品としての特長や傾向が異なる場合があります。国内企業の製品は安価で手軽に導入できることを売りとしている場合が多く、海外企業の製品は大規模で強力な攻撃に対しても十分な耐性を持っている代わりに高価格である傾向にあります。安価なもの、高価なもの、どちらがより優れているということはないので、必要なセキュリティ強度や、Webサイトのセキュリティ対策に割くことが出来る予算などから、最適なサービスを検討しましょう。

以上、Webサイトのセキュリティ対策のために有用なWAFについて解説しました。
Ｊストリームは、Webサイトにたくさんのアクセスが集中してしまうことなどが原因で発生するアクセス遅延やサーバー負荷を緩和するCDN（Content Delivery Network）サービスを提供しています。CDNはクラウド型WAFと導入方法がほとんど同じであり、また近年CDNはWAFの機能を兼ねる場合も増えていることから、CDNの開発や運用によって培ったノウハウを活用し、お客様へWAFサービスのご提案と導入支援を行っています。

Ｊストリームが取り扱うWAFサービスである「Imperva App Protect」 と「BLUE Sphere」 は、ハイエンドなサービスと、安価で気軽に導入できるサービスという異なる側面を持っています。お客様の要望や検討の状況に合わせ、最適なサービスをご提案します。是非お気軽にお問合せ下さい。

ソリューション詳細はこちら

• Webアプリケーションファイアウォール（WAF）

お役立ち資料