WAF - ウェブアプリファイアウォール

WAFの意味

WAFはWeb Application Firewallの略です。このファイアウォールは、データパケットの監視とフィルタリングを行い、マルウェアやウイルスの有無をチェックします。  

WAFツールは、クラウド型、ホスト型、ネットワーク型の各形態で提供可能です。複数のウェブアプリの前に逆プロキシを配置することで効率を確保します。    

他のアプリと併用することも、単独で利用することもできます。利用条件に応じ、低層でも高層でも動作します。WAFの規制基準としてはPCI DSSやHIPAA（1996）が用いられます。

WAFの動作原理は？

前述の通り、WAFはアプリ層に配置され、双方向のガードとして機能します。作動中は、特定のウェブアプリに出入りするHTTPまたはHTTPSトラフィックを監視し、不審な要素を検知すると即時に対処し排除します。   

処理を簡略化するため、WAFは何が有害かを予め定義しています。そのルールに基づき、主にHTTPのGETとPOSTを分析します。GETはサーバからデータを取得し、POSTはデータを送信して状態を変更するために用いられます。

WAFの重要性

セキュリティ専門家によると、オンラインで製品やサービスを提供する組織にとってWAFの利用は欠かせません。  

こうしたサービスの提供において、WAFファイアウォールの導入は多方面で役立ちます。例えば：

• WAFの稼働により、機密データを守る作業が容易になります。 
• 顧客の支払情報、カード情報、個人情報などへの不正なトラフィックを防止できるため、情報漏洩のリスクが低減されます。
• このような組織では、クラウドやバックエンドのデータベースに大量の機密情報を保存する必要があり、これらのデータベースへはウェブアプリを通してアクセスします。また、モバイルやIoT機器の取引を円滑にするため、アプリ層が確実である必要があります。
• ハッカーはこれらのデータベースやデバイスを狙っているため、ウェブアプリの前にWAFのセキュリティバリアを配置するのは賢明な選択です。ハッカーはデータベースにアクセスできなくなります。
• オンラインでデータベースを管理、またはサービスを利用する組織は、コンプライアンス要件を満たす必要があります。例えば、クレジットカードやデビットカード決済を扱う企業は、PCI DSSコンプライアンスを遵守する必要があります。 
  

このような規制により、WAFファイアウォールの利用が促進されています。WAFを採用することで、業界標準に則っており、顧客に対してデータの安全性を重視していること、そしてプロとして信頼できる印象を与えることができます。

IPS、IDS、従来型ファイアウォールなどとの併用により、WAFのセキュリティ対策は防御力を高め、セキュリティや情報漏洩のリスクを低減します。

‍

WAFの機能

WAFは、一般的なウェブアプリ攻撃を検知し対処する能力を備えています。SQLインジェクション、クロスサイトスクリプティング、CSRF、XSSなどが含まれ、ウェブサイトが侵害された場合や攻撃中である場合も検出可能です。

• 攻撃シグネチャデータベース

WAFは検出した攻撃のシグネチャを記録し、同じ攻撃パターンの再発を防ぎます。既知の攻撃データベースとして、今後のリスク管理に活用できるこの機能は、将来の脅威に対してサイトを守るための重要な特徴です。

• トラフィックパターンのAI/ML解析

WAFの重要な機能の一つに自動解析があります。ウェブサイトが攻撃を受けた際、状況把握が難しくなることがありますが、AI/ML技術により攻撃パターンが自動的に分析されます。

これにより攻撃の検出精度が向上し、迅速な対処が可能となります。さらに、攻撃の経緯を把握することで、将来の攻撃対策にも役立ちます。

• アプリプロファイリング

WAFが提供する機能のひとつにアプリプロファイリングがあります。アプリの特徴をプロファイル化することで、将来的な監視がより効率的になり、適切な対応が可能となります。プロファイルには、利用されるログイン方式、サイトの主要な言語、掲載されるコンテンツなどが含まれ、訪問者が何を期待するか把握することで、セキュリティ対策に自信が持てます。

• カスタマイズエンジン

WAFには、サイトの特性に合わせてルールを変更できるカスタマイズエンジンが搭載されていることが多いです。これにより、リクエストやレスポンスの認識方法を調整でき、ボットや不正ソフトと人間ユーザーを区別する処理など、さまざまなトラフィックへの対応が可能となります。

• 相関エンジン

これは、ウェブサイトの内容や他サイトを分析し、安全性を判断するツールです。相関エンジンは以下の要素をもとに評価します:

1. IPアドレス.
2. ユーザー入力.
3. ウェブサイトの内容.
4. サーバ上にホストされるその他のウェブサイト.

リクエストを処理し、受け入れるかどうかを判断、受け入れる場合はユーザーへ応答を返し、そうでなければ次の処理段階への送信をブロックします。

• DDoS対策

WAFの主要機能のひとつにDDoS対策があります。ウェブサイトはハッカーからの攻撃を受けやすく、DDOS攻撃やSQLインジェクション攻撃など、さまざまな手法で狙われる可能性があります。

DDOS攻撃は、サーバに大量のデータリクエストを送り込み正しい動作を妨げるもので、SQLインジェクション攻撃は、ソフトの脆弱性を突いてリクエストを殺到させ、クラッシュに導きます。

WAFはこれらの攻撃を防ぐために設計されており、各リクエストに対し入力エラーや無効なデータをチェックし、システム障害やその他のサイバー攻撃を引き起こす可能性が高い場合にブロックします。

‍

ウェブアプリファイアウォールの種類

導入形態から見ると、WAFには3つのタイプがあります:

1. ホスト型WAF
   

ホスト型WAFは、主にハードウェアツールとして利用され、遅延の抑制に広く用いられます。特定のデバイスを活用して貴社現場に配置され、対象のアプリの近くに設置されます。

このタイプのWAFを提供するベンダは、連携するすべての装置にフィルタリングルールや設定を複製します。そのため、ネットワーク型WAFは大規模な導入向けとされる場合もあります。 

ただし、運用コストが高く、多額の初期投資が必要であり、運用面でも負担が大きいです。 

2. ネットワーク型WAF
   

このタイプのWAFはアプリのコードに完全に組み込まれており、要求が少ないです。ホスト型WAFに比べ、導入コストは低い傾向にあります。 

それにもかかわらず、多彩なカスタマイズオプションが付いていますが、管理には豊富なアプリライブラリやローカルサーバのリソースが必要となり、多くの開発者、DevOps専門家、システムアナリストの配置が求められるため、運用は非常に困難です。 

3. クラウド型WAF
   

最もコストパフォーマンスに優れたWAFの選択肢であるクラウド型WAFは、導入や管理に多くの費用をかけず、すぐに利用できるターンキーソリューションとして最適です。

クラウド上にすべての技術サポートやリソースが整っており、シンプルなログインでアクセス可能なため、非常に手軽です。サブスクリプションプランも多様です。 

このタイプのWAFの課題は、外部プロバイダーが生成または送信するアプリのトラフィックのフィルタリングです。この場合、クラウド型WAFは広域のホスティング環境が求められます.

ウェブアプリファイアウォールの利点

WAFは、組織のアプリを根本から強化し、通常の脅威を回避するために役立ちます。このツール1台で、以下の攻撃からウェブアプリを守ることができます:

• クロスサイトスクリプティング（XSS） は、他者のブラウザに悪意あるスクリプトを埋め込む攻撃です。 
• SQLインジェクション は、攻撃者がSQLデータベースの設定を変更し、重要なデータを盗み出す攻撃です。 
• ウェブセッションハイジャック攻撃は、攻撃者がIDセッションを不正に乗っ取り、正当なものと偽る手法です。主にURLやクッキーからID情報を奪います。 
• DDoS攻撃 は、不必要なトラフィックを大量に送り込み、正当な利用者がアクセスできなくする攻撃です。  
• これらの攻撃に対処するだけでなく、WAFは元のアプリコードに変更を加えることなくウェブアプリを守るため、手間と時間を大幅に節約できます。

‍

WAFの制限

WAFには難しい面もあり、どのソフトウェア開発現場においても技術的課題を生む可能性があります。ウェブアプリやサービスの増加に伴い、WAF戦略の見直しはこれまで以上に重要です。対策を怠ると、ユーザーや開発者にとって使い勝手が悪くなり、サイトやアプリへのアクセスが困難となる恐れがあります。また、開発者はWAFの制限を回避するため、同じロジックの解析や書き換えに多大な時間を費やす可能性があります。

このような制限を避けるため、ソフトの使いやすさやアクセス性を阻むWAFの種類を把握する必要があります。本記事では、ソフト管理の目標達成を妨げる三大のWAF制限について解説します。

WAFはその導入方法によって恩恵にも災いにもなり得ます。不正な攻撃からソフトを守り、円滑なユーザー体験を提供する一方、深刻な問題を引き起こす場合もあります。WAFには、ネイティブ型と非ネイティブ型の2種類があります。

ネイティブ型WAFは、ハードウェアレベルのファイアウォールやアプリプロキシとも呼ばれ、コード変更なしで実際のハードウェアによりソフトを守ります。これにより、性能と安全性が向上しますが、利用可能なハードウェアの種類に左右される制限があります。

非ネイティブ型WAFは、ソフトやアプリのソースコードを変更する必要があります。ランタイムプロキシ（サーバに到達する前にトラフィックをフィルタする仕組み）、リバースプロキシ（特定のエンドポイントへ振り分ける仕組み）、アプリ層でネットワークトラフィックを操作するファイアウォールなどが含まれます。

WAFは一般的に静的であるため、動的な変更が求められる場合に問題が生じることがあります。例えば、突然ログインが必要になった際、WAFがその変更を認識できず、ユーザーがログインに苦労する可能性があります。動的コンテンツに対応できるWAFを選ぶことが重要です.

‍

WAF運用モデル

データパケットの内容を効果的にフィルタするため、WAFは2つの方式を採用しています。以下に詳細を示します:

• ホワイトリスト方式

最も一般的な方法であるホワイトリスト方式は、すべてのリクエストを拒否し、信頼できるものだけを許可します。信頼性のあるIPアドレスのリストに基づいてリクエストを許可するため、リソースの負担が少なく即時に利用可能です。このため、ブラックリスト方式よりも広く採用されています。 

ただし、意図的・意図せずとも脅威でないトラフィックもブロックされる場合があり、広範なフィルタリングにより精度が下がることもあります。 

• ブラックリスト方式

次の方法であるブラックリスト方式は、すべてのデータパケットを通過させ、あらかじめ定義されたシグネチャで不審なトラフィックを排除します。ホワイトリスト方式がIPアドレスで悪質なトラフィックを識別するのに対し、ブラックリスト方式はルールを用います。公共のウェブサイトやアプリでは、未知のトラフィックが多いため、ブラックリスト方式が適しています。

なお、この方式は情報量が多く必要なため、運用には注意が必要です.  

どの方式を採用しても、WAFはHTTP/HTTPSトラフィックに対してあらゆる安全対策を講じます. 

さらに、場合によってはアプリの安全性に両方式の利点が求められることもあります。そんなとき、ハイブリッド方式が登場し、ホワイトリスト方式とブラックリスト方式を組み合わせた手法を実現します. 

ファイアウォール対ウェブアプリファイアウォール

一見、ファイアウォールとWAFは同じに見え、いくつかの点で共通しています。しかし本質は異なり、根本的な違いが存在します。導入を検討する際は、これらの違いを把握することが重要です.

ファイアウォールは、コンピュータネットワークを守るために導入される各種ファイアウォールの総称です。データパケットをフィルタリングし、提供する保護内容や導入方式により区別されます。例えば、パケットフィルタリング、プロキシ、NGFW、ステートフルインスペクションなどがあります.

WAFはプロキシファイアウォールと比較されることがありますが、違いは明確です。ファイアウォールは基本レベルの攻撃からシステムを守るものではなく、WAFはレイヤ7のロジックに注目します.

WAF、すなわちウェブアプリファイアウォールは、サイバー空間の脅威からウェブアプリを守るために利用され、アプリ層から動作を開始します。どの方式であっても、WAFの導入は必ずアプリ層で行われます.

Wallarm WAFセキュリティ

WallarmのCloud WAFは、先端技術を搭載した主要ツールで、gRPC、SOAP、REST、およびWebSocketといった重要なAPIを守ることができます。このWAF1台で、ワークロード、アプリ、APIを守ることが可能です。DNSの変更だけで利用が始められます。

最も優れているのは、100%カスタマイズ可能な点です。WAFツールは柔軟な料金体系を備えており、必要な支援分のみ料金が発生します。キャッシュや最適化などの機能も充実しており、自動運用により多くの手作業を省けます。