WAFの提供形態や防げる攻撃、防げない攻撃の種類

更新日:
WAF・サイバー攻撃対策のサービス資料を無料ダウンロード

WAF・サイバー攻撃対策の製品をまとめて資料請求

WAFは色々な製品が展開されており、導入の前に選定することが非常に重要です。そのために、WAFで防げる攻撃・防げない攻撃を理解しておくことで、より選定がしやすくなります。提供形態や防げる攻撃・防げない攻撃について解説します。

WAFの種類〜提供形態〜

ソフトウェア型

ソフトウェア型は、WAFのソフトウェアをインストールすることで導入する形態です。既存のサーバーに余裕があれば、そこにインストールするだけで簡単に利用できます。シグニチャ更新のために再起動する必要もありません。

ですが、サーバーに負荷がかかるため、Webサイトのスピードが落ちる可能性もあります。あくまでもサーバーに余裕がある場合におすすめです。

アプライアンス型

アプライアンス型は、WAF専用の機器を用意してWebアプリケーションの手前に設置します。柔軟なカスタマイズができるため自社にあった対策が可能です。

ただ、専用機器を導入することで初期費用が多くかかってしまったり、導入後の維持費用が必要になってしまうデメリットもあります。

クラウド型

クラウド型は、クラウド上でベンダーからサービスを受けるタイプです。現在のWAFの主流はクラウド型となっています。たくさんのクラウド型の製品が販売されています。時間がかかることなく導入でき、インターネット環境さえあれば使うことができます。初期費用も安価に抑えられます。

サービスの質がベンダーに依存してしまうため、自社に合うものを選定する必要があります。

WAFで防げる攻撃の種類

SQLインジェクション

SQLインジェクションはデータベースを操作する命令文をWebアプリに注入し、データベースにある個人情報などを盗み取る攻撃です。脆弱性のあるWebアプリが狙われています。早期発見が可能ですが、見逃してしまうと深刻な被害となります。

OSコマンドインジェクション

Webサイトに不正な入力を行い、サーバー側で想定していない動作をさせる攻撃がOSコマンドインジェクションです。Webサーバーにあるシェルというプログラムでコマンドを実行するという動作が狙われています。

クロスサイトスクリプティング(XSS)

掲示板などの、サイト閲覧者がページを作ることができるWebサイトに、不正なスクリプトを挿入して起きるサイバー攻撃がクロスサイトスクリプティングです。不正なWebサイトに誘導するスクリプトを脆弱性のあるWebサイト挿入し、誘導先からユーザーのWebアプリにマルウェアを送り込みます。

DDoS攻撃

複数のパソコンを経由してサイバー攻撃を行うのがDDoS攻撃です。他者のパソコンを支配してターゲットのサーバーに攻撃をします。1台のパソコンでは不可能な高度な攻撃も可能で、未然に防ぐことは難しいです。また、自分のパソコンを支配されてしまう可能性もあることから、加害者になりかねないサイバー攻撃なのです。

バッファオーバーフロー

バッファとは、パソコンのプログラムが持つ領域のことを指します。この領域から溢れてしまうほどの長さのデータがバッファに入力されてしまい、溢れてしまうのがバッファオーバーフローです。

ディレクトリトラバーサル

ファイルなどを操作するときに、不正なパスを挿入されてしまうことで、意図しないファイルやディレクトリを操作されてしまい、情報漏洩などが起きてしまうことをディレクトリトラバーサルと言います。

ブルートフォースアタック

数字や英文字を組み合わせるパスワードのパターンはいくつもあり、その中から特定の組み合わせを見つけるのは難しいことです。そのパターンを全て試し、無理矢理発見する方法をブルートフォースアタックと言います。人の力で行うのは難しいですが、コンピューターを使えば約3秒で解読可能です。専用のツールがあれば知識がなくても簡単に実行可能なサイバー攻撃なのです。

おすすめのWAFサービス

BLUE Sphere:月額45,000円~/複数のセキュリティ対策がオールインワン! Cloudbric WMS for AWS:セキュリティ専門家によるサポート/AWS WAFの運用を成功に導く! 開発・販売・サポート全て自社対応!純国産WAF「SiteGuard」

WAFで防げない攻撃の種類

BOTを使用した不正アクセス

BOTとは、同じ作業を繰り返すプログラムのことです。他のWebサイトで使われているIDとパスワードの組み合わせを見つけ出し、ログイン作業を繰り返します。他のサイトと同じID・パスワードを利用していてログインされてしまうと、個人情報を抜き取られてしまうのです。

BOTの不正アクセスはWebサイトの脆弱性を狙ったものではありません。そのため、脆弱性を守るWAFでは守れないのです。

ネットワーク層やOS、ミドルウェアに対する攻撃

OSやミドルウェアも、Webアプリケーションが防御範囲であるWAFでは守ることができません。OSやミドルウェアを守りたいのであれば、WAFにプラスしてIPSを導入すると効果的な防御ができます。

WAFは万能ではない!守れる攻撃もあれば守れない攻撃もある

WAFでは色々な攻撃からの防御ができますが、Webアプリケーションから離れたところへの攻撃や脆弱性を狙ったものではない攻撃だと守ることができません。防御できる攻撃とできない攻撃を知り、WAF選びに活かしましょう。

おすすめのWAFサービス

Cloudbric WAF+:月額28,000円〜/一石五鳥のWebセキュリティ対策ツール Securify:スピーディーかつ手軽な脆弱性診断を実現

      その他の関連する記事

      これは WAF・サイバー攻撃対策 の製品です。
      WAF・サイバー攻撃対策 の製品をまとめて資料請求

        • qeee枠【WAF】

          Webサイトを堅牢性の高いセキュリティで守る: Cloudbric WAF+

          (4.5)

          月額料金28,000円〜無料お試しあり
          初期費用要問い合わせ導入実績6,550サイト以上

          あらゆる包囲からのサイバー攻撃に対し、強固なセキュリティでWebサイトを守ることができ、高セキュリティでありながら、リーズナブルに利用することができます。 日本国内だけでも6,550サイト以上で導入されており、確かな導入効果が期待できるサービスと言えます。

          簡単に導入できる

          Cloudbric WAF+は、最短3プロセスで導入できる手軽さが魅力的です。 エージェントやモジュールをインストールする必要がなく、導入ヒアリングシートに必要事項を記入して提出、Cloudbric WAF+側でセキュリティプラットフォームを構築してもらい、DNSの情報を変更すれば設定は完了です。 利用開始後は、セキュリティエキスパートが検知ログの収集·分析を行い、セキュリティ運用ポリシーの提案を行ってくれるため、導入企業向けにカスタマイズされたセキュリティサービスを利用することができます。

          常時SSLを実現

          Cloudbric WAF+では、ウェブサイトからの通信を暗号化することができるSSL証明書を無償で提供しています。 SSL証明書の登録と更新を全て任せることで、常時SSLを簡単に実現することができるため、セキュリティ強化につながります。 また、Webサーバ側のSSL証明書を持ち込む際にも、管理画面で簡単にアップロードすることが出来ます。

          DDoS対策も可能

          過剰なデータを送りつけてサーバの運用を妨害するサイバー攻撃であるDDoS攻撃に対しても、Cloudbric WAF+であれば簡単に対策することができます。 利用しているプランに関わらず、基本料金内でL3/L4のネットワークレベルとL7のアプリケーションレベルのDDoS攻撃に対応できるため、余計なコストもかかりません。

          Cloudbric WAF+資料ダウンロード

          AWS WAFの運用を成功に導く: Cloudbric WMS for AWS

          (4.5)

                   
          月額費用47,500円~無料お試し30日間無償
          初期費用0円最短導入期間要問い合わせ

          Cloudbric WMS for AWSとは、クラウドブリック株式会社が運営しているAWS WAFに特化した運用サービスです。 AWS WAFは、専門的な知識が必要で、運用のためには複雑な設定が必要になるケースも多いため、自社に専門的なリソースがない場合は運用が難しいケースもあります。

          脅威インテリジェンスの専門性

               

          Cloudbric WMSでは、114カ国700,000サイト以上から収集される脅威情報と、日本を含んだ3カ国にて特許を取得している、自社開発の独自AI技術に基づいた危険度スコアリングによる脅威IPの遮断とS3ログ分析による攻撃遮断が可能となっています。

          高度化されたカスタム・ルール

          Cloudbric WMSは、日本を含んだ5カ国にて特許取得済みの論理演算検知ロジックをコーディングして、Webアプリケーションを守るために必要なセキュリティをカスタム・ルールにて提案してくれます。

          配コンサルティングとサポート付き

          Cloudbric WMSは、セキュリティ・ルール適用、誤検知対応はもちろん、その他の機能設定までを任せることができるコンサルティング付きのサービスとなっています。 24時間365日のモニタリングとサポートを提供しており、導入から利用までの全プロセスにおける柔軟なサポートが可能です。

          Cloudbric WMS for AWS資料ダウンロード

          複数のセキュリティ対策がオールインワン: BLUE Sphere

          (4.5)

          月額費用45,000円〜無料お試しあり
          初期費用要問い合わせ最短導入期間要問い合わせ

          WAFをはじめとしたDDoS防御やDNS監視など、複数の機能に加え、もしもの時の損害にも対応できるサイバーセキュリティ保険を付帯しているサービスで、WEBサイトのセキュリティ課題を一気に解消することができます。

          複数のセキュリティ対策をオールインワンで提供

          BLUE Sphereであれば基本機能の章で紹介した複数の機能が一つの製品にまとまっているため、包括的にWEBサイトを防御することができます。BLUE Sphereは非常にコストパフォーマンスに優れている製品だと言えるでしょう。

          登録ドメイン数が無制限

          WAFを提供しているサービスのほとんどが、登録するWEBサイト数(ドメイン数)に制限があります。 しかしBLUE Sphereは、複数のサイトを運営している企業でも契約の結び直しや追加料金を払うことなくドメインを追加することができます。

          改ざん検知も可能

          攻撃者がWEBサーバに不正ログインをしてWEBサイトを書き換えてしまうサイバー攻撃も軽視できない重大な問題となっています。 WEBサイトを改ざんされるとサービスが利用できなくなったり、サイト訪問者へのウイルス感染などの危険性があるため、改ざん時には早急に検知する対策が望まれます。

          BLUE Sphere資料ダウンロード

          類似サービス: Securify

          (4.5)

                             
          月額費用要お問合せ無料お試し2週間
          初期費用要お問合せ最低導入期間要問い合わせ

          Securifyとは、株式会社スリーシェイクが運営している脆弱性診断ツールです。 外部セキュリティベンダーでは難しかったスピーディーかつ手軽な脆弱性診断を実現し、セキュリティレベルを可視化、DevSecOpsへの取り組みを支援します。

             

          最短3ステップで診断開始

          Securifyの脆弱性診断は、簡単かつ短いステップで実現できます。 まずはプロジェクト名と内容を入力してプロジェクトを作成、診断対象のドメインまたはサブドメインを入力、最後に診断対象のURLを登録するだけで脆弱性の診断を始めることが可能です。

          シンプルで使いやすいインターフェース

          Securifyは、シンプルで直感的に操作ができるユーザーインターフェースで設計されています。 現在の診断状況や危険度は、ダッシュボードから一目で確認することができ、セキュリティに関する専門的な知識がない場合でも、脆弱性診断を実施、管理することができます。

          わかりやすい診断結果で改善をサポート

          Securifyの診断結果画面では、発見された脆弱性の危険度をスコアによって可視化することができ、その脆弱性によって起こりうる問題や修正方法の例を日本語で丁寧に解説してくれます。 脆弱性と判断した根拠となるリクエストや概要解説、修正方法の提案など、トリアージに必要な情報を提示してもらえるため、自社で修正が必要な情報を調査する手間が発生しません。

          Securify資料ダウンロード

          類似サービス: SiteGuard

          (4.5)

                             
          月額費用25,000円~無料お試し要問い合わせ
          初期費用要問い合わせ最低導入期間要問い合わせ

          SiteGuardとは、EGセキュアソリューションズ株式会社が運営しているWAFです。 手軽に導入できるクラウド型や、カスタマイズ性に優れたソフトウェア型、ゲートウェイ型でサービスを提供しており、Webサイトの安全性を高めることができます。 100万サイト以上※で導入されている実績があり、純国産WAFのため、開発・販売・サポートをすべて自社で対応することができ、安心して利用することができるサービスです。

                 

          柔軟な導入が可能

          SiteGuardは、導入企業のシステム環境に合わせた3種類の製品を提供しています。 SiteGuard Cloud Editionは、DNS切り替え型のクラウド型WAF製品です。DNSの設定変更によりWAFを導入できるため、新たな機器の設置やインストール作業は不要です。

          様々な攻撃を検出、防御

          SiteGuardは、Webアプリケーションの脆弱性を悪用した様々な攻撃を検出し、Webサイトを保護することができます。 様々な脅威からWebサイトを守ることができ、WordPressなどのCMSを利用したWebサイトの保護も可能です。

          簡単導入・簡単運用!

          Cloud Editionはマネージド型のクラウド WAFのため、日々の運用もエンジニアの伴走によりサポートいたします。 また、シンプルに利用できるよう設計されており、必要最小限の設定項目に絞り込まれているため、短期間で導入できる点も優れています。

          SiteGuard資料ダウンロード

        広告

        リード情報をお求めの企業様へ
        STRATE[ストラテ]に貴社サービスを掲載しませんか?

        まずは無料で掲載
        無料人気のWAF・サイバー攻撃対策
        をまとめて資料ダウンロード