Web Application Firewall (WAF)とは？

Webアプリケーションのセキュアなアプリケーション配信を実現するWAF

Webアプリケーションファイアウォールの開発

ファイアウォールは、インターネット接続が普及した当初から、ネットワークセキュリティの基礎的な要素となっています。ファイアウォールは、システムやネットワーク間の送受信トラフィックをルールに基づいて監視し、攻撃や侵入のリスクを軽減することができるものです。

1990 年代後半にWebアプリケーションが一般的になるにつれ、 Web サーバーへの攻撃も増加したため、セキュリティベンダーは、公開されるアプリケーションに関連するリスクを軽減するために、専用のWAF デバイスの提供を開始しました。商用ソリューションに加えて、オープンソースプロジェクトであるModSecurityがTrustwave の SpiderLabsによって 2002 年に結成されました。ModSecurityは、WAF 技術と Open Web Application Security Project (OWASP) の年次 Web アプリケーション脆弱性トップ10リストから保護するための標準的なルールセットを提供しています。サイバー脅威が激化し続け、PCIDSS(Payment Card Industry Data Security Standard)やEUの一般データ保護規則などの規制により、サイバーセキュリティ基準の準拠要件が高まる中、WAF市場は2027年までに138億ドルに達すると予測されています。

アプリケーション配信におけるWAFの位置づけ

その名前が示すように、Webアプリケーションファイアウォールは、Webアプリケーションとの間でやり取りされるデータパケットを監視し、フィルタリングし、ブロックします。WAFは、ネットワーク、ホスト、クラウドのいずれでも、1つまたは複数のWebアプリケーションまたはWebサイトの前に配置することができます。理論的にはデータ経路のどこにでも設置できますが、最適なのはサーバー負荷分散(SLB)層の後ろに設置し、保護するアプリケーションサーバーの近くに配置することです。

クライアントを保護するプロキシとは異なり、WAFはサーバーそのものを保護し、通常はリバースプロキシとして機能します。OSI参照モデルの第7層、アプリケーション層で動作するWAFは、ユーザーエージェント、ヘッダー、リファラー、リダイレクト、HTMLボディなどのデータパケットの要素を定義されたルールに従って検査・分析し、有害な可能性のあるトラフィックがサーバーに到達する前にフィルタリングします。

アプリケーション配信コントローラーでWAFとサーバーの負荷分散を併用する

WAFソリューションは、かつてはスタンドアロン型のポイント製品が一般的でしたが、アプリケーション配信インフラストラクチャの他の要素に統合されることが多くなっています。WAF をアプリケーション配信コントローラーに統合することは、特に人気があり、効果的であることが証明されています。通常、データセンターとインターネットの境界に位置するアプリケーション配信コントローラーは、DDoS対策、SSLオフロード、コンテンツキャッシュ、サーバー負荷分散などの機能とともに、Web アプリケーションへの脅威がないかネットワークトラフィックをスクリーニングする機能をホストするのに適した位置にあります。

WAF と ADC の機能を組み合わせることで、大きなメリットを得ることができます。ネットワークトポロジーにおいて信頼と監視の特権的な位置を占めるアプリケーション配信コントローラーは、レイヤー2 からレイヤー7 までの OSI 参照モデル全体を完全に把握し、WAF の役割も果たすことで付加価値を得ることができます。場合によっては、ロードバランサーを使用してWAF機能を実装することもできます。逆に、WAFは、HTTP トラフィックがアプリケーションサーバーに到達する前に検査することで、サーバーの負荷分散を支援することも可能です。実際、最も完成度の高い次世代のWAFソリューションでは、サーバー負荷分散に加え、侵入防止や脅威インテリジェンスなどの高度なセキュリティ機能を組み込むことができます。

サイバー攻撃軽減のためのWAFの活用

ゼロデイ攻撃、マルウェア感染、なりすまし、その他既知および未知の脅威や脆弱性によるWebアプリケーションへの攻撃が増加する中、企業は、増加する分散環境で勤務する従業員に対して安全にアプリケーションを配信するためにWAFを利用しています。これは、電子商取引、オンラインバンキング、遠隔医療、ストリーミングメディアなど、公衆向けのWebアプリケーションを使用する顧客にも影響します。

WAFで防御可能な主な脅威には、以下のようなものがあります。

• SQLインジェクション攻撃: ウェブフォームを使用してSQLコマンド、またはSQL特殊文字を含むコマンドを送信し、バックエンドのSQLデータベースを起動させ、権限のないユーザーが会社の機密データにアクセスし、データベースデータを変更し、データベース上で管理操作を実行できるようにするもの
• クロスサイトスクリプティング(XSS): ウェブサーバーが他のサイトからのデータの検証に失敗し、攻撃者が機密情報を取得するなどしてサーバーを危険にさらすこと
• 機密データの漏洩: セキュリティが不十分なウェブアプリケーションにより、個人識別情報(PII)、保護医療情報(PHI)、その他の機密データや規制対象データが攻撃者に流出すること
• クロスサイトリクエストフォージェリ攻撃: 被害者のセッションクッキーを含む不正なユーザーHTTPリクエストを脆弱なウェブアプリケーションに送信し、被害者のデータを盗んだり、アカウントを乗っ取ったり、その他の不正な機能を実行させるもの
• バッファオーバーフロー(Buffer Overflow)攻撃: ハッカーがコーディングミスを操作して、アプリケーションのプロセスメモリの断片を上書きし、例外やその他のエラーを発生させてアプリケーションのセキュリティを損なうこと

WAF は、いくつかの方法で Web アプリケーションの脆弱性に対するサイバー攻撃を軽減することができます。HTTPコンテンツは、許可リストあるいは非許可リスト、またはその2つの組み合わせによってフィルタリングされます。既知の悪意のあるIPアドレス、既知の安全なIPアドレスに関する情報を使用して、どのパケットがWebアプリケーションサーバーに渡されるべきかが決定されます。バッファオーバーフロー攻撃を防ぐために、WAFはHTTPリクエスト対して受け入れられる最大閾値を設定し、この制限を超えるリクエストをブロックすることができます。その他の脅威を阻止するために、WAFはHTTPレスポンスヘッダを除去し、攻撃のターゲットとして必要なWebサーバー情報を効果的に隠蔽することができます。

Log4j脆弱性の緩和には、WAFが重要な役割を果たしました。2021年12月10日にLog4Jの脆弱性が公開された直後、ネットワークセキュリティベンダーは、Log4jの悪用をスクリーニングしブロックするためにWAFの予防シグネチャを公開しました。多くの場合、WAFのルールはベンダーによって自動的に更新され、まさに歴史的なサイバーセキュリティの危機に直面した際のリスク軽減に貢献したのです。 WAFは、サイバーセキュリティにおいて重要な役割を果たしますが、WAF は完全なセキュリティソリューションとして意図・設計されているわけではないことに注意する必要があります。WAF は、サイバー脅威を検出、防止、および軽減するための多層的な戦略の一環として、境界セキュリティ・スタックの他の要素と連携して機能します。

A10のWAF機能の実現方法

A10のアプリケーション配信・負荷分散ソリューションA10 Thunder® ADCには、脆弱なアプリケーションに到達する前にWeb攻撃をブロックするフル機能のWAFが搭載されています。Webサーバーの前にプロキシとして配置されたThunder ADCは、Webリクエストとレスポンスを検査し、悪意のあるアクティビティをブロック、サニタイズ、またはログに記録することができます。Thunder ADCは、今日の多くの脅威を認識するように設計されており、新たな脅威に対するチェックをカスタマイズする柔軟性も備えています。WAF、アプリケーションデリバリコントローラ(ADC)、サーバー負荷分散(SLB)の機能を統合したThunder ADCは、高いパフォーマンス、シンプルな設定と管理、低い総所有コストで、拡張性の高いセキュリティソリューションを提供します。

こちらの記事にも興味ありますか？

• アプリケーション配信/負荷分散 A10 Thunder ADC
• A10のWAFソリューション

関連用語

• アプリケーション配信コントローラー
• アプリケーションの可用性
• 広域負荷分散(GSLB)
• 冗長化
• サーバー負荷分散
• トラフィック監視
• ネットワークレイテンシ
• ハイブリットクラウド
• パブリッククラウド
• フェイルオーバー
• ファイアウォール負荷分散
• 負荷分散装置
• プライベートクラウド
• ヘルスチェック
• マルチクラウド
• レイヤー４
• レイヤー４負荷分散とレイヤー７負荷分散の違い
• レイヤー７
• DNSサーバー負荷分散
• HTTP拡張ヘッダー
• NGWAF
• OSI参照モデル
• SSLオフロード

< 用語集インデックスページに戻る