WAFとはWebサイト(Webアプリケーション)に特化したファイアウォールのことで、脆弱性を悪用した攻撃からWebサイトを保護します。Webサイトと訪問者間で不正なデータのやりとりがないかを監視し、問題があればアクセスを制限します。一般的なファイアウォールとは異なり、データの内容からアクセスの正当性を判断します。
WAFの種類にもよりますが、不正アクセスの検出はシグネチャベースとなっています。過去の攻撃(不正アクセス)はパターン化されデータベースに蓄積されています。アクセスに応じてデータベースに蓄積されたパターンと照合し、もし一致すれば不正なアクセスと見なします。他にも、検出パターンに特徴的な個人情報(クレジットカード番号等)を登録しておくことで、個人情報の漏洩を防ぐことができます。
レンタルサーバー採用されることの多い国産の「SiteGuard Lite」はWebサーバーにインストールするタイプなので、既存のシステムにあまり手を加えることなく導入できます。SiteGuard Liteは下記の攻撃に対応します。
例えば、Webアプリケーションへの通信内容に、データベースを不正に操作する「SQL インジェクション」の特徴的なパラメーターが含まれていた場合、その通信を遮断します。
デメリットもあります。WAFは通信内容を機械的に検査するため、正常な通信であっても不正と見なすことがあります。例えば、WordPressの管理画面で何かしらの更新を行うと、不正アクセスと見なされ403エラーが発生することも過去にありました。WAFの特徴を知らなければ、原因を特定するのに時間がかかるでしょう。
レンタルサーバーのWAFはユーザー自身で細かな設定ができません。もし、Webサイトの運営に支障があるなら利用を諦めるしかありません。
WAFはWebサイトの脆弱性を修正するような、根本的な対応を行うわけではありません。あくまでも脆弱性への攻撃を低減するための対策となっています。不正アクセスの検出は機械的に行われるため、新しい攻撃パターンであれば防げない可能性もあります。あくまでもWAFは保険と考え、Webサイトにセキュリティ上の問題があれば、すぐに対応することが大事です。
WAFは名称にファイアウォールが付きますが、一般的なファイアウォール(FW)とは異なります。FWは、公開する必要がないサービスへのアクセスを制限することで不正な攻撃を防ぎます。多くはアクセス元やアクセス先(IPアドレスやポート番号、プロトコルなど)により制限するため、通信内容は関係ありません。
例えば、社内用ファイル共有サービス等、外部へ公開する必要のないサービスを組織内部のみに制限することができます。このように、FWを利用すればインターネット(外部)から公開したくないサービスを隔離することができます。
ただし、企業等のWebサイトの様にインターネットへの公開が必要なサービスも多くあります。FWでは、悪意のあるアクセスと通常のアクセスを判別して、個別に制限することはできません。
このような場合にWAFを利用します。WAFは、HTTPやHTTPSの通信内容を監視しているため、Webサイトへの様々なアクセスを細かく制御することができます。