Business Blog

社内のセキュリティ対策としてファイアウォール機能を持つ機器を導入している企業は多いかと思います。社内ネットワークへの攻撃やウイルスへの対策は誰しもが気になる点でしょう。

では、ウェブサイトのセキュリティ対策はいかがでしょうか？ファイアウォールを導入していたら安心ですか？実は、ファイアウォールでは領域が異なるため、ウェブサイトの安全は守れません。

本記事ではウェブサイトのセキュリティ対策として注目の「クラウド型WAF」について解説いたします。

WAFとは

WAFとはWeb Application Firewallの頭文字の略称で、ウェブサイトを含めたウェブアプリケーションをサイバー攻撃から守るセキュリティ対策のひとつです。

お問い合わせフォームのあるウェブサイトや会員制のウェブサービス、またユーザーのリクエストに応じて動的ページを生成するウェブシステムなど、あらゆるウェブアプリケーションがサイバー攻撃の対象となっています。

対象のウェブサーバーの前にWAFを設置することで、ウェブアプリケーションへの攻撃者の侵入がないかどうかを判断し、攻撃者からの不正なアクセスだと判断した場合はそのアクセスを遮断できます。

ウェブサイトへの攻撃の種類

攻撃者がおこなうウェブサイトへの攻撃方法として、ウェブアプリケーションのぜい弱性を悪用する攻撃が近年増加しています。その中でも代表的な2つの攻撃があります。

SQLインジェクション

ウェブアプリケーションのデータベースを不正に操作する攻撃手法です。

SQLとはデータベース言語の1つで、ウェブアプリケーションがデータベースと連携する場合に使われることが多い言語です。ウェブアプリケーションに対し不正なSQL文を注入(=インジェクション)することから、この名が付いています。

SQLインジェクションの仕組みを説明します。まず、ウェブサイトとデータベースが連携しているウェブサイトで入力画面にSQL(データベース)サーバーを呼び出す命令文を入力します。一般的には、ID・パスワードの入力画面には不正な文字列をチェックする機能が備わっていますが、なんらかの原因でSQLの構文にぜい弱性が存在している場合、またはSQL自体のぜい弱性を悪用されることで、データベースへ不正にアクセスされます。データベースには重要な個人情報が記録されていることが多いため、情報漏えいなどの被害につながってしまいます。

大量のデータを保有し、SQLで制御が必要なショッピングサイト、会員サイトなどが攻撃対象となるケースが多いです。

クロスサイトスクリプティング

ウェブサイトに悪意のある攻撃者が罠を仕掛け、ユーザーの個人情報などを盗む攻撃です。

クロスサイトスクリプティングの仕組みを例を挙げて説明します。まず攻撃者は、ウェブサイト上にリンク(スクリプトを含んだURL)を設置します。リンクをクリックするとぜい弱性があるウェブサイトへ遷移し、そこでスクリプトが実行され、ユーザーの個人情報が攻撃者に盗まれてしまうケースがあります。
罠を設置したサイトからぜい弱性があるサイトにまたがり、スクリプトを実行する攻撃手法です。

不正なURLを検知できないぜい弱性のあるウェブサイトが、クロスサイトスクリプティングの被害者を生み出す恐れがあります。

WAFとファイアウォールの違い

WAFはウェブサイトをサイバー攻撃から守るセキュリティ対策であるとご説明しましたが、似た製品でファイアウォールというものがあります。ファイアウォールを導入しているからWAFを導入する必要はないという意見が見受けられますが、それは誤りです。

それぞれ防御する領域が異なります。ファイアウォールとは、ネットワーク層を保護するセキュリティ対策です。一方、WAFはウェブアプリケーションへの攻撃から保護する役割を持ちます。

SQLインジェクションやクロスサイトスクリプティングはウェブアプリケーションへの攻撃のため、ファイアウォールでは防げません。少なくともこれらの被害を防ぐためにはWAFの導入をおすすめいたします。

WAFでウェブサイトへの攻撃を守りつつ、ぜい弱性が見つかった際にはウェブサイトを改修するようにしましょう。

WAFの導入形態

WAFには、導入形態別に「ソフトウエア型WAF」「アプライアンス型WAF」「クラウド型WAF」の3種類があります。

ソフトウエア型WAF

既存のウェブサーバーにソフトウエアとしてインストールして利用するタイプのWAFです。比較的安価に導入できますが、初期設定や運用・保守などは自社または外部に委託しておこなう必要があります。

アプライアンス型WAF

WAF専用に作成されたハードウェアを通信経路上に配置するタイプのWAFです。オンプレミスのため完全な自社管理を実現しますが、ソフトウエア型と同様に初期設定や運用・保守などは自社または外部に委託しておこなう必要があります。

クラウド型WAF

2022年現在、主流となりつつあるWAFの導入形態です。特別な機器やソフトウエアを購入する必要がなく、クラウド上でWAFのサービスを受けられます。比較的短い期間で導入することができ、更新やメンテナンスもベンダー側で実施する製品が多いため、自社スタッフの運用・管理負担が小さい点が魅力です。

ウェブサイトのセキュリティが気になる方は、まずはクラウド型WAFの検討をお勧めします。

なお、その他の導入形態として、AWSなどのクラウドインフラ環境を提供する事業者が、インフラサービスのオプションとして提供している「オプション型WAF」と呼ばれる形態もあります。

クラウド型WAFの選び方

いくつかのポイントを抑えてサービスを選定しましょう。

導入実績や企業信頼度

過去どれだけのユーザーが導入したか、自社の業界でも導入実績があるか、セキュリティ分野において信頼できるメーカーかなど確認しましょう。導入実績が多いほど、WAFに関するノウハウが多い可能性があるため、安心につながります。

サポート体制

会社によってセキュリティレベルや遮断したい通信が異なるため、WAFの誤検知が発生してもおかしくありません。そんな時はベンダー側のサポートが不可欠です。導入時はもちろん、運用開始後や障害発生時までどのようなサポートが受けられるか、またお問い合わせ対応はスムーズかなど、メーカー・代理店のサポート体制を確認しましょう。

コスト(初期・月額)

クラウド型WAFの導入にかかるコストは初期費用と月額費用に分かれます。特に月額費用は多少高くなるだけでも、トータルで考えるとかなりの金額差です。サービスごとに内容も異なるため安ければ良いというわけではありませんが、自社の予算に合わせたサービスを検討する必要があるでしょう。

まとめ

本記事ではWAFの概要や導入形態、おすすめのクラウド型WAFの特徴、サービスの選び方について解説いたしました。ウェブサイトのセキュリティ対策をお考えの方は、本記事を参考にサービスを選定してみてはいかがでしょうか。

弊社では11年連続国内市場シェアNo.1のクラウド型WAF「Scutum（スキュータム）」をご提案しております。
※参照元：https://www.scutum.jp/topics/waf_leader.html

従来型WAFの課題を克服するために開発された、世界初のクラウド型WAFです。「検知精度の高さ」と「新しいぜい弱性への対応スピード」で高い評価を得ています。
※参照元：https://www.scutum.jp/outline/saas_waf.html

「Scutum」製品公式サイト