WAF(ワフ)・Web Application FirewallはWebアプリケーションを監視

セキュリティ対策の一つの手段として、知られている「ファイアーウォール」は、外部からの不正なアクセスを防ぐために、それぞれの通信を監視する方法を採用しているものが一般的です。

例えば、その通信が一定の条件を満たしているかどうかによってその通信を許可すべきかを判断します。

例えば、宛先、及び送信先のIPアドレス、ポート番号を監視して、条件を満たしたもの以外を破棄することによって、通信の安全を確保する手段です。

また、特定のサービスを利用した通信のみを通過させる言うような手法もあります。

しかし、特定のWebアプリケーション(Webの技術によって作成されたアプリ)に脅威が潜んでいる場合には、通信手段や利用するサービス事態に問題がある訳ではありませんから、そのまま素通りする可能性が高くなります。

このような場合でも、脅威に対応することができる技術が「WAF(ワフ)」と呼ばれているセキュリティ対策です。

 

WAFとは?

WAFとは正確には「Web・アプリケーション・ファイヤーウォール」と呼ばれる技術です。

Webアプリケーションが行っている通信の内容を、監視することによって、Webシステムの脆弱性を狙った不正な攻撃を感知することができます。

Webアプリケーションとは、例えば、銀行のネットバンキング、証券会社のオンライントレード、ネット販売に利用されるショッピングカートなどのシステムです。

これ以外にも、掲示板や、ブログなどのシステムも該当します。この技術では、パソコンなどの端末に入っているWebブラウザが、データを受け取る前に、一度、送信されてきたデータをチェックすることによって、そのデータの中に怪しいプログラムが含まれていないを確認します。

具体的には、端末の中のブラウザが、Web上のサーバーと、データのやり取りをする際に必要となるセッション管理、ペイロードされたデータ、及びWebページで使用されているHTTPプロトコルの内容を細かく確認します。

このような対応によって、不正プログラムの存在や、不正ログインの痕跡がないかを検知することが可能です。

従来型のセキュリティ対策では、対応できなかったタイプの攻撃に対しても効果を発揮することが期待されるため、この技術が一般的に使用されることがWebアプリケーションの開発コストの削減に繋がるとして期待されています。

 

WAFの効力

これまで発見された不正な攻撃の中には、そのOSや、使用しているプログラムの脆弱性を、狙ったものが多数存在していました。

中には、通常のセキュリティ対策ソフトでは、対応することが困難であるタイプも存在していました。

そのため、完全な防御、と言うものを実現することは非常に困難な状況でした。

その点、この技術を採用すれば、それでも完璧、とは言えないかも知れませんが、それに近い防御態勢をとることができそうです。

WAFの形式は、設定した種類のアクセスのみを通過させるもの(ポジティブセキュリティモデル)と、リストに登録、または個別に設定したアクセスのみを、遮断するもの(ネガティブセキュリティモデル)に分かれます。

前者が一般的に採用されているようですが、それは、管理者の想定しないような、新手の攻撃に対応するには、これまで確認されていないタイプのアクセスを、拒否する設定の方が都合が良いからです。

また、提供している事業者によって、それぞれの端末にソフトウェアをインストールする方式と、クラウドのサービスとしてこの技術を応用したセキュリティ対策を提供する方式に分かれるようです。

現在のところ、企業向けのサービスとして、それなりの価格で提供されているようです。

 

WAFを採用すべき?

現在、企業で利用しているパソコンであれば、やはり検討すべきではないでしょうか?

不正な攻撃手段を考える側としては、このように強力なセキュリティ対策があれば、更に、それをも回避できる新手を考えるのが通常です。

そうなると、一般的なセキュリティ対策では、そのような新手の攻撃に、対応することが困難になることが予想されます。

少なくとも、顧客に関する重要データや、発表前の新製品に関するデータなどを、保存している端末だけでも、WAFに対応したセキュリティ対策を受けることができるサービスを、申し込んではどうでしょうか?

それなりに高額な利用料金に見合った安心を、手に入れることができるのではないでしょうか?