WAFとは？セキュリティ対策の仕組みを詳しくご紹介します。

こんにちは。
大阪でWEBコンサルティングとWEB制作をしているワイズオフィスです。

今回はWAFについて書きたいと思います。

WAFとは

WAFとはWeb Application Firewallの略語でWebサイト上のアプリケーションに特化したファイアウォールです。主に、ユーザーからの入力を受け付けたり、リクエストに応じて動的なページを生成したりするタイプのWebサイトを不正な攻撃から守ります。一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで解析できるのが特徴です。

サーバーの前面で対処してくれるのが特徴

WAF（ワフ）は、Webサーバの前面に配置して通信を解析し、Webアプリケーションの脆弱性を突いた攻撃を検知・防御してWebサイトを守るためのセキュリティ対策です。WAFを配置することによって、SQLインジェクションやクロスサイトスクリプティングをはじめとする、ネットワークF/WやIPS/IDSでは対応できない各種攻撃を検知・遮断することができます。
 

WAFの検知ロジック

シグネクチャによる検知

攻撃で良く利用される固有のパターン（シグネチャ）をあらかじめ登録しておき、Webサーバに送られる通信（リクエスト）の内容がこれにマッチすれば攻撃と判定するシンプルな検知方法です。多数のシグネチャを組み合わせて提供されるルールセットを使って運用する場合も検知の仕組みは同じです。

メリット

ロジックが単純なため、WAFが各攻撃をどのように防御しているかを理解しやすく、説明もしやすい

デメリット

仕組み上、正常通信を止めてしまう誤検知が多発しがち。誤検知を調整するには一般的に該当シグネチャを外すしか方法がないため、そのシグネチャで本来止めたかった攻撃が止まらなくなる
 

スコアリングによる検知

個々のシグネチャで攻撃か否かを判定するのではなく、WAFがリクエスト内の様々な要素をスコア化して加算/減算し、閾値を超えた通信を攻撃と判定する検知方法です。

メリット

複数の要素を判定に用いるため、シグネチャ中心の検知と比べて正常通信の誤検知がある程度減少する

デメリット

検知基準を変更する際に調整が必要な箇所が多くなるため、誤検知が発生した場合にユーザ側でのチューニングは難しい

AIによる検知

シグネチャやスコアリングなど通信内容から機械的に攻撃を検知する方法から脱却し、WAFがAIによって攻撃の判定を行う方法です。様々なデータサイエンス技術を活用して、セキュリティ専門家に近い柔軟な判断を行うことが可能となります。

メリット

シグネチャ中心の検知やスコアリングと比べて正常通信の誤検知が大きく減少し、柔軟な検知ができるため、難読化など形を変えた攻撃に強い

デメリット

攻撃を判定する際のロジックを人間が理解できる形で説明しにくい