Webアプリケーションファイアウォール (WAF) とは 1

「WAF」の正式な名称は、「Web Application Firewall （ウェブアプリケーションファイアウォール）」で、ファイアウォールの一種です。これは、Webアプリケーションの脆弱性を悪用した攻撃から、WebサーバやWebサイトを保護するためのセキュリティ対策になります。WAFのシステム構造は、エンドユーザーとWebサーバ間の通信を監視し、シグネチャ (不正な値・通信パターンを定義するルール)に一致し、且つ漏洩に繋がると判断された攻撃をブロックする、というものです。WAFの特長は、通信の中身までチェックすることです。ここが一般的なファイアウォールとの大きな違いになります。これは、SQLインジェクション（アプリケーションのセキュリティ上の不備を意図的に利用して、想定外のSQL文を実行させる攻撃方法）のようなサイバー攻撃からもWebサーバ・Webサイトを保護するのに適しています。

WAFは、パソコンやハード機器ではなく、常にネット上に晒されているWebアプリケーションを対象としています。利用されているWebアプリケーションが、要件定義・設計・コーディングの段階で脆弱性を作り込まないセキュアプログラミング（セキュリティの高いプログラミングをするという考え方）が実現していれば問題ありません。しかし実際には、セキュリティの高いアプリケーションを制作するのは非常に難しいことです。2018年にIPA (独立行政法人情報処理推進機構) が公開している資料によると、2018年にIPAが受理したWebサイトの脆弱性の中で、クロスサイトスクリプティング（Webアプリケーションの脆弱性やそれを利用した攻撃）とSQLインジェクションだけで70%程を占めているというデータがあります。残念ながら、多くのWebアプリケーションには、未だに脆弱性が含まれているのが現実です。しかし、従来のセキュリティ対策では、常にネット上にあるWebアプリケーションには、効果が弱くなります。ですから、Webアプリケーションにつながるアクセスや侵入を、すべてチェックして、不正と判断した場合、シャットアウトするWAFの必要性が高まっています。そうすることは、継続的なWebアプリケーションの保護にもなります。

ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第1四半期（1月～3月）]
ソフトウェア等の脆弱性関連情報に関する届出状況

「WAF」は、近年急速に需要が高まっており、いろいろな製品が提供されています。今回は、シングテルの子会社である「Trustwave のマネージドWebアプリケーション・ファイアウォール（WAF）」について、ご紹介します。
シングテル/Trustwave のマネージドWAFは、アプリケーションの脆弱性と新手の脅威（OWASP Top10のWebアプリケーション攻撃、サイト・スクレイピング、悪意のあるボット、Googleハッキング、ゼロデイ攻撃、標的型攻撃など）に対する業界トップレベルの保護機能を備えています。
シングテル/TrustwaveのWAFの特長の１つに、拡張性に優れている点があります。保護対象のアプリケーションごとにカスタマイズすることができるため、物理または仮想のオンプレミス・アプライアンスとして、さらにはマネージド・セキュリティ・サービスとしても導入できます。シングテル/Trustwave SIEMと統合させることも可能で、Web アプリケーションを含む様々なソースからの攻撃情報を相関分析し、統合することもできます。
また、Webアプリケーションを意図したとおりに動作させることで、業界の規制コンプライアンスに従って、攻撃やデータ損失に対するリアルタイムで継続的なセキュリティ機能の提供を行なっています。現在、Trustwaveが特許申請中の適応型アプリケーション・プロファイリング・システムと、複数の連携型検出エンジンを使用することで、ミッションクリティカルなトラフィック・フローを確保します。それと同時に、標的型攻撃からも機密情報を安全に保つための保護機能アプリケーションも提供しています。

WAFの構造についてさらに詳しく知ることで、「なぜWAFが必要なのか？」が、よりわかると思います。次回もWAFについてご紹介します。