WAFとは何かを専門家がわかりやすく解説、主要11社比較、導入メリットや他対策との違いを解説

WAFとは何か

　WAF（Web Application Firewall）とは、Webアプリケーションの脆弱性を狙ったサイバー攻撃からWebサイトを防御する有効なセキュリティ対策の一つ。ネットワークからWebサイトへ送られてくる通信を解析、「攻撃」と判断した場合はその通信を遮断する。Webサイトの中でも、ユーザーからの入力を受け付けたり、リクエストに応じて動的にページを生成したりするサイトの保護に適した対策方法として知られる。

　Webアプリケーションの脆弱性は、サイバー攻撃を受けやすい。Webアプリケーションの開発時に脆弱性対策を行い、脆弱性診断も実施して問題部分の洗い出しと対策を確実に行うことで、サイバー攻撃を防御できる。しかし、Webアプリケーションを支えるミドルウェア（ApacheやStrutsなど）に脆弱性が発見された場合や、何らかの事情ですぐに脆弱性対策を行えないWebアプリケーションがある場合など、脆弱性を突かれる「スキ」は100％防げるとは言い切れない。ECサイトなどのようにユーザーからの入力を受け付けるWebサイトを運営する場合、WAFは有効なセキュリティ対策の1つである。

ファイアウォールやIPS／IDSとの違い

　WAFは、ファイアウォールやIPS／IDS（不正侵入検知／防御システム）とは防御する層が異なる。その違いは以下の図の通りだ。


　ファイアウォールは、ネットワーク層でのセキュリティ対策だ。送信元のIPアドレスやポート番号などを確認して不正な通信を遮断する。しかし、正常なポート番号を通過した通信の内容までは確認しない。


　一方、IPS／IDSは、プラットフォームレベルのサイバー攻撃に対応するセキュリティ対策だ。OSやミドルウェアの脆弱性を悪用した攻撃やファイル共有サービスへの攻撃などはIPS／IDSの対応範囲である。

　そしてWAFは、ネットワーク層やプラットフォームレベルのセキュリティ対策をくぐり抜け、アプリケーション層にまで達したサイバー攻撃に対処。Webアプリケーションの通信内容をチェックして、整合性の取れたデータが送信されているかどうかチェックする。

　このように、ファイアウォール・IPS／IDS・WAFはそれぞれに守備範囲が異なる。攻撃の種類が多様化・巧妙化する昨今、セキュリティを高めるためには多層防御が求められることから、それぞれの対策を組み合わせる必要がある。

WAFの導入メリット4点

　WAFの導入メリットは、次の4点だ。順番に解説しよう。

Webアプリケーションへの攻撃を防御できる
　Webサイトは、常に外部に公開されているためサイバー攻撃にさらされやすい。ECサイトやインターネットバンキングなど、特にお金に絡むWebサイトは、常に攻撃の危険が付きまとう。

　Webアプリケーションの脆弱性に対する攻撃を防御するセキュリティ製品は、WAFが適している。ファイアウォールやIDS/IPSなど他のセキュリティ対策では防御できない部分をガードできる点は、WAFを導入する最大のメリットだ。

脆弱性の修正が困難な場合の暫定対策
　Webアプリケーションの脆弱性と対策方法は、そもそも開発時に脆弱性対策を行うことがもっとも重要である。しかし、脆弱性が残ってしまう場合は、脆弱性発見後に修正モジュールを組み入れるなどして対応する。しかし、状況によっては、Webアプリケーションの脆弱性をすぐに修正できない場合もある。そのような場合の暫定対策としてもWAFは利用可能だ。

　「自社のWebサイトは、常に脆弱性対策をしているから大丈夫」と思っていても、油断はできない。現在は脆弱性がなくても、ミドルウェアに未知の脆弱性が見つかるリスクをゼロにすることは難しい。発見されたミドルウェアの脆弱性はすぐに拡散され、「ゼロデイ攻撃」の標的になり得る。

脆弱性対策の均質化による運用負荷の軽減
　複数のWebサイトを運営している場合や、複数の会社がWebアプリケーションを開発している場合、各Webサイトで脆弱性対策の品質にばらつきが出る可能性がある。WAFを導入すれば、脆弱性対策にばらつきがあっても、関係なく同じレベルで複数のWebサイトをある程度防御することは可能だ。ただ、WAFでも防御できない脆弱性もあるため、本来はセキュアなWebアプリケーションを開発するための基準や手順を整備し、開発会社による品質のばらつきを防ぐよう留意したい。

サイバー攻撃を受けた際の緊急対応にも使える場合がある
　サイバー攻撃を受けた場合の緊急対策としてもWAFは役に立つ。サイバー攻撃を受けてから改修が完了するまでWebサイトを停止していると、販売機会の喪失など、さまざまな弊害が起こりかねない。しかし、その脆弱性に対する攻撃がWAFで防げることが確実な場合は、WAFを暫定対策として導入することで、被害の拡大を防ぎ、より早いWebサイト復旧をサポートすることができる。

WAFの主要ベンダー11社とは

　WAFのソリューションを手がけるベンダーは数多くいるが、米ガートナーの「Magic Quadrant for Web Application Firewalls」によれば、以下のような企業が主要企業となる。

ポジション	ベンダー名
リーダー	Akamai
	Imperva
ヴィジョナリー	Radware
	Signal Sciences
チャレンジャー	Cloudflare
	F5
	Fortinet
	Barracuda
ニッチプレイヤー	Amazon Web Services
	Microsoft

　なお、なお、ミック経済研究所が調査した「国内クラウド型WAF市場のベンダー別売上金額」によれば、日本国内ではセキュアスカイ・テクノロジーの「Scutum」がシェアトップだった。

【次ページ】WAFで防御できるサイバー攻撃の種類