Web Application Firewall
| 情報セキュリティと サイバーセキュリティ |
|---|
| 対象別カテゴリ |
| 隣接領域 |
| 脅威 |
| 防御 |
Web Application Firewall(略称:WAF、ワフ)とは、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ[1]。WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。WAFを使用することで、以下の効果が期待できる[1]。
- 脆弱性を悪用した攻撃からウェブアプリケーションを防御する。
- 脆弱性を悪用した攻撃を検出する。
- 複数のウェブアプリケーションへの攻撃をまとめて防御する。
検出パターンにクレジットカードの番号や個人番号といった特徴のある個人情報のパターンを設定することで、そういった個人情報が悪意のある人に送信されてしまうことを防ぐといった使い方もできる[1]。
セキュリティ対策としては、ウェブアプリケーションの実装面での根本的な対策ではなく、あくまでも攻撃による影響を低減する運用面での対策となる[1]。
ウェブアプリケーションそのものに脆弱性を作り込まないために対策も各種あるが、現実的にはウェブアプリケーションの脆弱性を悪用した攻撃は後を絶たない。また、脆弱性が発見された場合においても、ウェブサイト運営者側の事情から即時に脆弱性を修正できないという実情もある。このため、ウェブアプリケーションが攻撃の被害にあわないためのセキュリティ対策の一つとして、WAFの使用が有効だと考えられている[1]。
WAFを導入する主なケースとして、レンタルサーバ提供ベンダーや、複数のグループ企業を束ねている大手企業など、直接自分で管理していないウェブアプリケーションを保護したい場合、他社が開発したウェブアプリケーションを利用しているなど自分では脆弱性を防ぐことができない場合、事業継続の観点からウェブアプリケーションを停止できず脆弱性を行ったりパッチを当てたりできない場合等があり[2]、根本対策のコストよりもWAFの導入・運用のコストのほうが安い場合にWAFを導入する[2]。
PCI-DSSでは、定期的なアプリケーションコードの見直しかWAFの導入のいずれかを行わなければならないと定められている[3]。
概要
WAFはウェブサイトの前に設置し、ウェブアプリケーションの脆弱性に対する攻撃と思われる通信の遮断等を行うものであり、LANとインターネットの境界などに設置されることが多い通常のファイヤーウォールとは(その名称にもかかわらず)機能が異なる[4]。WAFが検知する攻撃はウェブサイトへのものに特化しており、HTMLを解釈してクロスサイトスクリプティングやSQLインジェクションなどの攻撃を遮断する。
攻撃を遮断する点においてIPSと類似するが、IPSはOSやファイル共有サービスなど様々なものに対する攻撃を遮断するために不正な通信パターンをブラックリストとして登録しておくのに対し、WAFの防御対象はウェブアプリケーションに限定されている為ブラックリスト型の遮断のみならず、正常な通信を事前登録してホワイトリスト型の遮断も行うことができる[5]。
WAFにはHTTP通信(リクエスト、レスポンス)を検査し、検査結果に基づいて通信を処理し、処理結果をログとして出力する機能がそなわっている[6]。通信の検査は前述のようにホワイトリスト、ブラックリストを用いて行う。検査結果に基づいた通信の処理としては、そのまま通過させる、エラー応答を返す、遮断する、通信内容の一部を書き換えた上で通過させる、という4通りがある[7]。またセッションのパラメータの正当性やHTTPリクエストの正当性を確認してCSFR等の攻撃を防ぐ機能、ウェブサイトの画面遷移の正当性を確認する機能、ホワイトリストやブラックリストを自動更新する機能、ログをレポートの形で出力する機能、不正な通信を管理者にメール等で通知する機能等がついている事もある[8]。
WAFはウェブアプリケーションがあるサーバ(=ウェブサーバ)にインストールする場合と、ウェブサーバとインターネットの間に別サーバを設置してそこにインストールする場合がある。それぞれの比較は下記のとおりである[9]:
| インストール場所 | 利点 | 欠点・制約 |
|---|---|---|
| ウェブサーバ |
|
|
| ウェブサーバとインターネットの間にある別のサーバ |
|
|
なお、たとえばウェブアプリケーションの認可機能に問題があるが、HTTP通信自身には問題がないケースなどではWAFは異常を検知してくれないので別の対策が必要となる[10]。
代表的なオープンソースソフトウェアのWAF
韓国インターネット振興院がオープンソースソフトウェアのWAFとして以下のソフトウェアを紹介している[1]。
- ModSecurity(Trustwave)
- WebKnight(AQTRONIX)[11]
参考文献
- “Web Application Firewall 読本 改訂第2版 Web Application Firewall を理解するための手引き”. 情報処理推進機構 (2011年12月27日). 2018年11月2日閲覧。
- “Projects/OWASP Best Practices: Use of Web Application Firewalls”. 2018年11月2日閲覧。各種攻撃手法へのWAF での防御可否、WAF 導入による効果とリスク、WAF 導入を決定する基準等をまとめたもの[12]
- “OWASP ModSecurity Core Rule Set (CRS)”. 2018年11月2日閲覧。ModSecurityに設定するルールセット
- “WASC OWASP Web Application Firewall Evaluation Criteria Project”. 2018年11月2日閲覧。WAFの評価基準
出典・脚注
- ^ a b c d e f “Web Application Firewall (WAF) 読本 改訂第2版” (PDF). 情報処理推進機構 (2011年12月). 2016年12月6日閲覧。
- ^ a b IPA 2011 Web Application Firewall 読本 改訂第2版 pp.14-15, 33
- ^ IPA 2011 Web Application Firewall 読本 改訂第2版 p8
- ^ IPA 2011 Web Application Firewall 読本 改訂第2版 p10
- ^ IPA 2011 Web Application Firewall 読本 改訂第2版 p11-12
- ^ IPA 2011 Web Application Firewall 読本 改訂第2版 p19
- ^ IPA 2011 Web Application Firewall 読本 改訂第2版 p21-23
- ^ IPA 2011 Web Application Firewall 読本 改訂第2版 p25-27
- ^ IPA 2011 Web Application Firewall 読本 改訂第2版 p16-17
- ^ IPA 2011 Web Application Firewall 読本 改訂第2版 p29
- ^ “AQTRONIX WebKnight - Open Source Web Application Firewall (WAF) for IIS”. AQTRONIX. 2016年12月6日閲覧。
- ^ IPA 2011 Web Application Firewall 読本 改訂第2版 p7-8
| 伝染性マルウェア | |
|---|---|
| 潜伏手法 | |
| 収益型マルウェア | |
| OS別マルウェア | |
| マルウェアからの保護 | |
| マルウェアへの対策 | |
 カテゴリ | |
 | この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています(PJ:コンピュータ/P:コンピュータ)。 |
 | この項目は、インターネットやウェブに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています(PJ:コンピュータ/P:コンピュータ)。 |