不正アクセス

  •  PR 

WAFとは?仕組みや導入すべき理由をセキュリティ初心者にもわかりやすく解説

「WAFを導入する必要性は何?」
「WAFはどうやって不正アクセスを検知しているの?」

など、WAFについてこのような疑問を抱いている方はいませんか?

WAFとは、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るセキュリティ対策の1つです。

WAFを導入することで、バッファオーバーフローなど、よくある7つのサイバー攻撃を防ぐことができます。

この記事では、

  • WAFを導入するべき理由3つ
  • WAFはどうやって不正アクセスを検知しているの?
  • WAFで「防げる攻撃7つ」と「防げない攻撃3つ」

などを解説していきます。

「セキュリティ対策に不安がある」あるいは「実際に不正アクセスの被害を受けてしまった」などのお悩みがある企業様においては、最後まで読んでいただくことでその悩みを解消することができるでしょう。

漫画3匹の子豚でわかる大人も知らないインターネットセキュリティ 無料ダウンロード

WAFとは

WAFとは、「Web Application Firewall」の略で、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るセキュリティ対策の1つです。

そもそもWebアプリケーションとは、

  • データ加工
  • 動画視聴
  • 商品購入
  • お金の振り込み

など、多機能なサービスを受けることができるWebサイトのことです。

▼Webアプリケーションの例
「Youtube」「X(旧:twitter)」「ネットバンキング」「ECサイト」「飲食店や旅行の予約サイト」

これらの、Webアプリケーションの動作に関連するシステム・プログラムの不備のことを、「Webアプリケーションの脆弱性」と言います。

最近では、Webアプリケーションの脆弱性が原因の不正アクセス・サイバー攻撃が増えてきており、早急な対応・対策としてWAFの導入が必要だと言われています。

「WAF」「ファイアウォール」「IDS/IPS」の3つの違い

よく似たようなセキュリティサービスとして比較されるのが、「WAF」「IDS/IPS」「ファイアウォール」の3つです。

この3つのセキュリティサービスについて、誰でも違いが分かるように表と図で説明していきます。

セキュリティサービスの種類サービスの内容防げる攻撃
WAFWebアプリケーションの脆弱性を突いた攻撃からWebサイトを守るセキュリティサービスWebアプリケーションに対する攻撃
IDS/IPSネットワーク・サーバーへの異常通信や不正アクセスを検知・防御するセキュリティサービスOSやミドルウェアに対する攻撃
ファイアウォール通信の出入り口に設置して内部ネットワークを防御するためのセキュリティサービスネットワークに対する攻撃

なかでも、WAFが守っているWebアプリケーションが最も守るのが難しいと言われています。

また、「WAF」「IPS/IDS」「ファイアウォール」それぞれ守ることができる範囲が決まっているので、どれか1つのセキュリティサービスを導入していれば安全とは言えません。

これらのセキュリティサービスを組み合わせる必要性については、『6. WAFは他セキュリティサービスと組み合わせる必要がある』で詳しく解説しています。

なお、ファイアウォールについては、以下の記事で詳しく解説しているので本記事と併せて参考にしてください。

どんな企業・組織がWAFを導入するべき?

WAFを導入するべき企業・組織は、以下が挙げられます。

  • ECサイトなどネットショッピングの事業を行っている
  • 顧客の個人情報を取り扱っている
  • 他社にWeb経由でサービスを提供している

このように、WAFは「顧客情報」や「クレジットカード情報」などのデータを扱うWebサービスが保護対象となります。

ただし、WAFのみを導入していれば、「顧客情報」や「クレジットカード情報」を確実に守ることができるわけではありません。

先程もお伝えしたように、WAFはWebアプリケーション以外の攻撃を防ぐのは難しいので、他のセキュリティサービスを併用して対策する必要があります。

Webアプリケーションの脆弱性を改修する期間にもおすすめ

Webアプリケーションに潜む脆弱性を改修するまでの期間にも、WAFは有効です。

例えば、

  • コストの問題
  • 改修を行うための影響の範囲

などが理由で、すぐに改修が行えない場合もあります。

そんなとき、脆弱性の改修や修正パッチの提供を待つまでの時間稼ぎとしてWAFを導入して対応することができます。

WAFの選び方や、おすすめのサービスについては以下の記事で紹介しているので参考にしてください。

WAFを導入するべき理由3つ

WAFを導入するべき理由は、おもに3つあります。

  • Webアプリケーションの脆弱性を突くサイバー攻撃が増えいているから
  • サイバー攻撃被害に遭った場合のリスクが大きいから
  • 新しい手口のサイバー攻撃に備えるため

それぞれの理由について、以下で詳しく解説していきます。

【理由1】Webアプリケーションの脆弱性を突くサイバー攻撃が増えいているから

不正アクセスやサイバー攻撃の原因としてよく聞かれるのが、「Webアプリケーションの脆弱性」です。

Webアプリケーションの脆弱性を防ぐためには、これに特化したセキュリティサービスを導入することが最も効果的です。

なかでも、WAFはWebアプリケーションに対する攻撃に特化した働きをするため、Webアプリケーションの脆弱性が見つかったらすぐにWAFの導入を検討しましょう。

なお、自社の脆弱性をチェックする方法については、以下の記事で詳しく解説しているので本記事と併せて参考にしてください。

【理由2】サイバー攻撃被害に遭った場合のリスクが大きいから

もしサイバー攻撃を受けると、損害賠償などを含めて金銭的損失が数億円にのぼることも珍しくありません。

大手企業だけではなく、中小企業においても数億円単位の金銭的損失が発生するケースもあります。

以下は、KADOKAWAのサイバー攻撃についてまとめた記事なので、サイバー攻撃の脅威を知るためにもぜひ読んでみて下さい。

また、サイバー攻撃の被害に遭うと、顧客や関係取引先から信頼を失うことによる企業イメージの低下は避けられません。

つまり、自社が受ける被害は金銭的なものだけではなく、自社ブランド・イメージにも大きな傷を与えるので、WAFを含めたセキュリティ対策は万全にしておく必要があります。

【理由3】新たな手口のサイバー攻撃に備えるため

今までにない、新たな手口のサイバー攻撃がいつ発生してもおかしくありません。

Webアプリケーションに対する新たな手口の攻撃に対しては、その手口をWAFに自動または手動で記憶させることで、いち早く対応できるようになります。

ただし、WAFはWebアプリケーションに特化したセキュリティサービスなので、Webアプリケーション以外をターゲットにした攻撃を防ぐことは難しいです。

よって、新たな手口のサイバー攻撃に備えるためには、WAFと他のセキュリティサービスを併用して対策するべきだと言えます。

WAFと併用するべきおすすめのセキュリティサービスについては、『6. WAFは他セキュリティサービスと組み合わせる必要がある』で紹介しています。

漫画3匹の子豚でわかる大人も知らないインターネットセキュリティ 無料ダウンロード

WAFの「3つの種類」と「基本的な5つの機能」

ここからは、WAFの種類と、基本的な5つの機能について説明していきます。

WAFの種類は3つあり、それぞれのメリット・デメリットも紹介していくので、どれが自社に合うのかを見極めるための参考にしてください。

WAFの3つの種類

WAFには、

  • アプライアンス型WAF
  • ソフトウェア型WAF
  • クラウド型WAF

の3つの種類があります。

WAFの種類アプライアンス型WAFソフトウェア型WAFクラウド型WAF
設置方法専用のハードウェアを設置するWebサーバーにソフトウェアをインストールする提供事業者からサービスの提供を受ける
メンテナンス方法一般的には自社で行う一般的には自社で行う提供元で全てやってくれるので自社では不要

アプライアンス型WAFの仕組みや、導入するメリット・デメリットは以下をご確認ください。

【アプライアンス型WAF】

▶メリット
・1つのWAF専用機器で複数のWebサーバーに対応できるので、台数によって初期費用が変動することがない
・保護するWebサーバーの数や利用ユーザーが大きな企業ほど割安で導入できる

▶デメリット
・WAF専用機器の初期費用や定期的なメンテナンスにかかる費用が高額になりやすい
・物理的な機器(例:クラウドインフラやレンタルサーバーなど)が導入できない環境では利用できない
・自社でWAF運用ができずに挫折することがある(運用を別途外部に委託することも可)

ソフトウェア型WAFの仕組みや、導入するメリット・デメリットは以下をご確認ください。

【ソフトウェア型WAF】

▶メリット
・専用機器を購入する必要がないので初期費用を抑えることができる
・導入するサーバー数にもよりますが、アプライアンス型より安く導入できる場合が多い

▶デメリット
・Webサーバーの環境に依存するため、パフォーマンスが低下する可能性がある
・運用とは別で導入後の保守費用が発生する
・自社でWAF運用ができずに挫折することがある(運用を別途外部に委託することも可)

クラウド型WAFの仕組みや、導入するメリット・デメリットは以下をご確認ください。

【クラウド型WAF】

▶メリット
・高額な初期費用がかからずに、簡単に導入ができる
・提供事業者がWAFの機能を自動更新してくれるので、社内や外注での運用リソース確保が必要ない

▶デメリット
・通信量や保護対象の数に応じた従量課金である場合が多いので、ランニング費用が高額になることがある
・なかには、クラウド型でも自社での設定や運用が求められるサービスもある

WAFの基本的な5つの機能

WAFには、基本的な機能が5つあります。

  1. 不正な通信を検知して遮断する
  2. シグネチャの定期的な自動更新
  3. 特定のIPアドレスからの通信をブロックする
  4. Cookieを保護する
  5. 検知・遮断した攻撃の内容を確認できる

WAFは、ほとんどの場合「シグネチャ」にもとづいて通信を許可または遮断します。

「シグネチャ」とは?
▶不正アクセス・サイバー攻撃に使われる特徴的なパターンをまとめた定義ファイルのことで、WAFはシグネチャによって不正な通信を識別してブロックしている

アクセスの度に、シグネチャに記録したアクセスパターンと照合し、

▶ホワイトリスト型であれば一致した通信を許可
▶ブラックリスト型であれば一致した通信を拒否

しています。

シグネチャの「ホワイトリスト型」と「ブラックリスト型」については、『4.1 【検知方法1】 シグネチャ』で詳しく解説しています。

クラウド型WAFの場合、シグネチャが定期的に自動更新されるので、手間のかかる更新作業をしなくても常に最新状態を維持することができます。

このシグネチャの自動更新が行われることにより、新たなサイバー攻撃の手口にもいち早く対応できるようになるでしょう。

ただし、クラウド型WAF以外の場合では、手動で設定を更新しなければならないケースもあるため、導入の際には注意が必要です。

サイバー攻撃に使われるIPアドレスなど、特定のIPアドレスからの通信をブロックすることも可能です。

これにより、通信内容のチェック処理を行わなくても、IPアドレスが判明した時点で通信を拒否することができるため、通信のパフォーマンス低下を防ぐこともできます。

WAFは、閲覧情報を記録するCookieを保護することもできます。

不正アクセスやサイバー攻撃のなかには、Cookieを標的とした改ざんやセッションの乗っ取りなどの被害も多いです。

このような攻撃を防ぐために、WAFにはCookieの暗号化機能などの保護機能が実装されています。

WAFが検知した攻撃の種類は、WAFが提供しているログやレポート上で確認することができます。

なかには、攻撃パターンや攻撃元のアクセス数を統計データにして提供してくれるサービスもあります。

このデータを活用すれば、新しい攻撃の手口を検知しやすくなったり、事後対策もしやすくなります。

WAFはどうやって不正アクセスを検知しているの?

WAFが不正アクセスを検知する方法は、

  • シグネチャ
  • スコアリング
  • AI(人工知能)

の3つあります。

それぞれの検知方法について、以下で詳しく解説していきます。

【検知方法1】 シグネチャ

WAFの検知方法の1つに、「シグネチャ」があります。

ほとんどのWAFでは、この「シグネチャ」と呼ばれる検知方法を行っています。

攻撃に使われるパターンや安全なパターンを「シグネチャ」に定義し、この定義した「シグネチャ」に一致するか否かで通信の許可または拒否を行います。

シグネチャの「ブラックリスト型」と「ホワイトリスト型」については、以下でさらに詳しく解説してきます。

「ホワイトリスト型」と「ブラックリスト型」がある

シグネチャの定義によって「ブラックリスト型」「ホワイトリスト型」の2つに分けられます。

「ブラックリスト型」は、攻撃パターンをシグネチャに定義し、定義した攻撃パターンと一致する通信を拒否します。

ただし、複数のWebアプリケーションで適用できるメリットがある一方で、新たな手口の攻撃を防ぐのが難しいというデメリットがあります。

対して「ホワイトリスト型」は、安全な通信パターンをシグネチャに定義し、定義した安全な通信パターン以外の通信は全て拒否します。

新たな手口の攻撃を防ぐことには適している方法ですが、そもそも安全な通信パターンを定義するのが難しいといった問題があります。

【検知方法2】スコアリング

WAFの検知方法には、「スコアリング」もあります。

スコアリングでは、通信のあらゆる要素を数値化し、基準値を超えた通信に対して攻撃と判定し拒否します。

シグネチャよりも細かい要素で判断するので、誤検知のリスクを抑えることができ、新たな手口の攻撃を検知できる可能性も高くなります。

【検知方法3】AI(人工知能)

WAFの種類によっては、「AI(人工知能)」による検知方法もあります。

すでに存在している攻撃手口やデータサイエンス技術を活用して、AI(人工知能)が独自に攻撃の判定を行う方法です。

新たな攻撃手口でも、AI(人工知能)であれば専門家のような柔軟な判断ができます。

ただし、AI(人工知能)の検知ロジックを人間が理解しにくいという問題があります。

WAFが誤検知をすることはあるの?

WAFの誤検知とは、正常な通信を不正アクセスとして誤って判定・拒否することで、正規利用者がWebサイト・Webシステムにアクセスできなくなることです。

例えば、検知方法がシグネチャの場合、不正と判断する基準を厳しく設定すれば、正規アクセスも不正だと誤検知することがあります。

とはいえ、WAFの検知ルールを緩めすぎると、セキュリティ確保が難しくなるといった問題もあります。

WAFの誤検知を回避するためには、誤検知があったルールを特定し、「除外ルール」を作成することで誤検知を回避することができます。

WAFで「防げる攻撃7つ」と「防げない攻撃3つ」

WAFで防げる攻撃はおもに7つありますが、WAFにも防げないと言われている攻撃が3つあります。

ただし、WAFのサービスによっては、防げる攻撃の中でも防げないものもあるということは覚えておきましょう。

WAFで防げる攻撃7つ
バッファオーバーフロー悪意ある第三者がコンピューターに許容量以上のデータを送りつけ、コンピューターの誤作動後にそのコンピューターを乗っ取る攻撃手口
クロスサイトスクリプティングユーザーが入力操作できるサイト(SNSや掲示板など)に仕掛けたスクリプトを実行させ、個人情報の入力画面に誘導したり、意図しない投稿を拡散したりする攻撃手口
SQLインジェクションデータベースの言語であるSQLを悪用した手口で、Webアプリケーションの入力画面で不適切なSQLを入力し、アプリケーションが想定していない動作を実行させるもの
OSコマンドインジェクションSQLインジェクションと同じような手口で、OSに誤動作を起こさせる攻撃
DDoS攻撃標的とするコンピューターに大量の通信を発生させ、機能停止に追い込む攻撃手口
ブルートフォースアタック想定できる全てのパスワードパターンを総当たりで入力し、認証突破を試みる攻撃手口
ディレクトリトラバーサルWebサイト・アプリケーションにおいて、管理者が公開する意思のないファイルや情報に対し、不正アクセスする攻撃手口
WAFでは防げない攻撃3つ
ネットワークに対する攻撃
(※ファイアウォールで対策可能)
ポートスキャンや内部ネットワーク侵入など、ネットワーク層に対する攻撃
OSやミドルウェアに対する攻撃
(※IPS/IDSで対策可能)
OS・Webサーバーの脆弱性などを悪用して不正アクセスを試みる攻撃
botによる不正アクセス
(※不正アクセス検知システムで対策可能)
同じ動作を何回も繰り返すプログラムにより、不正アクセスを試みる攻撃

WAFが防げない攻撃に対しては、それらに特化したセキュリティサービスの導入を検討しましょう。

WAFと併用すべきセキュリティサービスについては、『6. WAFは他セキュリティサービスと組み合わせる必要がある』で詳しく解説しています。

漫画3匹の子豚でわかる大人も知らないインターネットセキュリティ 無料ダウンロード

なお、今回書き出したサイバー攻撃以外にも、ほかにもさまざまな手口のサイバー攻撃が存在します。

サイバー攻撃の手口を全て知りたい方は、以下の記事を読んでみて下さい。

もしWAFが攻撃を防げなかったらどうなる?

WAFが攻撃を防げなかったときは、何かしらの損失を被ることは間違いないでしょう。

例えば、よくある被害で挙げれられるのは、

  • 多額の損害賠償請求の発生
  • サイト閉鎖による売上機会の損失
  • 企業・ブランドイメージの低下

などです。

詳しくは、以下の記事でも解説しているので、本記事と併せて参考にしてください。

\不正発覚した時に企業としてどう対応しますか?/

WAFは他セキュリティサービスと組み合わせる必要がある

ここまで何度もお伝えしてきましたが、Webアプリケーションに特化したWAFだけを導入していても、セキュリティ対策をしっかり行えているとは言えません。

なぜなら、ネットワークやOS・ミドルウェアに対する攻撃を受けた場合は、WAFでは防ぎきれないからです。

つまり、ネットワークやOS・ミドルウェアに対する攻撃に対応できるセキュリティサービスの「ファイアウォール」や「IPS/IDS」も併せて導入することが重要だと言うことです。

ただし、botによる不正アクセスなど、「WAF」「ファイアウォール」「IPS/IDS」でも対応できない攻撃がほかにもあります。

そのような攻撃にも対応していけるのが、「不正アクセス検知システム」です。

「WAF」「ファイアウォール」「IPS/IDS」などと組み合わせて対策できるおすすめの不正アクセス検知システムについては、以下で詳しく紹介します。

万全な対策を行うなら不正アクセス検知システム「O-MOTION」がおすすめ

「WAF」「ファイアウォール」「IPS/IDS」などと組み合わせて万全な対策をしたいなら、不正アクセス検知システムのなかでも、O-MOTION」がおすすめです。

「O-MOTION」は、正しいID・パスワードによるアクセスであっても、本人によるものか不正アクセスであるかをリアルタイムに検知するクラウドサービスです。

※参考:かっこ株式会社

「WAF」「ファイアウォール」「IPS/IDS」のいずれも防ぐことが難しいとされている「botによる不正アクセス」を「O-MOTION」なら検知して防ぐことができます。

Webサイトにアクセスしたユーザーのログイン時の挙動や、アクセスした端末情報などを分析し、他人のなりすまし・botによる不正ログインをリアルタイムで検知します。

※参考:かっこ株式会社

安全度合いが高い場合はIDとパスワードのみでログインさせ、怪しい場合には多要素認証を組み合わせるなど、リスクベースでの認証フローを構築可能です。

不正アクセス対策を万全に行いたい企業様は、以下をクリックしてお気軽にお問い合わせください。

O-MOTION 仕組み紹介

自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら

まとめ

WAFは、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るセキュリティ対策の1つで、おもに7つの攻撃を防ぐことができます。

▼WAFが防げる攻撃7つ

  • バッファオーバーフロー
  • クロスサイトスクリプティング
  • SQLインジェクション
  • OSコマンドインジェクション
  • DDoS攻撃
  • ブルートフォースアタック
  • ディレクトリトラバーサル

ほとんどのWAFでは、「シグネチャ」と呼ばれる検知方法により、攻撃に使われるパターンや安全なパターンを「シグネチャ」に定義し、これに一致するか否かで通信の許可または拒否を行っています。

ただし、WAFの導入だけでは万全なセキュリティ対策が行えているとは言えません。

なぜなら、WAFはネットワークやOS・ミドルウェア、botによる不正アクセスを防ぐことは難しいからです。

つまり、WAFが防ぐことができない攻撃に対しては、別のセキュリティサービスで対策していく必要があります。

▶ネットワーク層→「ファイアウォール」で対策
▶OS・ミドルウェア層→「IPS/IDS」で対策
▶Webアプリケーション層→「WAF」で対策
▶botによる不正アクセス→「不正アクセス検知システム」で対策

自社に合ったセキュリティサービスをいくつか併用することで、ようやく「万全なセキュリティ対策ができている」と言えるでしょう。

漫画3匹の子豚でわかる大人も知らないインターネットセキュリティ 無料ダウンロード

ピックアップ記事

  1. 不正アクセスの手口とは?多様化する不正アクセスの発生状況や手口と検知対策も併せて…
  2. テレワークで気を付けるべきこと・必要なセキュリティ対策8つ
  3. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解説!
  4. 転売屋対策に効果のある13個の方法を紹介!転売が引き起こすリスクとは?
  5. 不正検知システムとは?導入するメリットやチェックできる5つの項目などを紹介

関連記事

  1. 不正アクセス

    なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について

    窃取した情報を使用し、第三者が本人になりかわる「なりすまし」。…

  2. 不正アクセス

    ChatGPTを使った不正利用とは?4つの事例や被害を防ぐ対策を紹介

    ChatGPTは、大量の言語を学習して自然な文章が生成できる人工知能(…

  3. 不正アクセス

    SMS認証サービスの費用はいくら?コストを抑える方法も併せて解説!

    「SMS認証ってどれくらいの料金がかかるの?」「主なSNS認証サー…

  4. 不正アクセス

    不正アクセスが発生した場合の報告先6つ!対処法や再発防止策も紹介

    「不正アクセスに遭って情報が漏洩したら、どうすればよいのだろう」「…

  5. 不正アクセス

    自社の脆弱性は大丈夫?チェック方法やその他の不正アクセス対策を解説

    脆弱性をそのままにしておくと、サイバー攻撃のキッカケとなってしまうため…

  6. 不正アクセス

    DMARCの設定方法を4手順で紹介!レコードの内容も解説

    DMARCは、「このメールは間違いなく私が送信したものです」と受信側に…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 3Dセキュア

    3Dセキュアの登録方法を3ステップで紹介!カード会社別の解説ページ付き
  2. 不正検知・ノウハウ

    無在庫転売とは?仕組みやメリット・デメリットを解説
  3. SB Payment Service

    EC構築・ノウハウ

    SBペイメントサービスとは?導入すべき事業者や決済代行サービス導入のメリットを解…
  4. Shopify チャージバック

    チャージバック

    Shopifyでチャージバックを処理する3つの方法!未然に防ぐ対策なども解説
  5. 消費者向け

    ディズニーチケットの買い方を場所別に解説!すぐ行ける関東の遊園地8選も紹介
PAGE TOP