WAFとは?

WAFとは、Webサーバの前面に配置して通信を解析し、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。ネットワークF/WやIPS/IDSでは対応できない攻撃を検知・遮断することができます。
セキュリティ意識の高い企業では以前から導入されていた“WAF(ワフ)”。
その有用性の反面、導入コストと技術的な扱いの難しさが普及を妨げる大きな要因となっていましたが、クラウド型WAFの登場により、状況が一変。WAFは現在では非常に実用性の高い手軽なWebサイト防御手段となりました。

WAFの役割=Webアプリケーションに潜む脆弱性の“無害化”

“WAF”(Web Application Firewall)とは、文字通りWebサイト上のアプリケーションに特化したファイアウォールです。主に、ユーザーからの入力を受け付けたり、リクエストに応じて動的なページを生成したりするタイプのWebサイトを不正な攻撃から守る役割を果たします。一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで解析できるのが特徴です。

WAFは、Webサイト上のアプリケーション自体にセキュリティ上の問題があってもそれを無害化できるという利便性の高さと、ISMSの実現やPCIDSSへの準拠といった企業の情報戦略面のニーズから、以前よりその導入意義が注目されてきました。

初期のWAFは、導入作業の難しさや導入コストの高さ、運用にセキュリティの専門知識が必要なことなどから、限られた企業だけが利用できるソリューションという面が強かったのですが、その後、従来のアプライアンス/ソフトウェア型WAFに加え、運用不要で安価なクラウド型WAFが登場したことで、現在ではWebサイト防御の最も現実的な選択肢の一つとなっています。

【参考】従来型WAFについて

従来型WAFの導入イメージ

従来の一般的なWAFソリューションは、ハードウェア上のアプライアンス、またはサーバに組み込むソフトウェアの形で提供され、お客様データセンターでの自社運用を前提とするものでした。

WAF導入のイメージ

 ※その他、Webアプリケーションサーバのモジュールとして使用するタイプなども存在します。

従来型WAFの課題と限界

これまでのWAFソリューションにはいくつかの大きな問題点がありました。

【1】 導入費用の高さ

  • 通常、百数十万円~数百万円の初期費用と、年間数十万円以上のサポート費が必要
  • 規模が大きくないWebサイトには価格的な問題で導入が難しい

【2】 導入や撤去の敷居の高さ

  • 導入/撤去の際に、Webサイトが提供するサービスに停止時間が生じる
  • サーバやネットワークの複雑な設定変更作業が必要となり、エンジニアへの負担が大きい
  • 導入コストが高く、導入/撤去作業にも時間がかかるため、短期間の利用を検討しづらい

【3】 ホワイトリスト型の防御機能

  • ホワイトリスト型の防御機能を使うために高コストのチューニング作業が必要
  • アプリケーションの改修が発生するたびにチューニング作業が発生
  • そもそもホワイトリスト型の防御機能がうまく動作しない場合も

【4】 セキュリティエンジニア配置のコスト

  • 上記の問題点をカバーし、安定したWAF運用を維持するためには、セキュリティエンジニアの確保が不可避

このような限界があることで、WAF自体のコンセプトは非常に優れたものでありながらも、実際にはそれほど普及に至らなかったというのが現状です。