WAFとファイアウォールの違い

 2016.12.21 Secure Enterpriseポータル

今回解説するのは、近年重要性が急速に高まっているWAF(Web Application Firewall)とファイアウォールの違いについてです。

専門技術者を有していない企業のセキュリティ事情をヒアリングしてみると、「ファイアウォールを導入しているから大丈夫」と、ファイアウォールのセキュリティ性を過信しているケースが多く見受けられます。

しかし、まず初めにハッキリさせておくと、昨今深刻化するサイバー攻撃に対しファイアウォールでの対策だけでは確実に“不十分”です。

その単純な理由は、各セキュリティ製品によってカバーできる領域が異なり、全ての企業に“総合的なセキュリティ環境”が求められているというものになります。

特に、年々増加傾向にあるWebサイト/Webサービスを狙ったサイバー攻撃をファイアウォールで検知することはできません。

だからこそWebサイト/Webサービスを運営する全ての企業で、ファイアウォールに加えWAFの導入が重要視されています。

では、2つのセキュリティ製品の違いとは何か?この点に焦点を当てつつ、最後にはシマンテックが提供する「シマンテック クラウド型WAF」の特徴について紹介します。

ファイアウォールとは

防火壁”という意味のあるファイアウォールは、異なるネットワークの間に介在し、不正通信を防御するためのまさに防火壁とも言えるべきセキュリティ製品です。

基本的な挙動としては、ネットワークを流れるパケット(送信元IPアドレス、受信元IPアドレスなど)やポート番号を監視し、許可していない通信をブロックします。あるいは予め定義された通信パターンをもとに、不正通信とおぼしき通信を遮断します。

ファイアウォールで防御できる主な攻撃手法

ファイアウォールが有効的なのは、標的型攻撃やマルウェア感染など、内部ネットワークへの侵入を試みるような攻撃手法です。

例えば組織内の端末をマルウェア感染させ、不正アクセスを試みた場合ファイアウォールはこれを精査/検知することで、内部ネットワークへの脅威をブロックします。

従って、機密情報漏洩など重大なサイバー攻撃被害を防御する上で非常に重要なセキュリティ製品です。

次世代ファイアウォールでもWeb経由のサイバー攻撃は防げない?

次世代ファイアウォールとは、従来型のファイアウォールに加えアプリケーション単位の制御やIPS/IDS(不正通信防御/検知システム)機能を備えた総合的なセキュリティ製品を指します。

しかし、進化した次世代ファイアウォールでもWeb経由のサイバー攻撃を効果的に防ぐことはできません。

例えば次世代ファイアウォールを導入している場合でも、外部とHTTP/HTTPS通信を行うための80番ポート/443番ポートは常時開いた状態です。

そしてWeb経由のサイバー攻撃はこの2つのポートを狙ったものが多いので、次世代ファイアウォールでも完全な防御は不可能なのです。

そこでこの領域をカバーするのがWAFであり、こちらもWebアプリケーションを保護するために非常に重要なセキュリティ製品です。

WAF(Web Application Firewall)とは

WAFは言わば、外部ネットワークとWebアプリケーションに介在するファイアウォールであり、Web経由の通信を精査することで不正通信を検知したり、許可していない通信を遮断します。

例えばシグネチャ(複数の不正通信/攻撃パターンを定義したファイル)を基準にWebアプリケーションへのアクセスを精査し、パターンに合致するものは不正通信としてブロックします。

WAFで防御できる主な攻撃手法

WAFで防御できる主な攻撃手法は、SQLインジェクションクロスサイトスクリプティングといった、Webアプリケーションの“脆弱性”を狙ったサイバー攻撃です。

入力フォームを持つWebサイト/Webサービスに対し不正文字列やスクリプトを埋め込むことで、管理者の意図しない挙動を誘発し、直接的な情報搾取やWebサイト改ざんを目的としたサイバー攻撃に有効的です。

また、製品によってはDDoS攻撃といった、サービス妨害目的で行われるサイバー攻撃に対してもセキュリティ効果を発揮します。

WAFはWeb経由のサイバー攻撃に対応可能な唯一のセキュリティ製品

前述したように、次世代ファイアウォールでもWeb経由のサイバー攻撃を防ぎ切れるものではありません。

また、IPS/IDSに関しても難読化されたサイバー攻撃を検知することは困難であり、WAFで検知したサイバー攻撃のうち半数以上を検知できなかったとの調査報告もあります。

つまり、SQLインジェクションやクロスサイトスクリプティングといったWeb経由のサイバー攻撃に対応できるのは、WAFを置いて他にないのが現状です。

ホワイトペーパー:情報漏えい対策簡易マニュアル

WAFとファイアウォールは補完関係にある

企業のセキュリティ環境を構築する上で、WAFとファイアウォールはどちらか一方の導入を検討するようなものではありません。

そもそも防御できるレイヤーに確かな違いがあり、防御可能なサイバー攻撃に関しても大きく異なります。

従って、WAFとファイアウォールは総合的セキュリティ環境を実現するため“補完関係にある”と言えるでしょう。また、IPS/IDSについても同様のことが言えます。

特に、Webサイト/Webサービスを運営している企業では、ファイアウォールやIPS/IDSなどトランスポート層~プレゼンテーション層(OSI参照モデルにおける第3層~第6層)を保護するセキュリティ製品だけでなく、アプリケーション層(第7層)やコンテンツ層まで保護するWAFが不可欠でしょう。

「シマンテック クラウド型WAF」の特徴

シマンテックが提供する「シマンテック クラウド型WAF」は、専用ハードウェアの設置やソフトウェアインストールが必要なアプライアンス型/ソフトウェア型とは違い、ユーザー企業側でDNS設定を変更するだけで導入可能なWAF製品です。

従って導入期間を短縮化でき、迅速かつ低コストな導入を実現します(最短1週間での導入)。

また、日々の運用に関しては全てのクラウド型で実行しているので、ユーザー企業は手間の多いWAF運用業務を効率化し本来業務に集中しつつ、Webサイト/Webサービスをあらゆるサイバー攻撃から保護することが可能です。

防御方式に関しては柔軟性の高いブラックリスト方式を採用しています。これにより、Webサイト/Webサービスの構成変更時もシステムを別途調整する必要がなく、WAFの防御機能を停止することもありません。

「シマンテック クラウド型WAF」は、お客様の効率化まで考慮し高いセキュリティ性を提供するWAF製品です。

まとめ

既存セキュリティ環境としてファイアウォールを導入している企業は多いでしょう。というより、導入していない企業は皆無という程です。

従って皆さんが次に検討するべきセキュリティ製品は、やはりWAFということになります。

WAFにもいくつか種類があり、それぞれ特徴やメリットデメリットが異なるので、総合的に比較した上で導入すべきWAFを検討していきましょう。

その中でもクラウド型WAF並びに、「シマンテック クラウド型WAF」は多くのメリットを提供していますので、優先的な導入をぜひご検討ください。