今のWebサイトは何でも出来ることが多くなっています。例えば、、、
・Webサイトを見て情報収集する
・Webメールを使用する
・SNSで交流する
・ネットショッピングをする 等
いろいろなことが出来るWebサイトのデータを格納している「Webサーバ」は攻撃対象として狙われやすいサーバであるのはご存知だったでしょうか?
じつはWordPress等のCMSに対する攻撃やWebサイトのパスワードリスト攻撃等、Webサイトに対する攻撃は増える一方です。
それに対する対策として、Webサーバに特化したセキュリティ対策を行う「WAF」を導入することでセキュリティ強度を高めることが可能です。
そこで、今回は「WAF」について、紹介していきたいと思います。
WAF(Web Application Firewall)
Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策の一種のことです。
アプリケーションレベルで通信を監視し、通信を制御することができるため、DDos攻撃やSQLインジェクション等のWebアプリケーションの脆弱性を狙った攻撃を防御することができます。
なお、WAFが対応出来る主な攻撃は以下となります。
・DDos攻撃
・SQLインジェクション
・クロスサイトスクリプティング
・ディレクトリトラバーサル
・ブルートフォースアタック
・バッファオーバーフロー
セキュリティ強度を高める方法として、WAFの他にも「ファイアウォール」「IPS/IDS」等の対策方法が存在するため、役割を確認してみましょう。
ネットワークにおいて不正アクセスを防御するセキュリティを指します。
主にIPアドレスやポート番号の情報を基に通信を監視して通信を許可するかどうかを制御しており、内部ネットワークへの侵入を防ぐ役割を担っています。
OSやミドルウェア等のプラットフォームレベルでのセキュリティであり、不正アクセスの監視、攻撃の検知、防御を行います。
また、異常を検知すると管理者へ通知して、万一の際に迅速な対応を行うことを目的として用いられております。
上記のように、昨今はWebサーバに対する攻撃は多様化しているため、ファイアウォールの守備範囲であるIPアドレスやポート番号の情報だけではWebサーバを守ることが難しくなっているため、
WAF、ファイアウォール、IPS/ID、この3つを組み合わせることでセキュリティを網羅的に強化することが可能となります。
WAFの提供企業は最新の攻撃にも迅速に対応する仕組みを整備しており、常に最先端の防御体制でWebサイトを攻撃から守ることが出来ます。
しかし、WAFを使って検知出来る攻撃は「既知の攻撃パターン」のモノが多く、「未知の攻撃を防ぐことが難しい」とされています。
つまり、WAFを導入することで全ての攻撃を防げるわけでは無いということです。
抜本的に攻撃を防ぐためには、Webサーバ内の脆弱性のあるソフトウェアのアップデートを行う等、
Webアプリケーションの脆弱性をなくすことが大切であることを心に留めておきましょう。
それでは実際にWAF導入を検討してみよう!と言ってもWAFの種類は様々、、、
そこで、主なWAFの種類を紹介するので、用途やコスト感等を把握し、今度のセキュリティ対策に役立てていただけると嬉しいです。
防御に必要な専用機器をネットワーク上に設置し、ソフトウェアを組み込んで利用する方法。自社管理となるため、コストは高い。
既存サーバにソフトウェアをインストールする方法。専用機器の設置が不要のため導入コストの削減や短期間での導入が可能。
ネットワークの設定変更を行えば導入できるタイプ。サーバの構築や専用機器の購入等が不要なため、コストが低い。
現在、セキュリティ事業において導入が一番増えているタイプとなります。
今回紹介した「WAF」は実は結構前から耳にすることが多かったワードでした。
以前はSQLのキーワードや記号の単純な組み合わせで対応していたのですが、設定が面倒だったり、誤入力と攻撃の区別がままならない等、いろいろと問題がありました。
ですが、時代と共にハードウェア性能が上がって、複雑なシグネチャを処理する事が出来るようになり、WAFを提供する企業、それを導入する企業が多くなっていることを知りました。
不安を煽るつもりはないのですが、人も「保険に入っておけば良かった、、、」と後に悔いることがあるように、Webサイトも持っているならセキュリティ対策はしておくべきだな、とこの記事を書いていて思います。
未然に防げることは対応していこう!「後悔先に立たず」精神が大切ですね。
WAFについて、「知らなかった」という方にWAFの存在だけでも知って頂けたら幸いです。