Edgio Logo

Edgio Blog

WAFとIDS・IPSとの違いは?簡単に解説

近年ウェブサイトやウェブアプリを利用する機会が増え、それと同時に脆弱性を利用しようとするサイバー攻撃も日々増えています。それに対応すべく、WAF(Web Application Firewall)を導入している企業も少なくありません。しかし一方で、「会社のシステムにはFW(ファイアウォール)を設置済みだから必要ない」「すでにIPS(Intrusion Prevention System、侵入検知システム)・IDS(Intrusion Detection System、侵入防御システム)が入っているから大丈夫」と考えているシステム担当者もいるのではないでしょうか。 でも、その考えは誤っています。WAF、IDS・IPS、FWは、それぞれの役割から、まったく異なるセキュリティソリューションだからです。  

WAFとIDS・IPSとの違い

WAF、IDS・IPS、そしてFWも基本的には「外部からの不正なアクセスや攻撃に対応するソリューション」であることは同じです。しかし、防御の対象がそれぞれ異なります。そのため、すでにIDS・IPS、FWがある環境においても、「Eコマースをビジネスとしており、自社でウェブサイトを運営している」「リモートワーク中の従業員向けにウェブアプリを提供している」などウェブサイトやウェブアプリを日常的に活用している環境ならば、積極的にWAFを導入すべきと言えます。 WAF 、IDS、IPS、FWが担当するレイヤ  

WAFの防御の対象

WAFの防御の対象は公開ウェブサーバーで、ウェブサイトやウェブアプリに対する攻撃の防御を目的としたソリューションです。HTTP通信やHTTPS通信の内容を監視し、必要に応じて保護します。ウェブサイトやウェブアプリに脆弱性が潜んでいたとしても、WAFがあれば対処できます。 WAFの防御の対象は、OSI参照モデルでいうレイヤ7(アプリケーション層)のうちのウェブアプリに関する部分です。加えて、例えばウェブサーバーがインストールされたOSのコマンドをWebサイトを経由して不正に実行する「OSコマンドインジェクション」のように、攻撃内容によっては下位のレイヤに該当する事柄も防御の対象となります。具体的には、以下のサービスや攻撃が該当します。  

保護するプロトコル・ツール

  • HTTP
  • HTTPS
  • Javascript
  • Ajax
  • ActiveX
 

対応する攻撃

  • OSコマンドインジェクション
  • クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • SQLインジェクション
  • ディレクトリトラバーサル(パストラバーサル)
  • HTTPヘッダインジェクション
  • ブルートフォース攻撃・逆ブルートフォース攻撃
  • パスワードリスト攻撃(リスト型攻撃)
  • DoS/DDoS攻撃(※)
※WAFの機能によっては対応できない場合があります。  

IDS・IPSの防御の対象

IDS・IPS の防御の対象はDMZにあるサーバー群または社内システムで、ともにネットワーク上の通信を監視するソリューションです。IDSは「侵入検知システム」と呼ばれ、不正アクセスを検知するだけでなく、パケットの内容を監視して不審な通信を検知しシステム管理者等に通知する機能を持っています。一方、IPSは「侵入防御システム」と呼ばれ、IDSの機能に加え、不正アクセスや不審な通信を検知するとあらかじめ設定されたルールに従い自動的に遮断する役割を担っています。 IDS・IPSの防御の対象は、OSI参照モデルでいうレイヤ3(ネットワーク層)およびレイヤ4(トランスポート層)にあたる部分です。具体的には、以下のサービス・プロトコルが該当します。  

監視するサービス・プロトコル

  • DNS
  • SMTP 
  • FTP
  • RDP
  • TELNET
  • SSH
 

対応する攻撃

  • バッファオーバーフロー攻撃(BOF)
  • SYN Flood攻撃
  • DoS/DDoS攻撃
  • 不正なプログラムの設置(マルウェア、トロイの木馬など)
 

FWの防御の対象

FWの防御の対象は、DMZにあるサーバー群または社内システムです。OSI参照モデルでいうレイヤ2(データリンク層)とレイヤ3にあたる部分で、IPアドレスとポート番号により通信を制御します。ただし、IPS・IDSと異なり、FWはパケットの内容が適切なものかどうかを監視しません。パケットフィルタリング型FWの場合は、送受信するパケットをIPアドレスとプロトコル(TCPまたはUDP)とでフィルタリングし、サーバーへのアクセスをあらかじめ設定したルールに従って制御(許可・拒否)するだけです。そのため、FWとIPS・IDSは多くの環境で併用されています。  

その他

現在では、IDS・IPSの機能を統合し、それにファイアウォール機能、ウイルス対策機能、URLフィルタリング機能、アンチスパム機能などインターネットからの脅威を防御できる様々な機能を追加して1台のゲートウェイとして利用できる「UTM(Unified Threat Management、統合型脅威管理)」と呼ばれるソリューションも登場しています。1台でサーバー・ネットワークへの攻撃対策が何でもできてしまうのでシステム管理者の管理の手間が減るのがメリットですが、必要とされるパフォーマンスによっては個別に機器を用意した方がより環境に適している場合があります。 ただし、UTMが防御するレイヤはあくまでもIPS・IDS 、FWの防御対象を合わせたもの(レイヤ2から4)であり、WAFの防御対象(レイヤ7)を防御できません。そのため、IDS・IPSやFW同様「UTMを導入しているからWAFを導入しなくても心配ない」とはならないのです。  

まとめ

今回はWAFとIDS・IPS、FWとの違いについて説明しました。それぞれが担当するレイヤが異なるため、「どれか1つを導入しておけばいい」というわけではありません。特に大規模なウェブサイトやウェブアプリを運用しているとなると、新たな脆弱性が見つかった時にすぐさま対応することが難しい場合があります。WAFを使用していれば、それらに対して届く不正なふるまいや不審な通信を検知し、遮断することができます。最近では導入・維持管理が手軽なクラウド型WAFを選択する企業も増えていますので、これを機会に導入を検討してみるのもよいと思います。 逆に、WAFを導入していても、WAFはウェブサイトやウェブアプリに特化したソリューションなので、OSやミドルウェアなどレイヤ7よりも低いレイヤへの攻撃を検知・遮断することはできません。それに対応するには、IDS・IPS、FWを導入しておく必要があります。 テクノロジーの進歩によってインターネット上の脅威は複雑化し、その隙を突いた攻撃は日々高度化しています。攻撃者の餌食にならないよう、万全のセキュリティ対策を施しましょう。