WAF 、正しくは「Web Application Firewall(Web・アプリケーション・ファイアウォール)」と呼び、ホームページなどのWebアプリケーションの保護に特化したセキュリティ対策のこと。
WAF の役割
Webサーバーの前段に設置して通信を解析・検査し、こうした攻撃からWebサイトを保護し、不正ログインを防ぐ役割で使われる。
オンライン・バンキングやショッピングサイトのように、ユーザーからの入力を受け付けたり、リクエストに応じて動的にページを生成したりするなど、アプリケーションを作りこんだ Web サイトの保護に適している。
WAFを導入する主なケースとして、
- レンタルサーバ提供ベンダーや、複数のグループ企業を束ねている大手企業など、直接自分で管理していないウェブアプリケーションを保護したい場合。
- 他社が開発したウェブアプリケーションを利用しているなど自分では脆弱性を防ぐことができない場合。
- 事業継続の観点からウェブアプリケーションを停止できず脆弱性を行ったりパッチを当てたりできない場合。
などがある。
WAF の必要性
あなたもご存知の通り、Web サイトやインターネット上のサービスは今や重要な社会インフラとなっている。
ショッピングやゲーム、SNS などエンターテインメントでの利用はもちろん、インターネットバンキングや企業間での受発注など、Webサイトの活用は大変広がっている。
そのため Web サイトはサイバー攻撃の格好のターゲットになってしまった。
WAF の種類
ホスト(ソフトウェア)型 WAF
- メリット…専用ハードウェアを必要とせず、ネットワーク機器が増えない。
- デメリット…Webサーバーの台数で比例して導入費用や運用負荷が増える。WAFの導入要件がWebサーバーの環境に依存する。
ゲートウェイ(ネットワーク)型 WAF
- メリット…1台で複数のWebサーバーを保護できる。Webサーバーの環境に依存せず導入できる。
- デメリット…ネットワーク構成に影響を与える場合がある。管理対象のハードウェアが増える。
サービス型 WAF
事業者のサービス内容に依存する。
一般的には導入コストが低く、管理者の運用負荷も小さいが、月々の運用コストが割高になる。
引用:Canon WAF(Webアプリケーションファイヤーウォール) SiteGuard
https://www.canon-its.co.jp/products/siteguard/waf/
ちなみに、
引用した Canon WAF でも登場した JP-Secure の開発する SiteGuard は、Wordpress のプラグインにも存在する。
このブログでも使っているので、興味のある方は以下の URL から確認してみることをおすすめする。