WAF対ファイアウォール: Webアプリケーションとネットワークファイアウォール
高度なサイバー攻撃とデジタル技術の革新が進む中、企業は脅威と、セキュリティ保護について理解する必要があります。特にファイアウォールに関しては、Webアプリケーションファイアウォールとネットワークファイアウォールでは、防御する攻撃タイプが異なるため、それぞれがどのように異なるのか、およびWeb攻撃やより広範なネットワークへの攻撃を防御する方法を理解することが重要です。
従来、企業はネットワークファイアウォールによってデータとユーザーを保護してきましたが、現代のセキュリティ脅威から保護するための柔軟性と透明性に欠けていました。しかし、個人所有の機器の持ち込み(BYOD)、パブリッククラウド、およびサービスとしてのソフトウェア(SaaS)ソリューションの増加により、セキュリティ戦略に Webアプリケーションファイアウォール(WAF)を追加する必要があります。Webアプリケーションは、リモートサーバー上に保存され、ブラウザインターフェイスを介してインターネット経由で配信されるため、ハッカーの標的になりやすいWebアプリケーションの保護を強化します。
アプリケーションファイアウォールとネットワークレベルのファイアウォールの違いを理解する
WAFは、HTTP(Hypertext Transfer Protocol)トラフィックを監視し、Webアプリケーションを保護します。これは、外部と内部のネットワークトラフィックを遮断する標準的なファイアウォールとは異なります。
WAFは、外部ユーザーとWebアプリケーションの間に設置され、すべてのHTTP通信を分析します。悪意のあるリクエストがユーザーやWebアプリケーションに到達する前に検知・遮断し、ビジネスに不可欠なWebアプリケーションやWebサーバーをゼロデイ脅威やアプリケーション層への攻撃を防御します。企業が新たなデジタル化への取り組みを加速させる中、新規追加したWebアプリケーションやアプリケーションプログラミングインターフェース(API)は潜在的な脆弱性をはらんでいるため、WADは重要なのです。WAFの詳細についてはこちらをご覧ください。
ネットワークファイアウォールは、セキュリティで保護されたローカルエリアネットワークを不正なアクセスから保護し、攻撃のリスクを回避します。その主な目的は、セキュリティで保護されたゾーンとそうでないゾーンを分離し、両者間の通信を制御することです。ファイアウォールがないと、パブリックインターネットプロトコル(IP)アドレスを持つコンピューターは、ネットワークの外からアクセスできるため、潜在的に攻撃のリスクにさらされることになります。
アプリケーショントラフィック対ネットワークトラフィック
従来のネットワークファイアウォールは、プライベートネットワークへの不正なアクセスを低減または防止するものでした。ファイアウォールポリシーは、ネットワークが許可するトラフィックを定義し、それ以外のアクセスは遮断します。遮断の例としては、不正なユーザーからのトラフィック、安全性の低いゾーンにいるユーザーやデバイスからの攻撃などがあります。
WAFは主にアプリケーショントラフィックを監視し、ネットワークのインターネット接続ゾーン内のHTTPおよびハイパーテキスト転送プロトコルセキュア(HTTPS)トラフィックとアプリケーションを保護します。これにより、これにより、企業をクロスサイトスクリプティング(XSS)攻撃、分散サービス妨害(DDoS)攻撃、SQLインジェクション攻撃などから企業を守ります。
第7層 対 第3層&第4層での保護
アプリケーションレベルファイアウォールとネットワークレベルファイアウォールの技術的な主な違いは、それらが動作するセキュリティ層にあります。この層は開放型システム間相互接続(OSI:Open Systems Interconnection)モデルによって定義されており、通信およびコンピューターシステム内の通信機能を特徴づけ、標準化します。
WAFは、OSIモデルの第7層(アプリケーションレベル)の攻撃を防御します。これには、Ajax、ActiveX、JavaScriptなどのアプリケーションに対する攻撃や、Cookie操作、SQLインジェクション、URL攻撃などが含まれます。また、Web ブラウザーと Web サーバーの接続に使用される Web アプリケーションプロトコル HTTP と HTTPS も防御します。
たとえば、第7層 に対するDDoS攻撃では、HTTPリクエストに応じてWebページを生成して配信するサーバー層に大量のトラフィックが送り込まれます。WAFはリバースプロキシとして機能し、DDoS攻撃によるリクエストをフィルタリングして特定し、悪意のあるトラフィックから標的のサーバーを保護します。
ネットワークファイアウォールは、データ転送とネットワークトラフィックを保護するOSIモデルの第3層および第4層で動作します。これには、ドメイン名システム(DNS)とファイル転送プロトコル(FTP)、簡易メール転送プロトコル(SMTP)、セキュアセル(SSH)、Telnetに対する攻撃が含まれます。
Web攻撃対不正アクセス
WAFソリューションは、アプリケーションをターゲットとするWebベースの攻撃から企業を保護します。アプリケーションファイアウォールを実装していない場合、ハッカーはWebアプリケーション脆弱性を抜け穴にしてより広範なネットワークに侵入しようとします。WAFは、以下のような一般的なWeb攻撃から企業を保護します。
- 直接的なサービス拒否: インターネット上のトラフィックを大量に送りつけることで、ネットワーク、サービス、サーバーに障害を与えようとするもの。標的のリソースを使い果たすことを目的とするが、トラフィックが明らかに悪意のあるものとは限らないため、防御が困難。
- SQLインジェクション: ハッカーが悪意のあるSQL文を実行し、Webアプリケーションのバックグラウンドでデータベースサーバーを制御することができるようにするもの。これにより、攻撃者はウェブページの認証と認可を迂回して、SQLデータベースの内容を取得し、そのレコードを追加、変更、削除することができる。サイバー犯罪者は、SQLインジェクションを利用して、顧客情報、個人データ、知的財産にアクセスする。2017年のOWASP Top 10では、Webアプリケーションセキュリティの脅威の第1位として挙げられている。
- クロスサイトスクリプティング: 攻撃者がユーザーとアプリケーションのやりとりを侵害することを可能にするWebセキュリティの脆弱性。攻撃者は、異なるWebサイトを分離する同一生成元ポリシーを回避し、本物のユーザーになりすまして、許可されたデータやリソースにアクセスする。
ネットワークファイアウォールは、不正なアクセスやネットワークに出入りするトラフィックを防御し、インターネットに接続する機器やシステムに対するネットワーク全体の攻撃から守ります。よく使われるネットワーク攻撃の例は、以下のとおりです。
- 不正アクセス: 攻撃者が許可なくネットワークにアクセスすること。一般的には、脆弱なパスワードの使用、ソーシャルエンジニアリング、内部脅威によるクレデンシャルの盗難やアカウントの侵害によって引き起こされる。
- 中間者(MITM)攻撃: 攻撃者がネットワークと外部サイト間、またはネットワーク内のトラフィックを傍受すること。多くの場合、安全でない通信プロトコルを悪用して、送信中のデータを盗み、ユーザー認証情報を取得し、ユーザーアカウントを乗っ取る。
- 特権エスカレーション: 攻撃者はネットワークにアクセスし、攻撃者は、ネットワークにアクセスした後、ユーザーの権限を不正に昇格させて、システムにより深く入り込む。攻撃者は、隣接するシステムにアクセスする水平的な方法と、同じシステム内でより高い権限を獲得する垂直的な方法のいずれかを使用する。
アプリケーションまたはネットワークファイアウォールの選択
標準的なネットワークファイアウォールとWAFは、それぞれが保護する脅威のタイプが異なるため、適切なものを選択することが重要です。しかし、ネットワークファイアウォールだけでは、Webページに対する攻撃を完全に阻止することはできません。しかし、WAFの機能を利用すれば防御を強化することができます。アプリケーションファイアウォールを実装しなければ、広範なネットワークの脆弱性を攻撃にさらしてしまうことになります。しかし、WAFはネットワーク層に対する攻撃を防ぐことはできないため、ネットワークファイアウォールを置き換えるのではなく、WAFで補完することが重要です。
Web ベースのソリューションとネットワークソリューションは、それぞれ異なるレイヤーで動作し、異なるタイプのトラフィックを保護します。そのため、補完し合う関係にあります。ネットワークファイアウォールは通常、より幅広い種類のトラフィックを保護します。一方、WAF は従来のアプローチでは対応できない特定の脅威に対応します。したがって、企業のオペレーティングシステムがウェブと密接に連携している場合は、両方のソリューションを導入することが推奨されます。
どちらか一方を選択するのではなく、ビジネスのニーズに最も適したWAFシステムを選択することが重要です。 ハードウェアアクセラレーターを搭載し、トラフィックの監視、悪意のあるアクセスの阻止、高い可用性、ビジネスの成長に合わせて拡張できる、スケーラブルなWAFを選択することが重要です。
次世代ファイアウォール 対 WAF&ネットワークファイアウォール
各層のセキュリティを保護するために別々のファイアウォール製品を購入することは、高価で面倒な作業になります。このため、多くの企業が次世代ファイアウォール(NGFW)などの包括的なソリューションを選択しています。NGFWは通常、ネットワークファイアウォールとWAFの機能を統合し、一元管理のシステムを提供します。また、現代のセキュリティ脅威から企業を保護するために不可欠な、セキュリティポリシーへの詳細なコンテキストの関連付け機能も提供しています。
NGFWは、ID、時間、場所などの情報を使って、ユーザーの本人確認を行うコンテキストベースのシステムです。これらの付加的な情報により、企業はユーザーアクセスについて、より多くの情報を得た上で最適な判断を下すことができるようになります。また、NGFWには、アンチウイルス、アンチマルウェア、侵入防止システム、URLフィルタリングなどの機能が搭載されています。これにより、セキュリティポリシーが簡素化され、高度化する脅威への対処がより効果的になります。
デジタルセキュリティに対する単一の包括的な視点を持つことで、より簡単に、より費用対効果の高い方法でセキュリティを確保することができます。そのためには、ネットワークとWebアプリケーションの基本的な要素をすべて保護するNGFWを選ぶことが重要です。WAFは、コードインジェクション、クッキー署名、カスタムエラーページ、リクエストフォージェリ、およびURL暗号化からWebアプリケーションの保護において特定の役割を果たします。したがって、FortiWebなどの専用 Webアプリケーションファイアウォール を組み合わせてNGFWを使用する必要があります。
フォーティネットは、既知および未知の脆弱性を標的とした攻撃から、ビジネスクリティカルなWebアプリケーションを保護します。
フォーティネットのFortiWebソリューションは、企業のWebアプリケーションの急速な進化に対応し、新機能の実装、Web APIの公開、既存APIの更新に合わせて、Webアプリケーションを保護し続けます。
FortiWebは、DDoS保護やプロトコル検証から、アプリケーション攻撃シグネチャ、ボットネットの排除、IPレピュテーションまで、あらゆるセキュリティ脅威から企業を守るための包括的な保護ソリューションを提供します。また、機械学習を利用して正常なユーザーの振る舞いに関するモデルを自動的に構築・維持し、多くのWAFが必要とする時間のかかる手作業なしに、安全なトラフィックと悪意のあるトラフィックを識別します。
ネットワークファイアウォール対WAFに対するフォーティネットのアプローチの詳細については、 WAF対IPSに関する概要情報をご覧ください。