Firewall/IPS/WAFの防御対象の違い

会社のWEBサイトのサイバー攻撃対策はどのようにしていますか?

そう聞いてもサーバー管理会社に任せているって回答になりますよね。

サーバー管理会社はどのようにWEBサイトを守ってくれているのかまでは知らないことが多いと思います。

 

サーバーのセキュリティって皆さんのイメージはどのようなものでしょうか?

 

Firewall(ファイヤーウォール)をイメージされますよね。

OSに詳しい方なら、Firewall製品などアプライアンスやOSのIPセキュリティ、Windows Firewall、Linux Firewallなどを思い浮かべると思います。

ネットワークに詳しい方ならば、IPS、IDSといったものも思いつくかもしれませんね。

 

現在の日本におけるサーバー環境のセキュリティの大半はFirewall、より強固なところでIPSが導入されているといった状況です。

 

しかし、昨今のサイバー攻撃は多様化しており、これらの対策だけでは不十分になってきています。

ところが、日本企業において、セキュリティ強化はコスト増大と考えられ、上記のような対策にとどまっているのが現状です。

 

注目すべきは、昨今のサイバー攻撃はFirewallやIPSでは防げないSQLインジェクション攻撃、XSS、ランサムウェアが増えているということです。

これらを防ぐにはアプリケーションで対策をせねばならず、しかし対応がおいつかない、コストがかかるなどで対応が後手になっています。

 

そこで最近注目なのがWAF(Web Application Firewall)を用いたセキュリティ対策です。

Firewall

防御対象:ネットワーク
 L4レイヤレベルで通信元、通信先の組み合わせで防御するもの。
 通信における送信元情報と宛先情報(IPアドレス・プロトコルTCP/UDP等・ポート番号)を基にアクセス制御をおこなう。

IPS(Intrusion Prevention System)/ IDS(Intrusion Detection System)

防御対象:サーバーシステム
 攻撃パターン(シグネチャ)に一致する通信をみつけて防御するもの。
 OSの脆弱性を悪用する攻撃やファイル共有サービスへの攻撃を防御。
 Active-Xを悪用したり、WEBサーバーの脆弱性を悪用する攻撃を防御。
 IDSは検知し通知するまでの機能をもつもので、防御はおこなわない。

WAF(WEB Application Firewall)

防御対象:WEBアプリケーション
 HTTP/HTTPSプロトコルの通信をL7レイヤレベルで防衛するもの。
 SQLインジェクション、クロスサイトスクリプティング(XSS)などWEBアプリケーションへの攻撃を防御。
 WEBアプリケーションのパラメータを悪用する攻撃を防御。
 cookieを悪用する攻撃を防御。

 

参考

サイバー攻撃されてからでは遅い

WAFはWEBアプリケーションに特化したL7レイヤーの防衛方法です。

WAF は、ウェブアプリケーションの脆弱性を悪用した攻撃などからウェブアプリケーションを 保護するソフトウェア、またはハードウェアです。

WAF は脆弱性を修正するといったウェブアプ リケーションの実装面での根本的な対策ではなく、攻撃による影響を低減する対策です。

WAF は、WAF を導入したウェブサイト運営者が設定する検出パターンに基づいて、ウェブサ イトと利用者間の通信の中身を機械的に検査することでサイバー攻撃を防ぎます。

 

サイバー攻撃を受けてからアプリケーションを対策修正していては、時間がかかります。

その間にシステムは利用できなくなり、攻撃もやみません。

WAFを導入しておけば、素早く対策が取れるというメリットがあります。

 

IPAからも紹介されていますので一度ご覧ください。

導入・運用コストが普及を妨げる

サイバー攻撃の対策はネットワーク技術者、サーバー技術者が主に対応しますが、

WAFはFirewallやIPSとは異なりネットワーク・サーバー技術者だけでは運用できません。

WEBアプリケーションへの攻撃を防ぐという特徴からWEBアプリケーションの開発者の協力が不可欠です。

対策をするWEBアプリケーションの特徴に合わせて防衛シグネチャを構築する必要があるためです。

アプリケーションは頻繁に更新されますから、都度シグネチャの見直しが発生します。

 

そのため、WAFを導入したら終わりというものではなく、導入してからの運用コストも考えなければなりません。

このことが普及を妨げている理由だと考えています。