近年ウェブサイトやウェブアプリを利用する機会が増え、それと同時に脆弱性を利用しようとするサイバー攻撃も日々増えています。それに対応すべく、WAF(Web Application Firewall)を導入している企業も少なくありません。しかし一方で、「会社のシステムにはFW(ファイアウォール)を設置済みだから必要ない」「すでにIPS(Intrusion Prevention System、侵入検知システム)・IDS(Intrusion Detection System、侵入防御システム)が入っているから大丈夫」と考えているシステム担当者もいるのではないでしょうか。
でも、その考えは誤っています。WAF、IDS・IPS、FWは、それぞれの役割から、まったく異なるセキュリティソリューションだからです。
WAFとIDS・IPSとの違い
WAF、IDS・IPS、そしてFWも基本的には「外部からの不正なアクセスや攻撃に対応するソリューション」であることは同じです。しかし、防御の対象がそれぞれ異なります。そのため、すでにIDS・IPS、FWがある環境においても、「Eコマースをビジネスとしており、自社でウェブサイトを運営している」「リモートワーク中の従業員向けにウェブアプリを提供している」などウェブサイトやウェブアプリを日常的に活用している環境ならば、積極的にWAFを導入すべきと言えます。
WAFの防御の対象
WAFの防御の対象は公開ウェブサーバーで、ウェブサイトやウェブアプリに対する攻撃の防御を目的としたソリューションです。HTTP通信やHTTPS通信の内容を監視し、必要に応じて保護します。ウェブサイトやウェブアプリに脆弱性が潜んでいたとしても、WAFがあれば対処できます。 WAFの防御の対象は、OSI参照モデルでいうレイヤ7(アプリケーション層)のうちのウェブアプリに関する部分です。加えて、例えばウェブサーバーがインストールされたOSのコマンドをWebサイトを経由して不正に実行する「OSコマンドインジェクション」のように、攻撃内容によっては下位のレイヤに該当する事柄も防御の対象となります。具体的には、以下のサービスや攻撃が該当します。保護するプロトコル・ツール
- HTTP
- HTTPS
- Javascript
- Ajax
- ActiveX
対応する攻撃
- OSコマンドインジェクション
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ
- SQLインジェクション
- ディレクトリトラバーサル(パストラバーサル)
- HTTPヘッダインジェクション
- ブルートフォース攻撃・逆ブルートフォース攻撃
- パスワードリスト攻撃(リスト型攻撃)
- DoS/DDoS攻撃(※)
IDS・IPSの防御の対象
IDS・IPS の防御の対象はDMZにあるサーバー群または社内システムで、ともにネットワーク上の通信を監視するソリューションです。IDSは「侵入検知システム」と呼ばれ、不正アクセスを検知するだけでなく、パケットの内容を監視して不審な通信を検知しシステム管理者等に通知する機能を持っています。一方、IPSは「侵入防御システム」と呼ばれ、IDSの機能に加え、不正アクセスや不審な通信を検知するとあらかじめ設定されたルールに従い自動的に遮断する役割を担っています。 IDS・IPSの防御の対象は、OSI参照モデルでいうレイヤ3(ネットワーク層)およびレイヤ4(トランスポート層)にあたる部分です。具体的には、以下のサービス・プロトコルが該当します。監視するサービス・プロトコル
- DNS
- SMTP
- FTP
- RDP
- TELNET
- SSH
対応する攻撃
- バッファオーバーフロー攻撃(BOF)
- SYN Flood攻撃
- DoS/DDoS攻撃
- 不正なプログラムの設置(マルウェア、トロイの木馬など)