WAFとは

WAFとは

WAFとはWeb Application Firewall (ウェブアプリケーションファイアウォール)の略で、ウェブアプリケーションの脆弱性を悪用する攻撃からウェブサイトを保護するセキュリティ対策です。

ウェブアクセスの通信内容を検査し、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を検知して、そのようなアクセスをアプリケーションに到達する前に遮断することで、ウェブに対する不正な攻撃を未然に防御します。

WAFで防御できる代表的な攻撃

・SQLインジェクション – SQL文を含んだ入力データを送信してデータベースに不正にアクセスする。

・クロスサイトスクリプティング(XSS) – ウェブサイトが本来想定していないスクリプトなどをブラウザ側で実行させる。

・クロスサイトリクエストフォージェリ(CSRF) – 不正な手段で投稿やアップロードなどを実行する。

・OSコマンドインジェクション – OSコマンドを含んだ入力データを送信してシステムに不正にアクセスする。

・改行コードインジェクション – 改行コードを含んだ入力データを送信してHTTP レスポンスヘッダを書き換える

・ディレクトリトラバーサル – サーバー上の本来公開を意図していないファイルに対し、不正にアクセスまたは実行する

・ブルートフォースアタック – ログイン画面などに総当り攻撃を試みる

・DDoS攻撃 – ウェブサイトやサーバーに対して過剰なアクセスやデータを送付して大きな負荷をかける。WAFの種類によっては対応していない。

WAFとファイアウォールとの違い

一般的なファイアウォールはIPアドレスやポート番号、通信方向といったルールをもとにアクセスを制御します。ファイアウォールはアプリケーション層ではなくネットワーク層を保護するセキュリティ対策です。

WAFとIDS/IPSとの違い

IDS(Intrusion Detection System 侵入検知システム)やIPS(Intrusion Prevention System 侵入防止システム)はサーバーやOSに対する不正アクセスを検知・防御します。IDS/IPSでもウェブアプリケーションに対する攻撃を検知することがありますが、一般的にWAFはウェブアプリケーションの脆弱性を悪用する攻撃の防御に特化しています。

WAFとSSL/TLSとの違い

SSL/TLSはウェブにアクセスしたユーザーの通信を暗号化することで、盗み見されるリスクから防御します。WAFがウェブサイトを守るとすれば、SSL/TLSはウェブにアクセスする人を守ります。

WAFの種類

アプライアンス型

WAF機能を持つ専用機器を、ウェブサーバー機器の直前に設置します。細かい設計・構築・運用が可能ですが、最も費用がかかります。

ソフトウェア型/ホスト型

WAFソフトウェアをウェブサーバーにインストールします。アプライアンス型と同様のカスタマイズができますが、ウェブサーバーのリソースを消費します。

クラウド型/リバースプロキシ型

ウェブのDNSを変更し、クラウド上にあるWAF機器がウェブサーバーの直前に設置されます。導入が安価ですが、トラフィックの増加により料金が加算されることがあります。

サービスメニュー提供型

AWSやAzureなどのクラウドサービスでは、WAFがサービスメニューとして提供されます。

WAF導入時の注意

接続元IPアドレスがWAF機器のIPアドレスに変換されることがある

WAFの提供形態(特にクラウド型)では、接続元のIPアドレスがWAFのIPアドレスに変換されることがあります。

この場合は、WAFが付与するX-Forwarded-Forヘッダを、アプリケーション側が接続元として利用する、あるいはウェブサーバーの設定で接続元として再変換させるなどの設定が必要となります。

ファイルアップロードに制限がかかることがある

これもクラウド型WAFに見られる制限ですが、POSTデータのサイズに関する制限やタイムアウト値が設けられている場合があります。

SSL/TLS証明書をWAF機器にインストールする必要なことがある

アプライアンス型やクラウド型は、SSL/TLS証明書をWAF機器にインストールする必要な場合があります。この状況によっては秘密鍵が漏洩しないように注意する必要があります。

WEBサイトやWEBサーバーへのサイバー攻撃を可視化・遮断するWEBセキュリティサービス
攻撃遮断くんのページはこちら（https://cloud.speever.jp/shadan-kun/）