WAFってなにそれ?おいしいの?~非エンジニアが初心者向けに解説~【しぇあわふ】
皆様はじめまして、さくらインターネットの佐藤と申します。現在クラウド型WAFサービス「しぇあわふ」のPRを担当しております。
といっても最近部署異動をし、しぇあわふのPRを任されたのですが、これまでバックオフィス業務メインで完全なる非エンジニアのため、「WAFってなにそれ?おいしいの?」という状態からのスタートでした。
今回はそんな私が、エンジニアの川崎先生にWAFについて教わりながら、初心者のみなさまにもわかりやすくWAFの解説記事をお届けします!
佐藤:2018年にさくらインターネットに入社し、現在はビジネスデベロップメント部にてしぇあわふPRや、ImageFluxの企画を担当。
部署異動するまではWAFについて全く未知。
川崎先生:2015年にさくらインターネットにストレージのエンジニアとして入社。
最近はプライベートクラウドやクラウドサービスにも関わるインフラエンジニアで、社内に数人いると言われている情報処理安全確保支援士(登録番号 017210)の1人。
WAFとは?
まずはWAFについて簡単にご説明いたします。
WAF(ワフ)とはセキュリティ対策のことで、Web Application Firewall(ウェブ・アプリケーション・ファイアウォール)の略です。
ホームページなどのWebアプリケーションの保護に特化しています。
ネットショッピングや、企業のお問合せフォームなど、顧客情報やクレジットカード情報に関するデータのやり取りが発生するWebサイトが保護の対象となります。
なぜWAFが必要なのか?
Webサイトは企業のサービスや商品、IRなどの重要な情報や、顧客情報を集めたりするなど、様々な役割を持つ重要なツールです。
ただしWebサイトは一般公開されており誰でもアクセスできるため、脆弱性をついてWebサイトを改ざんしたり、
個人情報などを盗み出すサイバー攻撃の対象になりやすく、Webサイトのセキュリティ対策が求められています。
狙われるのって大企業が多いのでしょうか?
独立行政法人情報処理推進機構(IPA)が今年6月に報告した内容では、中小企業においてもアクセス数や業種など問わず、
例外なくサイバー攻撃を受けていること、また検知や防御などの対策ができていない企業が多いことが報告されています。
攻撃者は無差別に攻撃をしかけているケースもあり、アクセス数や規模で判別はされておりません。
穴がないかとスキャンして、脆弱性があるところを見つけたらついてくるといった攻撃方法になります。
ふむふむ、攻撃者にとって規模は関係なく、脆弱性をついてくるのですね。
例えばセキュリティ対策が不十分である中小企業を踏み台にして、その先の取引先の大企業を狙うということも考えられるんですね……。
どんなWebサイトの攻撃が多いのでしょうか?
Webアプリケーションやソフトウェアの脆弱性を突くものが多く、有名な攻撃だと「SQLインジェクション」や「クロスサイトスクリプティング」(詳細は後述)があります。
昔からあるこのような攻撃は、新たな攻撃手法が出てきた現在でも、変わらず被害を受けることが多いので、対策が必要なのです。
それらを防御できるのがWAFなんですね!
SQLインジェクション
SQLインジェクションとは、アプリケーションのセキュリティ上の不備を意図的に利用し、
アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃です。
クロスサイトスクリプティング
クロスサイトスクリプティング(XSS)とは、攻撃対象のWebサイトに、脆弱性がある掲示板やTwitterなどのSNSのような
Web閲覧者側が制作することのできる動的サイトに対して、悪意のある第三者がそこへ罠を仕掛け、
Webサイトの訪問者の個人情報を盗むなどの被害をもたらす攻撃です。
FW/IPSとの違い
といってもWebサイトのセキュリティ対策として、FW(ファイアーウォール)やIPS(不正侵入防御)をいれておけば大丈夫では?
と思う方もいらっしゃるのではないでしょうか。違いを川崎先生に聞いてみましょう。
FW・IPSとの違いを教えてください!
WAFとFW・IPSについて、どれも「通過させてはいけない通信」を阻止するシステムです。違いとしては、
・FWは一般的にポート番号、IPアドレス、プロトコル、通信方向をベースにフィルタリングをする
・IPSはパケット中身をチェックして、学習データやパターンファイルをもとに不正アクセスを遮断する
・WAFはWebアプリケーションのリクエストに特化しており、パターンファイルをもとにサイトへの攻撃や不正アクセスを遮断するものです。
なるほど、WAFはFWやIPSよりも上位のアプリケーションレベルのセキュリティ対策で、Webアプリケーションに特化しているんですね!
WAF・FW・IPSとそれぞれ防げる攻撃が違うので、用途によって組み合わせて使うのがいいのですね。
WAFのメリット
WAFを導入するメリットはありますか?
万が一に、使用しているWebアプリケーションに脆弱性が見つかった場合でもサイトを保護できる点です。
すぐに脆弱性を修正出来ない場合でも修正されるまでの間にゼロディ攻撃を受けるリスクも減少出来たりします。
脆弱性発見後にすぐ修正ができるとは限らないので、その間の攻撃も防げることができるのは大きいですね。
WAFは、FWやIPSでは防げないWebアプリケーション攻撃を防げるので、
企業のWebサイトや攻撃対象となる問い合わせフォームなどのあるWebサイトでは、重要なセキュリティ対策の1つですね。
クラウド型WAFについて
川崎先生のおかげでWAFについて少しずつわかってきました!
WAFってどんな提供方法があるんでしょう?
WAFには、大きくアプライアンス型とクラウド型の2つがあります。
アプライアンス型は、所有しているWebサーバの前に専用の装置を各自で用意して利用するもので、専有なので利用しているWebアプリケーションに合わせた柔軟なカスタマイズが可能です。
ただし、カスタマイズには専門の技術者が必要だったり、アプライアンス型のWAFは高価なので対象のサーバーが沢山ある場合に向いています。
クラウド型はサービス事業者が用意したWAFを共有で利用するもので、各自で専用の装置を用意する必要もなく、
装置の運用もサービス事業者が行い、ある程度必要な設定がされた状態で提供されていることもあるので、
専門の技術者がいなくても使用することが可能なので、1〜2台程度の少数のサーバがない場合でも気軽に使うことができます。
ただし、サービスの質や機能は提供するベンダーに依存しますし、トラフィック量で課金される場合もあるので、自社のトラフィックを気にする必要もあります。
アプライアンス型・クラウド型とそれぞれメリットとデメリットがあるんですね。
規模や使いたい用途によって検討する必要がありそうですが、クラウド型は導入が早く管理も容易そうですね。
しぇあわふについて
大事なWebサイトを運営するにあたって、WAF導入の必要性がわかってきました!
さくらでもクラウド型WAFサービスの「しぇあわふ」を取り扱ってますよね。
しぇあわふの良さってなんでしょうか?
必要最低限の機能からはじめられて、価格も安価で、導入も簡単なところです。
しぇあわふの特長として、標準サポート・管理機能・オプションはシンプルなので、トラフィック量の少ないWebサイトであれば、コストメリットが出せる可能性があります。
「そこまで機能はいらないが、必要最低限の対策はしたい」といった方や、「Webセキュリティ対策をしないといけないが何から始めたらいいかわからない」という方にも、ぜひ一度お試しいただきたいサービスですね。
しぇあわふ
最後に
WAFについてや必要性、しぇあわふについてお伝えいたしました。
「WAFってこんなメリットがあるんだ」「さくらもWAFを取り扱ってるのね」と言うことが伝われば幸いです。
しぇあわふについて、川崎先生執筆による活用TIPSもありますので、ぜひあわせてご覧ください!
◆お問合せ・機能要望リクエスト
◆しぇあわふ公式Twitter