こんにちは。
エンジニアの藤田です!
WAFについて少し耳にする機会があったので少しまとめてみました!
WAFとは
WAFとは“Web Application Firewall”の略で、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。
SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることが出来ない攻撃を検知・遮断することができます。
WAFの種類
WAFの種類にも様々あります。
アプライアンス型 WAF
メリット
・アプライアンス型WAFはベンダーが提供するWAF機器をお客様環境(Webサーバを設置しているDC等)に設置し利用
・お客様自身で設計・構築・運用できるため、お客様に合った最適なWAF環境を実現しやすい
デメリット
・導入コスト(機器購入費+保守費等)が大きいため、小規模なWebサイトの利用には向かない
・導入稼働(機器の設置と撤去)が大きいため、短期的な利用にも向かない
・WAF機器の保守運用・監視をするために、24時間365日対応できる人員が必要
ソフトウェア型 WAF
メリット
・ソフトウェア型WAFは既存のWebサーバにインストールするタイプのWAF。ハードウェアを調達する必要がないため、導入コストや手間を削減することができる
デメリット
・攻撃を受けた際にCPU負荷がかかるため、サーバの速度遅延などの危険性があり、入念な事前検証が必要
・Webサーバ毎に製品をインストールする必要があるため、コストが肥大化することがある
クラウド型WAF
メリット
・クラウド型WAFはハードウェアやソフトウェアを調達する必要がなく、導入コストや手間を削減することが可能
・運用や保守はベンダーがクラウド環境で行うため、専任の担当者は不要で迅速に最新の脅威に備えることができる
デメリット
・サービス内容がベンダーによって異なるため、実績や信頼性の高いサービスを慎重に選ぶ必要がある
WAFの仕組み
ウェブサーバーの前段に置く、またはAgentをインストールすることで、ハッカーの侵入がないかどうかを判断を行い、不正な攻撃だと検知すればそのリクエストを拒否するという動きをします。
また、アクセス元からのウェブサーバーへの通信を解析して、不正なコードの送信や未知の動きがないかどうかをチェックします。その後、不正な通信と判断されれば、そのアクセスを拒否することになります。
まとめ
WAFはWebアプリケーションへの攻撃を塞ぐ仕組みです。
様々な種類があるので利用する際はしっかり理解し、Webアプリケーションに合ったものを選ぶ必要がありそうです。
コメント