WAFで防げない攻撃
Webアプリケーションを守るセキュリティ製品として、多くの攻撃をブロックするWAFですが、決してすべての攻撃を防げるわけではありません。ここでは、WAFで防げない攻撃を紹介していきます。
ネットワークに対する標的型攻撃
まず一つ目にあげられるのが、ネットワーク層に対する攻撃です。WAFは「Web Application Firewall」という名前の通り、Webアプリケーションに対する攻撃を中心に対応するセキュリティ製品です。
そのため、基本的にファイアウォールが守備範囲としているネットワーク層に対する攻撃には対応できません。
標的型攻撃についてさらに詳しく知りたい方は以下の記事をご覧ください。
OS・ミドルウェアへの標的型攻撃
ネットワーク層だけでなく、基本的に、OSやミドルウェアに対する攻撃もWAFのみでは守り切れないと言えるでしょう。OSやミドルウエアに対する攻撃にも対処できるようにするならば、WAFにIPSを組み合わせるのが効果的です。
IPSの概要についてさらに知りたい方は以下の記事を参考にしてみてください。
botによる不正アクセス
最後にあげられるのが、botによる不正アクセスです。botは同じ作業を繰り返すプログラムのことで、他のWebサイトで使われているIDとパスワードの組み合わせを利用して、ログイン作業を繰り返します。
そのため、他のサイトと自社サイトで同じID/パスワードを利用しているユーザーは個人情報を抜き取られ、クレジットカードを利用されたり、ポイントを盗まれたりといった金銭的被害が発生しています。
botによる不正アクセスはWebサイトの脆弱性につけこんだものではないため、脆弱性に対して防御を行うWAFの守備範囲ではないのです。
このように、WAFは万能ではありません。以下の記事にはWAFのデメリットを紹介していますので、客観的に判断する材料にしてみてください。
WAFで防御可能な攻撃とは
WAFで防げない攻撃について説明してきました。では反対に、WAFで防げる攻撃はどんなものなのでしょうか。
Webアプリケーションの脆弱性を狙った攻撃
WAFが効果を発揮する攻撃はWebアプリケーションの脆弱性を狙ったものです。Webアプリケーションはどんなに修正を繰り返しても脆弱性を完全に無くすのは難しいため、対策が必要ですが、ファイアウォールやIPSでは防御できませんでした。
そこでWebアプリの脆弱性を防御する方法として注目されているのがWAFです。WAFはファイアウォールと違い、通信データの中身もアプリケーションレベルで解析できるという特徴があります。Webアプリケーションの前面に配置され、不正だと判断した通信は全てシャットアウトします。
Webアプリケーション自体に脆弱性があったとしても、WAFなら攻撃を防ぐことが可能です。
ゼロデイ攻撃
WAFはゼロデイ攻撃に対応できます。ゼロデイ攻撃は新たな脆弱性が発見された際、それに対する処置が行われる前に攻撃するというものです。また、暗号化された通信などにも対処することが可能です。
WAFとゼロデイ攻撃の関係性については以下の記事を参考にしてみてください。
DDoS攻撃
DDoS(Distributed Denial of Service)攻撃とは、大量のアクセスを一斉に送りつけてサーバやネットワークを過負荷にし、Webサイトやサービスを一時的に利用不能にする攻撃です。アクセス元が複数存在するため、単純なアクセス制限では対処が難しい点が特徴です。
WAFは主にWebアプリケーション層への攻撃を防御する製品ですが、近年ではDDoS攻撃に対する軽減機能を備えたWAFも増えています。ただし、大規模なDDoS攻撃に対しては、WAF単体では完全な防御が難しいため、DDoS専用の対策サービス(CDNやDDoSプロテクション)との併用が推奨されます。
DDoS攻撃の対策について詳しく知りたい方は、以下の記事も参考にしてください。
SSLで防げない攻撃
WAFはSSLでは防げないWebサイト自体への攻撃を防ぐことができます。WAFとSSLは攻撃から守る対象が違います。
WAFがWebサーバやWebサイト自体を保護するのに特化しているのに対し、SSLはサイトを訪問したユーザーを保護することに特化しているのです。ユーザーがサイトに入力した個人情報を暗号化し第三者に盗まれることを防ぐ役割があります。
そのため、SSLではWebサイト自体を攻撃から守ることはできませんので、サイトを守るにはWAFの導入が欠かせません。
WAFとSSLの関係性について知りたい方は以下の記事をご覧ください。
このほかにも、SQLインジェクションや、クロスサイトスクリプティングといった攻撃にも対応していますので、以下の記事を参考にしてみてください。
WAF利用のポイント
続いてはWAFを使う際のポイントについてご説明します。
多層防御する
よりサイトの安全性を高めるためには、複数のセキュリティ対策を組み合わせて多層防御する必要があります。複数のシステムを同時に運用することになるため、コストの負担が増加する点や運用の手間がかかる点に注意しておくことが大切です。
多層防御についてさらに知りたいという方は以下の記事をご覧ください。
導入形態をじっくり検討する
WAFの導入形態を検討し、自社にあったものを導入することがとても重要です。WAFにはアプライアンス型・ソフトウェア型・クラウド型の3種類があり、それぞれにメリットとデメリットがあります。クラウド型が現在では一般的となっており、コストや運用の手間がかからず、手軽に運用できます。
クラウド型のWAFについて興味を持った方は以下の記事を参考にしてみてください。
まとめ
Webアプリケーションのセキュリティ対策として多くの企業に導入されているWAFですが、WAFだけでは防げない攻撃もあります。自社サイトや訪問するユーザーをサイバー攻撃から守るためにも、用途に合わせて複数のセキュリティシステムを導入することが大切です。
まずはWAF製品について理解し、自社にあった製品を導入したうえで、万全なセキュリティ体制の構築を考えてみてはいかがでしょうか。
