Web アプリケーション ファイアウォール (WAF) とは何ですか? また、必要ですか?

公開: 2022-09-22

Web アプリケーション ファイアウォール (WAF) の概念に出くわしても、あまり考えないかもしれません。 結局のところ、必要のないものであるか、ホスティング パッケージの一部であると考えるのは簡単です。 ただし、それだけではありません。

実際、WAF が自分に適しているかどうかを判断できるように、WAF とは何かを正確に理解することが重要です。

今日は、Web アプリケーション ファイアウォールの詳細について説明します。 定義を提供し、その利点、利用可能なさまざまなタイプ、および購入することを決定した場合の選択方法について説明します.

Web アプリケーション ファイアウォール (WAF) とは何ですか?

Web アプリケーション ファイアウォールとは
画像ソース: Ricardo Gomez Angel/Unsplash

Web アプリケーション ファイアウォール (WAF) は、Web サイトまたは Web アプリケーションへの着信トラフィックをフィルター処理および監視するセキュリティ システムの一種です。 その目的は、正当なトラフィックの通過を許可しながら、ハッカーやボットなどの悪意のあるトラフィックをブロックすることです。

つまり、WAF は Web サイトの警備員のようなものです。 各訪問者の身元をチェックして、彼らが本人であること、および悪意のあることをしようとしていないことを確認します。

WAF は、ハードウェアベースまたはソフトウェアベースのいずれかです。 これらは通常、Web サイトとインターネットの間の追加レイヤーとして展開されるため、トラフィックがサイトに到達する前にインターセプトして検査できます。

ddos 攻撃に対する保護としてのファイアウォールの図式
出典:クラウドフレア

ほとんどの WAF は、ルール セットとも呼ばれる一連のディレクティブを使用して、通過を許可またはブロックするトラフィックを決定します。 これらのルールは通常、一般的な攻撃パターンに基づいて WAF ベンダーによって作成されます。 一部の WAF では、カスタム ルールを作成することもできます。

Web アプリケーション ファイアウォールとネットワーク ファイアウォールの違いは何ですか?

WAF は、特に Web アプリケーションを保護するためのものであるという点で、ネットワーク ファイアウォールとは異なります。 一方、ネットワーク ファイアウォールは、ネットワーク全体を保護することを目的としており、ハードウェア ベースまたはソフトウェア ベースのいずれかになります。

どちらのタイプのファイアウォールもトラフィックをフィルタリングできますが、WAF は Web トラフィックの悪意のあるアクティビティを監視および検査することもできるという点でより包括的です。 また、SQL インジェクションやクロスサイト スクリプティング (XSS) など、特定の種類の攻撃をブロックすることもできます。

WAFを利用するメリット

主な定義と違いを念頭に置いて、Web アプリケーション ファイアウォールを使用することの何がそんなに有益なのか疑問に思われることでしょう。 実際には、注目に値する 5 つの重要な利点があります。

  • セキュリティの向上: WAF は、悪意のあるトラフィックを遮断することで、Web サイトまたは Web アプリケーションのセキュリティを向上させるのに役立ちます。
  • 攻撃リスクの軽減: WAF は既知の攻撃パターンをブロックすることで、ハッキングが成功するリスクを軽減します。
  • コンプライアンスの向上:業界によっては、PCI DSS などの特定のセキュリティ標準に準拠する必要がある場合があります。 WAF は、これらの基準を満たすのに役立ちます。
  • 誤検知の削減:多くの WAF には、レート制限や IP レピュテーション チェックなど、誤検知を減らすのに役立つ機能が含まれています。 これは、正当なトラフィックをブロックする可能性が低いことを意味します。
  • 安心: Web サイトまたは Web アプリケーションには別の保護層があることを知っていると、安心できます。 基本的に心配事が一つ減ります。

もちろん、Web アプリケーション ファイアウォールの世界には、主要な機能や利点がいくつかあるだけではありません。 種類もいくつかあるので注意が必要です。

Web アプリケーション ファイアウォールの種類

購入を決定する前に、熟知しておく必要がある主な 3 種類の Web アプリケーション ファイアウォールがあります。

1.ネットワークベースのWAF

ネットワークベースの WAF は、Web サイトとインターネットの間の追加レイヤーとしてデプロイされます。 このレイヤーを通過するトラフィックを検査します。

通常、ネットワーク ベースの WAF はハードウェア ベースであるため、物理デバイスが必要です。 ただし、利用可能なソフトウェアベースのソリューションがいくつかあります。

2. クラウドベースの WAF

クラウドベースの WAF は、クラウドに常駐する Web アプリケーション ファイアウォールの一種です。 クラウド プロバイダーのネットワークを通過するトラフィックを検査します。

通常、クラウドベースの WAF はプロバイダーによって管理されます。 これは、通常、他のタイプよりもセットアップと管理が容易であることを意味します。

3. ホストベースの WAFS

ホストベースの WAF は、Web サイトまたは Web アプリケーションと同じサーバー上にあります。 サーバーを通過するトラフィックを検査します。

ホストベースの WAF は通常、ソフトウェアベースであるため、あらゆるタイプのサーバーに追加できます。 ただし、ここで説明した他の 2 つのタイプよりも多くの構成と管理が必要になる場合があります。

以上が WAF の主な 3 種類ですが、その動作についてはどうでしょうか。 これについては、次に説明します。

WAF の運用モデル

waf 操作モード
画像ソース: Michal Jakubowski/Unsplash

WAF には 3 つの主なタイプがあったように、実際には 3 つの異なる方法でも動作します。 これらは通常、操作モデルと呼ばれます。

  1. 許可リスト モデルとも呼ばれるポジティブ セキュリティ モデルは、ルール セットによって明示的にアクセスが許可されたトラフィックのみを許可します。 このタイプの WAF はより制限的ですが、悪意のあるトラフィックをより効果的にブロックできます。
  2. ブロックリスト モデルとも呼ばれるネガティブ セキュリティ モデルは、ルール セットによって具体的にブロックされたものを除くすべてのトラフィックを許可します。 このタイプの WAF は制限が少ないですが、正当なトラフィックをブロックする可能性は低くなります。
  3. ハイブリッド セキュリティ モデルは、ポジティブ セキュリティ モデルとネガティブ セキュリティ モデルを組み合わせたものです。 システムをセットアップする人が指示する程度に応じて、明確に許可されたトラフィックを許可し、明確にブロックされたトラフィックをブロックします。

これで、WAF とは何か、どのように機能するかについて十分に理解できたと思います。 ただし、投資するかどうかを決定する前に、予算について話し合う必要があります。

Web アプリケーション ファイアウォールの一般的なコスト

Web アプリケーション ファイアウォールは、ほとんどの場合、2 つの価格タイプで利用できます。

導入コスト

デプロイ コストには、ハードウェアのコスト (ハードウェア ベースの WAF を使用している場合) と、インストールと構成のコストが含まれます。 これらのコストは、選択した WAF のタイプによって異なります。

購読料

ほとんどの WAF ベンダーは、年間または月額のサブスクリプション料金を請求します。 これらの料金は、通常、メンテナンス、サポート、および更新のコストをカバーしています。 WAF の中には、追加料金でより多くの機能を提供するものもあります。

WAF が必要かどうかを判断する方法

Web アプリケーション ファイアウォールが必要かどうかまだわからない場合は、次の質問を自問してください。

  • Web サイトまたは Web アプリケーションに機密データを保存していますか? その場合、このデータを保護するために WAF が必要になる場合があります。
  • 支払いは処理されますか? はいの場合、PCI DSS に準拠するために WAF が必要になる可能性があります。
  • セキュリティ基準に準拠する必要がありますか? それらを満たすためにWAFが必要になる場合があります。
  • 最後に、Web サイトまたは Web アプリケーションのセキュリティについて懸念がありますか? 現在のセキュリティ対策では不十分であると懸念している場合は、WAF が役に立ちます。

これらの質問のいずれかに「はい」と答えた場合、WAF はビジネスに適している可能性があります。

適切な WAF を選択する方法

Web アプリケーション ファイアウォールを選択する場合、考慮すべき点がいくつかあります。

  • 導入モデル: まず、どのタイプの WAF が適切かを判断する必要があります。 ネットワークベースの WAF、クラウドベースの WAF、またはホストベースの WAF のどれが必要ですか?
  • セキュリティ モデル:次に、優先するセキュリティ モデルを決定する必要があります。 ポジティブ セキュリティ モデル、ネガティブ セキュリティ モデル、またはハイブリッド セキュリティ モデルのどれが必要ですか?
  • 価格:最後に、コストを考慮する必要があります。 WAF は価格が大きく異なる可能性があるため、予算に合ったものを選択することが重要です。

すべての人に適した単一の WAF はありません。 WAF を選択する最善の方法は、ニーズを評価し、それらのニーズに対してさまざまな Web アプリケーション ファイアウォールの機能とコストを比較することです。

2022 年の最も人気のある WAF プロバイダー

上記を念頭に置いて、市場で最も人気のある WAF プロバイダーのいくつかについて説明します。 決定を下す前に、それぞれの機能と価格を比較検討してください。

1. AWS WAF

アマゾン aws ウェブ アプリケーション ファイアウォール

AWS WAF は、ポジティブなセキュリティ モデルを提供するクラウドベースのウェブ アプリケーション ファイアウォールです。 スタンドアロン サービスとして、または AWS Shield Standard パッケージの一部として利用できます。 注目すべき機能は次のとおりです。

  • Amazon CloudFront との統合により、デプロイと管理が容易になります。
  • 一般的な Web 攻撃をカバーする包括的なルール セットを提供します。
  • Standard と Advanced の 2 つのエディションがあります。 Standard は AWS Shield Standard に含まれていますが、Advanced は追加料金で利用できます。

AWS WAF の料金は、Standard エディションではルールあたり月額 $5 から、Advanced エディションではルールあたり月額 $10 からです。

2. Azure Web アプリケーション ファイアウォール

Azure Web アプリケーション ファイアウォール

Azure WAF は、ポジティブなセキュリティ モデルを提供するクラウドベースの Web アプリケーション ファイアウォールです。 スタンドアロン サービスとして、または Azure Application Gateway パッケージの一部として利用できます。 Azure WAF の価格は、ゲートウェイ時間あたり 0.44 USD からです。

3. インパーバ WAF

Imperva Web アプリケーション ファイアウォール

Imperva WAF は、ポジティブなセキュリティ モデルを提供するクラウドベースの Web アプリケーション ファイアウォールです。 スタンドアロン サービスとして、または Imperva Incapsula パッケージの一部として利用できます。 Imperva WAF の価格は、Imperva App Protect Pro プランでサイトあたり月額 59 ドルからです。

4.クラウドフレア WAF

Cloudflare Web アプリケーション ファイアウォール

Cloudflare WAF は、ハイブリッド セキュリティ モデルを提供するクラウドベースの Web アプリケーション ファイアウォールです。 Cloudflare Business プランの一部として利用でき、料金は月額 200 ドルからです。

これらは、現在市場で最も人気のある Web アプリケーション ファイアウォールのほんの一部です。 サービス プランを決定する前に、見込みのあるサービス プロバイダーを十分に調査してください。

実装とベスト プラクティス

Web アプリケーション ファイアウォールを選択したら、それを実装する必要があります。 もちろん、WAF を実装するプロセスは、使用しているタイプによって異なります。

インターネット図

ネットワークベースの WAF を使用している場合は、それをネットワークにデプロイする必要があります。 また、クラウドベースの WAF を使用している場合は、ベンダーのアカウントにサインアップしてから、WAF を使用するように Web サイトまたは Web アプリケーションを構成する必要があります。 これは通常、ドメインをプロバイダーのサーバーに向けることによって発生します。 プロセスはベンダーによって異なりますが、通常は非常に簡単です。

ホストベースの WAF を使用している場合は、サーバーにインストールして構成する必要があります。 これを行うには、Web サーバーのコードと構成にアクセスできる必要があります。 これは通常、cPanel またはその他の管理スイートを介してアクセスできます。 これがない場合は、開発チームまたはホスティング プロバイダーと協力して、適切にインストールおよび構成する必要があります。

次の点に注意してください。

  • 時間をかけて WAF を適切に構成してください。ただオンにして最善を期待しないでください。
  • テスト、テスト、テスト: WAF を構成したら、期待どおりに動作することを確認するためにテストします。 これを行うには、Web サイトまたは Web アプリケーションを手動でテストするか、WebInspect などのツールを使用します。
  • ログを監視する: WAF はログを生成し、Web サイトまたは Web アプリケーションで何が起こっているかについての洞察を得ることができます。
  • Web サイトまたは Web アプリケーションの変更を監視する:正しくないように見えるものがある場合は、調査します。

注: よりオールインワンのプランを購入した場合は、これらの実装手順の一部が完了している可能性があります。

ウェブ アプリケーション ファイアウォールのベスト プラクティス

Web アプリケーション ファイアウォールを選択して設定したら、長期的に留意すべきベスト プラクティスがいくつかあります。

  • 定期的な更新を行う : 最新のセキュリティ パッチと更新プログラムを使用して、WAF を最新の状態に保つようにしてください。 そうしないと、Web サイトまたは Web アプリケーションを保護できない可能性があります。
  • WAF ログを監視する: WAF ログを定期的に監視します。 このようにして、潜在的な攻撃やセキュリティの問題を特定できます。
  • テストを続ける: WAF を定期的に監査して、適切に動作していることを確認します。 WebInspect や Burp Suite などのツールを使用して、定期的なテストを実行できます。

最終的な考え: Web アプリケーション ファイアウォールとビジネスにおけるその役割の発見

今日は、Web アプリケーション ファイアウォール (WAF) に関して多くのことを取り上げました。 WAF は、Web サイトや Web アプリケーションを攻撃から保護するのに役立つセキュリティ ソフトウェアの一種であることを確認しました。 オンプレミス、クラウド、またはホストベースのソリューションなど、さまざまな方法で展開できます。

また、WAF を選択する際には、ニーズと予算を考慮することが重要であることも明らかです。 そして、最も一般的なオプションから選択した後、それを適切に実装し、ベスト プラクティスに従うことは重要です。

しかし、あなたはどう思いますか? Web アプリケーション ファイアウォールを使用していますか? 現在、選択肢を検討していますか? 以下のコメントで解決してください。