WAFは色々な製品が展開されており、導入の前に選定することが非常に重要です。そのために、WAFで防げる攻撃・防げない攻撃を理解しておくことで、より選定がしやすくなります。提供形態や防げる攻撃・防げない攻撃について解説します。
WAFの種類〜提供形態〜
ソフトウェア型
ソフトウェア型は、WAFのソフトウェアをインストールすることで導入する形態です。既存のサーバーに余裕があれば、そこにインストールするだけで簡単に利用できます。シグニチャ更新のために再起動する必要もありません。
ですが、サーバーに負荷がかかるため、Webサイトのスピードが落ちる可能性もあります。あくまでもサーバーに余裕がある場合におすすめです。
アプライアンス型
アプライアンス型は、WAF専用の機器を用意してWebアプリケーションの手前に設置します。柔軟なカスタマイズができるため自社にあった対策が可能です。
ただ、専用機器を導入することで初期費用が多くかかってしまったり、導入後の維持費用が必要になってしまうデメリットもあります。
クラウド型
クラウド型は、クラウド上でベンダーからサービスを受けるタイプです。現在のWAFの主流はクラウド型となっています。たくさんのクラウド型の製品が販売されています。時間がかかることなく導入でき、インターネット環境さえあれば使うことができます。初期費用も安価に抑えられます。
サービスの質がベンダーに依存してしまうため、自社に合うものを選定する必要があります。
WAFで防げる攻撃の種類
SQLインジェクション
SQLインジェクションはデータベースを操作する命令文をWebアプリに注入し、データベースにある個人情報などを盗み取る攻撃です。脆弱性のあるWebアプリが狙われています。早期発見が可能ですが、見逃してしまうと深刻な被害となります。
OSコマンドインジェクション
Webサイトに不正な入力を行い、サーバー側で想定していない動作をさせる攻撃がOSコマンドインジェクションです。Webサーバーにあるシェルというプログラムでコマンドを実行するという動作が狙われています。
クロスサイトスクリプティング(XSS)
掲示板などの、サイト閲覧者がページを作ることができるWebサイトに、不正なスクリプトを挿入して起きるサイバー攻撃がクロスサイトスクリプティングです。不正なWebサイトに誘導するスクリプトを脆弱性のあるWebサイト挿入し、誘導先からユーザーのWebアプリにマルウェアを送り込みます。
DDoS攻撃
複数のパソコンを経由してサイバー攻撃を行うのがDDoS攻撃です。他者のパソコンを支配してターゲットのサーバーに攻撃をします。1台のパソコンでは不可能な高度な攻撃も可能で、未然に防ぐことは難しいです。また、自分のパソコンを支配されてしまう可能性もあることから、加害者になりかねないサイバー攻撃なのです。
バッファオーバーフロー
バッファとは、パソコンのプログラムが持つ領域のことを指します。この領域から溢れてしまうほどの長さのデータがバッファに入力されてしまい、溢れてしまうのがバッファオーバーフローです。
ディレクトリトラバーサル
ファイルなどを操作するときに、不正なパスを挿入されてしまうことで、意図しないファイルやディレクトリを操作されてしまい、情報漏洩などが起きてしまうことをディレクトリトラバーサルと言います。
ブルートフォースアタック
数字や英文字を組み合わせるパスワードのパターンはいくつもあり、その中から特定の組み合わせを見つけるのは難しいことです。そのパターンを全て試し、無理矢理発見する方法をブルートフォースアタックと言います。人の力で行うのは難しいですが、コンピューターを使えば約3秒で解読可能です。専用のツールがあれば知識がなくても簡単に実行可能なサイバー攻撃なのです。
おすすめのWAFサービス
WAFで防げない攻撃の種類
BOTを使用した不正アクセス
BOTとは、同じ作業を繰り返すプログラムのことです。他のWebサイトで使われているIDとパスワードの組み合わせを見つけ出し、ログイン作業を繰り返します。他のサイトと同じID・パスワードを利用していてログインされてしまうと、個人情報を抜き取られてしまうのです。
BOTの不正アクセスはWebサイトの脆弱性を狙ったものではありません。そのため、脆弱性を守るWAFでは守れないのです。
ネットワーク層やOS、ミドルウェアに対する攻撃
OSやミドルウェアも、Webアプリケーションが防御範囲であるWAFでは守ることができません。OSやミドルウェアを守りたいのであれば、WAFにプラスしてIPSを導入すると効果的な防御ができます。
WAFは万能ではない!守れる攻撃もあれば守れない攻撃もある
WAFでは色々な攻撃からの防御ができますが、Webアプリケーションから離れたところへの攻撃や脆弱性を狙ったものではない攻撃だと守ることができません。防御できる攻撃とできない攻撃を知り、WAF選びに活かしましょう。