WAFとは

WAF(Web Application Firewall)は、その名前の通り、Webアプリケーションのためのファイアウォールです。通常のファイアウォールでは、WebアプリケーションのフロントエンドになるWebサーバへのアクセスは許可しています。また、ファイアウォールではIPヘッダやTCPヘッダを参照しているだけの場合が多いです。そのため、Webアプリケーションの脆弱性を狙ったバッファーオーバフローなどの攻撃を通常のファイアウォールでは防ぐことができません。IPSで不正なアクセスを検出して、ネットワークを防御することは可能ですが、IPSによるWebアプリケーションの脆弱性への攻撃の防御には限界があります。

WAFによって、Webアプリケーションの通信パケットのアプリケーションそのもののデータまで詳細にチェックして、Webアプリケーションを防御します。たとえば、WebサーバへのリクエストのGETメソッドで指定するURLをチェックし、攻撃目的のリクエストであればブロックします。

図 WAFの概要
図 WAFの概要


WAFの形態

WAFの形態として、大きく3つあります。

  • 専用のハードウェア
  • ソフトウェア
  • クラウドベース

専用ハードウェアのWAF

WAF専用のハードウェアをWebサーバへの経路上に設置して、Webサーバの通信をすべて監視します。このためには、ネットワーク構成の変更が必要です。

図 WAF 専用ハードウェア
図 WAF 専用ハードウェア

ソフトウェアベースのWAF

ソフトウェアベースのWAFは、Webサーバへインストールします。Webサーバ内のWebアプリケーションへの通信をソフトウェアWAFで監視します。

図 WAF ソフトウェアベース
図 WAF ソフトウェアベース

クラウドベースのWAF

また、クラウドのサービスとしてWAFが提供されています。クラウドベースのWAFを利用するためには、WebサーバへのアクセスをWAFサービス事業者が受け付けられるようにDNSの設定の変更が必要です。

図 WAF クラウドベース
図 WAF クラウドベース


セキュリティの基礎