WAF とは何か？サイバー攻撃から自社を守る高性能なセキュリティ対策を徹底解説！

WAF という言葉をご存知でしょうか？ WAF は Web Application Firewall の略であり、 Web アプリケーションを脅威から守るセキュリティ対策の一つです。昨今、企業を狙うサイバー攻撃は高度化しているため、 WAF のようなツールを使って万全な対策を講じておくことが重要になります。

そこで本記事では、 WAF の概要や機能、種類、防ぐことができるサイバー攻撃など、あらゆる観点から徹底的に解説します。自社のセキュリティ対策を検討している方は、ぜひ最後までご覧ください。

WAF とは？

概要

WAF とは Web Application Firewall を略した言葉であり、 Web アプリケーションの脆弱性を狙ったサイバー攻撃を防ぐためのセキュリティ対策の一つです。 WAF はあらゆる通信の調査・解析を行い、攻撃と判断した通信を遮断することで Web サイトを保護します。

EC サイトに代表される一般的な Web サイトは、誰でもアクセスができるように一般公開されているため、サイバー攻撃の対象となりやすい傾向にあります。また、 Web サイトの中で特に狙われやすいのが Web アプリケーションの脆弱性（想定外の挙動を引き起こすソフトウェアのバグなどを指す言葉）だと言われています。

加えて、企業を狙うサイバー攻撃は IT の進化とともに高度化かつ多様化しており、その脅威は益々大きくなっています。このような背景から、自社をサイバー攻撃から保護するための WAF の必要性は高まっていると言えるでしょう。

仕組み

WAF では、シグネチャ（アクセスのパターンを記録しているもの）を使ってサイバー攻撃を検知します。このシグネチャによって Web アプリケーションへのアクセスパターンを照合し、通信可否の判断を行う仕組みとなっています。

さらに、シグネチャを定義するための方法は「ブラックリスト型」と「ホワイトリスト型」の2つに分類されます。

以下、それぞれの特徴を表にまとめます。

ブラックリスト型は「拒否する通信」をシグネチャに定義し、その内容と一致した通信を拒否します。複数の Web アプリケーションに適用可能であり、既知の攻撃を確実に防ぐことができます。ただし、未知の攻撃に対応することはできず、新しい攻撃を検知するにはシグネチャの更新が必要になります。

一方、ホワイトリスト型は「許可する通信」をシグネチャに定義し、その内容と一致しない通信をすべて拒否します。そのため、未知の攻撃を防ぐことができる点は大きなメリットだと言えます。ただし、許可する通信を定義するために Webアプリケーションごとにホワイトリストが必要になるため、運用工数がかかる点はデメリットになります。

このように、ブラックリスト型とホワイトリスト型は異なる特徴を持っているため、自社の状況に応じて適切なものを選択することが大切です。

ファイアウォールとの違い

WAF と似た言葉にファイアウォールがありますが、両者は明確に異なるものです。ファイアウォールはネットワーク層を保護するためのセキュリティ対策であり、IP アドレスの通信やインターネット回線を制限し、外部から社内ネットワークへの侵入を防ぐものです。

ファイアウォールはあくまでネットワーク層の防御がメインの役割なので、 WAF のように Web アプリケーションの通信の中身をチェックすることはできません。一方、 WAF は Web アプリケーションの通信を細かく解析し、悪意のある攻撃を防ぐことができます。

このように、ファイアウォールと WAF は保護できる範囲が異なるため、自社がセキュリティを強化したい領域によって使い分ける必要があります。安全性を極限まで高めたい企業においては、ファイアウォールと WAF をどちらも導入しているケースは珍しくありません。

IPS や IDS との違い

ファイアウォールと同様、 IPS （ Intrusion Prevention System ：不正侵入防止システム）や IDS （ Intrusion Detection System ：不正侵入検知システム）も WAF と混同されやすいセキュリティ対策です。

IPS や IDS が保護する対象は Web アプリケーションではなく、 Web サーバー や OS であるため、ファイアウォールと同じように WAF とは異なる領域を守るためのセキュリティツールです。

なお、 IPS と IDS は機能面での違いが存在し、 IPS は不正侵入の防御が主な役割であるのに対して、 IDS は不正侵入を検知して管理者に通知することが主な役割となっています。

WAF の機能

WAF には Web アプリケーションを脅威から守るための様々な機能が搭載されています。

以下、代表的な機能をいくつかご紹介します。

外部からのアクセス監視・制御

外部からのアクセス監視および制御は WAF の代表的な機能の一つです。シグネチャをもとに不正なアクセスか否かを判断し、仮に不正アクセスやサイバー攻撃を検知した場合は、ブロックして Web アプリケーションを脅威から守ります。

ログ・レポート

WAF は検知した不正アクセスを記録し、ユーザーが閲覧可能な状態に整理できるため、このレポートをチェック・分析することで、自社に対するサイバー攻撃の状況を見える化できます。例えば、攻撃の種類や傾向を集計したり、攻撃回数が多い攻撃者を表示するなどの活用法が考えられます。

IPアドレス拒否

WAF には、特定の IP アドレスからの通信を拒否する機能が備わっています。そのため、攻撃者の IP アドレスが特定できれば、高い精度で不正アクセスやサイバー攻撃を防ぐことができます。前項でご説明したログやレポートの機能と併用することで、自社のセキュリティを大きく強化することが可能です。

WAF で防ぐことができるサイバー攻撃

WAF を導入することで、様々なサイバー攻撃を防ぐことができます。

防御可能なサイバー攻撃の種類は多岐にわたりますが、本章ではその中から代表的なものを抜粋してご紹介します。

DDoS 攻撃

DDoS 攻撃とは「 Distributed Denial of Service attack 」の略であり、日本語では「分散型サービス拒否攻撃」と呼ばれています。これは複数のコンピューターから一斉に Dos 攻撃を仕掛けるものであり、とても厄介なサイバー攻撃の一種です。

なお、 DoS 攻撃とはターゲットとなる Web サイトやサーバーに対して大量のデータを送信する攻撃であり、受信側のトラフィックを異常に増大させることで、負荷に耐えられなくなった Web サイトやサーバーをダウンさせるものです。

DDoS 攻撃に関しては以下の記事で詳しく解説しています。
DDos 攻撃とは何か？自社のセキュリティを強化するための対策方法を徹底解説！

SQL インジェクション

SQL とはデータベースを操作するためのデータベース言語の一つであり、インジェクションは英単語の「 injection ：注入」を意味しています。つまり、 SQL インジェクションとは、管理サーバーのデータベースを参照することで本来の命令とは異なる SQL 文を Web サイトへ送信するサイバー攻撃であり、機密情報の漏洩など様々なリスクが存在します。

OS コマンドインジェクション

OS コマンドインジェクションは OS コマンドを含んだ入力データを送信することで、サーバーリソースに対して不正アクセスを行うサイバー攻撃です。本来は想定されていない命令文が強制的に実行されるため、内容によっては大きな被害を受けるリスクがあります。

XSS （クロスサイトスクリプティング）

XSS は脆弱性が認められる Web サイトへのアクセスを誘導することで、本来想定していない機能（スクリプトの実行など）をブラウザ側で実行させるサイバー攻撃です。これにより、 Cookie のセッション情報が盗まれるなど、企業の重要情報が漏洩するリスクがあります。

CSRF （クロスサイトリクエストフォージェリ）

CSRF は攻撃対象の Web サイトにおける投稿や登録について、正しい手順を踏まずに別サイトからクライアントに実行させるサイバー攻撃です。 CSRF の対象となった Web サイトは、なりすまし投稿や情報改ざん、サービス悪用など、様々なリスクを負うことになります。

WAF の種類

一口に WAF といっても、実は多くの種類が存在します。それぞれ特徴が異なるため、正しく違いを理解しておきましょう。

アプライアンス型 WAF

アプライアンス型 WAF は組織のネットワーク内に WAF の専用機器を設置する方式のサービスです。アプライアンス型の他に「ゲートウェイ型」や「ネットワーク型」と呼ばれる場合もあります。

専用機器は Web サーバーから独立して動作するため、サーバー自体には負荷をかけずに運用できます。また、専用機器が独立して存在しているため、性能や各種設定などを柔軟に変更できる点がメリットだと言えます。

ただし、アプライアンス型は導入コストが最も高額なサービス形態になります。さらに、柔軟かつ強固なセキュリティを実現できる反面、運用において専門知識が必要になるため、担当者の負荷が大きくなる点はデメリットになります。

ソフトウェア型 WAF

ソフトウェア型 WAF は、保護対象の Web サーバーに WAF のソフトウェアをインストールする方式のサービスです。ソフトウェア型の他に「ホスト型」と呼ばれる場合もあります。

ソフトウェア型は WAF の専用機器を利用せずにソフトウェアで対応するため、アプライアンス型と比較すれば低コストで使うことができ、短期間で導入可能な点はメリットだと言えるでしょう。

ただし、 Web サーバーの数だけソフトウェアが必要となるため、保護対象のサーバー台数が多い場合はコストが跳ね上がります。また、ソフトウェア型は自社で WAF を運用するサービス形態であるため、人員やサポート体制を整備する必要がある点はデメリットになります。

クラウド型 WAF

クラウド型 WAF はインターネット経由（クラウド）で WAF の機能を利用する方式のサービスです。クラウド型の他に「サービス型」と呼ばれる場合もあります。

クラウド型の大きなメリットとして、すべての WAF の中で最も導入コストを抑えられる点が挙げられます。クラウドで提供されるため専用機器は必要ありませんし、かかる費用は通信量や監視対象の URL 数に応じて変動するため、自社の状況に合わせて調整することが可能です。

ただし、クラウド型は完成されているサービスを利用するため、アプライアンス型などと比較すると、カスタマイズ性の面で見劣りする点は覚えておきましょう。

まとめ

以下、 WAF の種類ごとに特徴をまとめました。

それぞれ特徴やメリット・デメリットが異なるため、自社の状況や予算に応じて、最適なサービスを選択することが大切です。

WAF 導入が必要な会社とサービス

WAF 導入が必要な会社

Web アプリケーションに力を入れている会社は WAF の導入を検討してください。ほとんどの企業が自社の Web サイトを持っていると思いますが、攻撃者が最も狙ってくるポイントが Web アプリケーションの脆弱性です。

そのため、 Web アプリケーションを安全に守るためには、 WAF を使って万全な対策を講じておくことが大切です。また、 Web アプリケーションに注力していない場合でも、予算に余裕があれば WAF を導入することで、自社の Web サイトなどをサイバー攻撃から保護することができます。

WAF 導入が必要なサービス

前述した通り、 WAF の導入が必要になるサービスの代表的な例が Web アプリケーションです。 Web アプリケーションは一般的なスマートフォンのアプリケーションとは異なり、 Web サーバー上で動作するものです。

例えば、 Twitter や Facebook などの SNS や、 Skype や ChatWork などのツールが挙げられます。 WAF を導入することで、これらの Web アプリケーションを保護し、安全な運用を実現することができます。

WAF を検討するならクラウド型 WAFがオススメ

市場には数多くの WAF サービスが存在しますが、コストをかけずに自社のセキュリティを強化するにはクラウド型 WAF の導入がオススメです。状況に応じて費用を調整することができますし、運用工数もかからないので自社社員に大きな負担を掛けることもありません。

ただし、クラウド型の WAF はサービスによって性能やコストパフォーマンスが大きく異なるため、慎重にサービスを選定しなければなりません。サービス選択における判断基準は多岐にわたりますが、サービス自体の信頼性や使いやすさは重要なポイントです。信頼できないサービスをセキュリティ対策としては利用できませんし、生産性の観点では使いやすいサービスを選ぶ必要があります。

このような点を踏まえると、 WAF を導入するのであれば Google Cloud （GCP）がオススメのサービスと言えます。以下、 Google Cloud （GCP）の概要やオススメな理由などを詳しく解説します。

Google Cloud （GCP）とは？

Google Cloud (GCP) は Google が提供しているパブリッククラウドサービスです。同じ種別のサービスとしては、 Microsoft 提供の Azure や Amazon 提供の AWS などが挙げられます。

Google Cloud (GCP) は 「 Gmail 」や「 YouTube 」などの有名サービスで実際に動いているプラットフォーム技術をそのまま使用でき、非常に高いインフラ性能を誇ります。コンピューティングやストレージをはじめ、様々な機能が搭載されています。

この Google Cloud （GCP）には、 Cloud Armor という高性能なクラウド型 WAF サービスが内包されており、自社のセキュリティ強化に大きく寄与します。 Cloud Armor については次項で詳しくご紹介します。

Google Cloud （GCP）については、以下の記事で詳しく解説しています。
クラウド市場が急成長中？数あるサービスの中でGCPが人気の理由5選！

Cloud Armor とは？

Cloud Armor は様々な攻撃からアプリケーションを守る WAF の役割を持つサービスであり、 DDoS 攻撃に対する防御や IP アドレスによる通信制限、 OWASP の ModSecurity に基づいた WAF ルール等のセキュリティ機能を有効化することができます。

OWASP とは Open Web Application Security Project の略であり、ソフトウェアや Web アプリケーションのセキュリティ分野の研究やガイドラインの作成、脆弱性診断ツールの開発などを行なっているコミュニティの名称です。

また、防御するだけではなく、どのような攻撃が行われたのかをテレメトリとして収集し、分析することが可能です。収集したデータは Security Command Center へ集約できるため、さまざまな情報を一元的に確認することができます。

Cloud Armor がオススメな理由

Cloud Armor がオススメな理由として、 Google の強固なインフラと万全なサポート体制が挙げられます。例えば、 WAF で防御できる代表的なサイバー攻撃である「 DDos 攻撃」を例に取ってみましょう。

Google の DDos 防御担当である Damian Menscher 博士は「最大規模の攻撃を受け止めるには、50万本の YouTube 動画を同時に、かつ HD 品質で視聴するのと同じ帯域幅が必要になる」と語っています。

つまり、高度化し続けるサイバー攻撃に備えるためには、強固なネットワーク帯域をインフラとして整備しておく必要があり、その意味では世界中で膨大なユーザーにサービスを提供している Google は高い信頼性を持っていると言えます。

また、今年5月に開催された Google の公式イベント「 Google Cloud Day : Digital ’21 」では、 Cloud Armor に関するアップデートが発表されました。 Cloud Armor Managed Protection Plus というサブスクリプションサービスがリリースされたのです。

これまでのサービスでは DDoS 攻撃を受けた場合、検知までは Cloud Armor 側で実施するものの、実際のトラフィック分析や対策検討、ルール適応についてはお客様側で実施する必要がありましたが、これには高いネットワーク、およびセキュリティスキルが必要となっていました。

しかし、 Cloud Armor Managed Protection Plus が登場したことで、あらゆる場面において Google の DDoS サポートチームのサポートを受けられるようになりました。、実際のトラフィック分析や、それに対する適切なルール内容のアドバイスを受けることができるため、高いスキルがなくとも Cloud Armor を運用することができます。

また、今回のアップデートにより Cloud Armor Adaptive Protection というサービスも追加されました。これは、トラフィックを AI で機械学習させることで AI 側が異常通信を検知、適切なルールを提案してくれる、というものです。

導入後、まずはノーマルな状態のトラフィックを分析、ベースラインを作成した上で、通常と違う通信状態を確認した場合、アラートを上げ、脅威内容や追加すべき新たな対策についてリコメンドしてくれます。専門家のアドバイスを得られるという意味では Managed Protection Plus と同じですが、 AI を活用することで人間の目ではわからない兆候などを把握することが可能になります。

このように、 Google Cloud （GCP）の Cloud Armor を活用することで、自社の工数をかけることなく、高品質な DDos 対策を実現できます。さらに、 Google の AI を利用した最先端のセキュリティ対策を行える点も大きなメリットになります。

DDos 攻撃をはじめとしたサイバー攻撃を防ぐためには、豊富なノウハウを持ち合わせた実績のある企業が提供しているサービスを選ぶべきです。その観点では、世界を牽引する IT 企業である Google は信頼に値する存在だと言えるでしょう。

あらゆるセキュリティ対策を一気通貫で実現

Google Cloud （GCP）は Cloud Armor のような WAF 機能だけではなく、様々なシーンのセキュリティ対策に活用できる多種多様なツールを提供しています。

ほんの一部ですが、例えば以下のようなサービスが挙げられます。

• Managed Certificates （電子証明書の管理）
• reCAPTCHA Enterprise　（bot 攻撃への対策）
• Web Security Scanner （セキュリティの脆弱性を可視化）

このように、 Google Cloud （GCP）には様々なセキュリティ機能が内包されています。つまり、 Google Cloud （GCP）を導入することで、自社のセキュリティを一元的に強化できるということです。

用途ごとに別々のセキュリティツールを導入する場合、管理が煩雑になってコストも跳ね上がるため、 Google Cloud （GCP）という一つのサービスで一気通貫したセキュリティ対策を実現できる点は、企業にとって大きなメリットになります。

Google Cloud （GCP）を活用したセキュリティ対策に関しては以下の記事が参考になります。
Web アプリケーションを脅威から守る！ Google Cloud （GCP）を活用したセキュリティ対策を一挙に紹介

クラウドでセキュリティ対策とコンプライアンスを実現する方法について理解を深めたい方は以下の記事がオススメです。
企業における重要システムのセキュリティ対策とコンプライアンスをクラウド活用で実現！

まとめ

本記事では、 WAF の概要や機能、種類、防ぐことができるサイバー攻撃まで、あらゆる観点から一挙にご紹介しました。

昨今、 Web アプリケーションの脆弱性を狙ったサイバー攻撃は高度化かつ多様化しており、 WAF の必要性はさらに高まっています。万が一、自社がサイバー攻撃の被害を受けた場合、情報漏洩など取り返しのつかない事態に陥るリスクがあります。

とはいえ、いきなり多額のコストを投じるのは難しいと思いますので、まずはコストを抑えられるクラウド型 WAF を検討してください。状況に応じて費用を調整することができますし、運用工数もかからないので自社社員に大きな負担を掛けない点も嬉しいポイントです。

クラウド型の WAF も様々なサービスがありますが、導入を検討するなら Google Cloud （GCP）がオススメです。同サービスに内包されている Cloud Armor を活用することで、自社の工数をかけることなく、安全にサイバー攻撃に備えることができます。

Cloud Armor は Google の強固なインフラをバックボーンとしているため、とても信頼性の高いサービスですし、 Google Cloud （GCP）は他にも様々なセキュリティ対策サービスを提供しているため、自社のセキュリティ強化をあらゆる観点から一気通貫で実現することができます。

そして、 Google Cloud （GCP）を契約するのであれば、トップゲートがオススメです。トップゲート経由で契約することで

• Google Cloud （GCP）の利用料金が3% OFF
• クレジットカード不要で請求書払いが可能
• 導入後サポートが充実

など、様々なメリットを享受することができます。

本記事を参考にして、ぜひ Google Cloud （GCP）の導入を検討してみてはいかがでしょうか?

導入を検討する

弊社トップゲートでは、専門的な知見を活かし、

• Google Cloud (GCP）支払い代行
• システム構築からアプリケーション開発
• Google Cloud (GCP）運用サポート
• Google Cloud (GCP）に関する技術サポート、コンサルティング

など幅広くあなたのビジネスを加速させるためにサポートをワンストップで対応することが可能です。

Google Workspace（旧G Suite）に関しても、実績に裏付けられた技術力やさまざまな導入支援実績があります。あなたの状況に最適な利用方法の提案から運用のサポートまでのあなたに寄り添ったサポートを実現します！

Google Cloud (GCP）、またはGoogle Workspace（旧G Suite）の導入をご検討をされている方はお気軽にお問い合わせください。

お問い合わせする

メール登録者数3万件！TOPGATE MAGAZINE大好評配信中！
Google Cloud（GCP）、Google Workspace（旧G Suite） 、TOPGATEの最新情報が満載！

メルマガ登録はこちら