Webサイトのセキュリティ対策「WAF」と、その必要性

昨今のWEBサイトを取り巻く状況

インターネットが現代人の生活に欠かせないものとなって久しいですが、インターネットの利用拡大とともにWebサイトへの攻撃も巧妙さを増しています。 2017年2月、WordPressのREST APIの脆弱性を悪用したWebサイトへの改ざん被害（独立行政法人情報処理推進機構（IPA）のサイトが開きます）は凄まじいものでした。

WordPress4.7.0、WordPress4.7.1の2つのバージョンで脆弱性が見つかり、Webサイトのコンテンツが改ざんされる被害が相次いだのです。対策済バージョンへ更新するまでの間Webサイトは危険に晒され、本脆弱性のために150万以上のWebサイトが被害を受けたと言われています。

WordPressを始めとしたCMSは、サイト更新の手軽さから、個人・法人問わず世界中で利用されています。特に企業のHPは会社の顔とも言えるほど重要であり、サイトを運営する上ではサイバー攻撃への対策は必要不可欠でしょう。

では、Webサイトをサイバー攻撃から守るにはどうすればよいのでしょうか。

通常のサイト訪問者からの（悪意のない）通信のみを通し、攻撃者による通信を防ぐ「WAF」の導入が効果的と言えるでしょう。

WAFとは、Web Application Firewall（ウェブ　アプリケーション　ファイヤーウォール）の略で、Webアプリケーションに特化したサイバー攻撃へのセキュリティ対策です。

先述したようなCMSの脆弱性を悪用した攻撃などからサイトを守る役割を果たします。WAFは、クライアントからWebサイトへのアクセスを中継し、悪意のあるリクエストを検知（シグネチャが一致）することで通信を遮断することができます。

[TrustShelter/WAF　クラウドWAF導入イメージ図]

セキュリティ対策としては、ファイヤーウォール（FW）に聞き覚えのある方が多いことでしょう。 WAFの「F」も、ファイヤーウォールを指しますが、両者はどのような違いがあるのでしょうか。

FWは外部ネットワークと内部ネットワークとの間に設置され、通信の送信元情報（IP）や送信先情報（ポート）を監視します。許可された通信のみを通す仕組みにより、内部ネットワークへの侵入を目的とした攻撃を防ぐことができます。

WAFは、クライアント（サイト訪問者）とWebサーバーとの間に立ち、HTTPやHTTPSでの通信を監視します。そして、クライアントからのリクエスト内容から、危険な通信を判断して遮断をします。この仕組みにより、Webアプリケーションの脆弱性に付け込もうとするサイバー攻撃を防ぐことができます。

FWは内部ネットワークへのアクセスをコントロールすることが目的ですが、通信の中身まで含めた不正アクセスを遮断することができません。 WAFとFWは攻撃を見分ける仕組みが違うため、防ぐことのできる攻撃も異なるのです。

FWだけを導入していても、必ずしも安心とは言えません。リスク管理の観点に立てば、Webサイトを運営している企業にとっては、FWだけでなくWAFの導入を含めた多層防御が不可欠と言えます。

NTTテクノクロスでは、WAFの導入や運用でお困りの方を対象とした、専門家によるサポートサービスをご用意しております。TrustShelter/WAFは初めての方でも簡単に導入することができ、かつ低コストで運用いただけます。

Webサイトのセキュリティ対策でお悩みの方は、ぜひNTTテクノクロスにご相談ください！