サイトマップ
購入のご案内
Web アプリケーションの仕組みを示す図

Web アプリケーション ファイアウォール(WAF)

WAF とは

Web アプリケーション ファイアウォール(WAF)は、データパケットを監視、フィルタ処理、ブロックすることで一般的な Web ベースの脅威から Web アプリケーションを保護するセキュリティツールです。

導入オプションを見る ソリューション概要を読む(PDF)

    WAF とは

    Web アプリケーション ファイアウォール(WAF)は Web サイト、モバイルアプリケーション、API の重要なセキュリティ防御です。Web アプリケーションが送受信するデータパケットを監視、フィルタ処理、ブロックし、アプリケーションを脅威から保護します。WAF は、Web トラフィックで最も一般的な危険度の高いセキュリティの欠陥を検出して防ぐように設計(調整)されています。そのため、小売業者、銀行、医療、ソーシャルメディアなど、不正なアクセスから機密データを保護する必要があるオンラインビジネスにとっては不可欠なものとなっています。WAF はネットワークベース、ホストベース、またはクラウドベースのソリューションとして展開でき、HTTP アプリケーションレイヤのアプリケーションデータを可視化します。

    Web およびモバイルアプリケーションと API は業務を中断またはリソースを枯渇させるセキュリティリスクに晒されているため、Web アプリケーション ファイアウォールは悪意のあるボットのような一般的な Web エクスプロイトを防ぐように設計されています。WAF はゼロデイ攻撃、ボット、マルウェアのような、可用性、セキュリティ、リソースを侵害する脅威を阻止します。

    WAF の仕組み

    WAF は HTTP のリクエストを調査し、事前に定義したルールを適用して悪意のあるトラフィックを特定します。WAF はソフトウェアの場合も、アプライアンスの場合も、サービスの場合もあります。WAF は、以下のような HTTP 通信の重要な部分を分析します。

    • GET リクエスト:サーバーからデータを取得するリクエストです。
    • POST リクエスト:サーバーにデータを送信して状態を変更するリクエストです。
    • PUT リクエスト:サーバーにデータを送信して更新または作成するリクエストです。
    • DELETE リクエスト:データを削除するリクエストです。

    WAF は、HTTP リクエストのヘッダー、クエリ文字列、ボディも分析し、悪意のあるパターンを探します。一致するパターンを見つけると、WAF はリクエストをブロックし、セキュリティチームにアラートを送信します。

    WAF セキュリティが重要な理由

    WAF は、オンラインビジネスのセキュリティにとって非常に重要です。機密データを保護し、漏洩を防ぎ、悪意のあるコードがサーバーに送信されることを阻止します。それにより、PCI DSS(クレジットカードデータ保護基準)などのコンプライアンス要件を満たすのに役立ちます。組織が使用する Web アプリケーションや IoT デバイスはますます多くなっているため、攻撃者はその脆弱性を標的にしています。Cisco Duo 2FAシスコのマルウェア保護のようなセキュリティツールと WAF を統合することで、堅牢な防御戦略を構築できます。

    Web アプリケーション セキュリティにおける WAF の役目

    現在、多くのアプリケーションが自社のコード、サードパーティのコード、オープンソースのコードを組み合わせて作成されています。WAF は、不適切に構築されたアプリケーションやレガシーなアプリケーションにセキュリティのレイヤを追加し、一般的な攻撃ベクトルをブロックして悪意のあるトラフィックがアプリケーションに到達するのを防ぐことで、安全な設計基準を一層強化します。WAF には、次に示すような固有の大きな利点があります。

    • WAF は、悪意のあるトラフィックが Web アプリケーションに到達する前にブロックでき、データ侵害などの攻撃を阻止できます。
    • WAF は、クレジットカード番号や顧客の個人識別情報(PII)などの機密データを不正アクセスから保護するのに役立ちます。
    • WAF は、コンプライアンス要件に違反するトラフィックをブロックすることで、PCI DSS などの要件を満たすのに役立ちます。
    • WAF は、侵入検知システム(IDS)、侵入防御システム(IPS)、ファイアウォールなどの他のセキュリティツールと連携して機能することで、攻撃をより効果的に防ぐ防御層を構築できます。

    WAF と他のツールの違い

    ネットワーク ファイアウォールは下位のレイヤを処理し、WAF は Web アプリケーションがより脆弱となる上位レイヤに焦点を当てます。WAF は、堅牢なアプリケーション セキュリティに不可欠です。

    WAF とネットワーク ファイアウォールの違い

    ネットワーク ファイアウォールは下位のレイヤを処理し、WAF は Web アプリケーションがより脆弱となる上位レイヤに焦点を当てます。WAF は、堅牢なアプリケーション セキュリティに不可欠です。

    Web アプリケーションにファイアウォールは必要か

    Web アプリケーションの前に WAF を配置することで、Web アプリケーションを一括して保護できます。クロスサイト スクリプティングやインジェクション攻撃などの攻撃に対して効果があることが大きな特徴です。

    HTTP プロトコルと WAF の関係

    WAF は、正当なリクエストを精査するために介入し、インジェクション、クロスサイト スクリプティング、HTTP フラッド、Slowloris などの攻撃を阻止し、Web インタラクションを安全に保ちます。

    WAF、IPS、NGFW の違い

    以下は、WAF、侵入防御システム(IPS)、次世代ファイアウォール(NGFW)の基本的な違いです。IPS はシグニチャベースで対応範囲が広く、レイヤ 3 およびレイヤ 4 で動作します。WAF はアプリケーションレイヤ(レイヤ 7)で動作します。WAF は各 HTTP リクエストを分析することで Web アプリケーションを保護します。また、これまでの WAF はセキュリティポリシーに基づいてアクションを許可します。NGFW は高度なファイアウォールで、IPS とアプリケーションレイヤ機能が統合されています。

    ネットワーク環境を守るには

    製品

    Cisco Secure Web Application Firewall(WAF)

    オンラインでのアクションを保護し、Web サイト、モバイルアプリケーション、API が安全で、守られていて、「常に利用可能」であることを保証します。

    シスコの高度な WAF の詳細を見る(PDF)

    製品

    Cisco Secure Firewall

    すべてのアプリケーションに対する統一されたアクセス制御で、最新の脅威を阻止してリアルタイムのネットワークセキュリティを達成できます。

    次世代ファイアウォールの詳細を見る

    製品

    Cisco Secure Firewall Management Center

    単一のダッシュボードから数百のファイアウォールを管理し、ポリシーを制御し、マルウェアをブロックできます。

    ファイアウォール管理を一元化する

    WAF が脆弱性を保護する方法

    WAF は、さまざまな形式のボットなど、優先順位の高い脆弱性を保護します。攻撃者は悪意のあるボットを使用して、アプリケーションとデータを、アカウントの乗っ取り、データスクレイピング、サービス拒否攻撃などの標的にします。API の使用が増えているため、API に対するボット攻撃も増加し、従来の緩和策では高度なボット戦略に対抗できないことが多くなっています。これらの脅威に対処するためには、WAF とデバイスのフィンガープリンティング、行動分析、ボットインテリジェンス、専用の API 保護を統合した複合型サイバーセキュリティ アプローチが必要です。効果的な WAF は、基本的なセキュリティシステムに適応して回避する進化型ボットを認識するためのディープラーニング機能など、ボット検出システムを搭載しています。WAF 保護ソリューションで悪質なボットを阻止することが非常に重要です。

    WAF が対応する主な脆弱性と、それぞれに対してシスコの高度な WAF およびボット保護テクノロジーが提供する防御戦略を以下に示します。

    攻撃カテゴリ攻撃 / リスクの説明WAF 保護テクノロジー
    ユーザー認証の侵害

    認証メカニズムが不十分な場合、不正にアクセスすることが可能です。攻撃者はこの脆弱性をエクスプロイトしてログイン画面をバイパスし、ユーザーのアカウントを侵害します。

    例:API、IP、トークン、ロールへの不正なアクセスや、顧客を対象とした攻撃など

    • トークン保護
    過剰なデータ露出

    機密データが不適切に保存、転送、公開されている場合、脆弱性となります。攻撃者は機密データにアクセスして、プライバシーを侵害する可能性があります。

    例:環境フィンガープリンティング、5XX 内部サーバーエラー、HTTP レスポンスヘッダー

    • データマスキング
    • 500 メッセージの置換
    セキュリティの不良構成

    不適切に構成された設定、権限、またはデフォルトは、セキュリティギャップを生みます。攻撃者はこれらのギャップをエクスプロイトして、不正なアクセスまたは制御を取得する可能性があります。

    例:不適切または一時的な構成、構成不良の HTTP ヘッダー、不要な HTTP メソッド

    • データマスキング
    • 500 メッセージの置換
    • 自動学習
    アクセス制御の侵害

    アクセス制御が侵害されると、不正なユーザーは制限されたリソースにアクセスできるようになります。攻撃者はこの脆弱性をエクスプロイトして、不正に特権を得ます。

    例:API、IP、トークン、ロールへの不正なアクセスや、顧客を対象とした攻撃、制限された API へのアクセスなど

    • API カタログ検証、IP および GEO ポリシー
    インジェクション/クロスサイト スクリプティング(XSS)

    インジェクションは、脆弱な入力をエクスプロイトします。攻撃者は悪意のあるコードをシステムに入力し、予期せぬコマンドを実行することで、不正なアクセスを取得したりデータを操作したりします。XSS 脆弱性により、攻撃者は悪意のあるスクリプトを Web アプリケーションに入力できます。これらのスクリプトはユーザーのブラウザで実行され、データまたはセッションを侵害します。

    例:SQL インジェクション、XSS、コマンドインジェクション、ディレクトリトラバーサル

    • ポジティブ セキュリティ モデル
    • ネガティブ セキュリティ モデル
    • API カタログ検証

     

    WAF は既知の脅威と新しい脅威を阻止できるか

    WAF は常に新しいルールとシグニチャで更新されるため、悪意のあるトラフィックを検出しブロックする、以下のようなさまざまな手法によって既知および新しいセキュリティ脅威を阻止します。

    • シグニチャベースの検出:この手法は、事前に定義されたルールを使用して、既知の攻撃パターンに一致する悪意のあるトラフィックを特定します。
    • 異常ベースの検出:この手法は、通常の動作パターンに当てはまらない悪意のあるトラフィックを特定します。
    • 機械学習:この手法は、人工知能を使用して未知の悪意のあるトラフィックを特定します。

    WAF が OWASP の上位の脆弱性を防ぐ方法

    WAF は脆弱性をエクスプロイトする悪意のあるトラフィックをブロックすることで、SQL インジェクションやクロスサイト スクリプティングなど、Open Web Application Security Project(OWASP)の主な脆弱性を阻止できます。たとえば、WAF は悪意のある SQL コードを含むリクエストをフィルタ処理で除外することで、SQL インジェクション攻撃をブロックできます。また、WAF は悪意のある JavaScript コードを含むリクエストをフィルタ処理で除外することで、XSS 攻撃をブロックできます。

    OWASP の上位 10 個の脅威を見る

    さまざまなタイプの WAF 展開とその例

    以下は、組織のクラウドのサイバーセキュリティ インフラストラクチャに WAF を統合する WAF 展開オプションの例です。

    クラウドベース

    これは新しい展開オプションで、WAF サービスはクラウドにホストされ、サブスクリプションとして提供されます。

    クラウドベース AWS

    社内のセキュリティリソースが限定されている組織に最適です。AWS 上でサードバーティにより WAF を管理してもらえるため展開の負担がなく、重要な業務に集中することができます。

    『AWS 向け Secure Cloud 設計ガイド』を読む

    クラウドベース Azure

    バンドル型のクラウド セキュリティ ソリューションです。コスト対効果の高い方法でセキュリティポリシーを素早く展開することができ、複雑性を排除して WAF 保護の利点を享受できます。

    『Azure 向け Secure Cloud 設計ガイド』を読む

    クラウドベース Kubernetes WAF

    継続的インテグレーションおよび継続的デリバリー/継続的展開(CI/CD)環境のための拡張性の高いアプリケーション セキュリティが、Kubernetes によってオーケストレーションされます。

    オンプレミス

    これは従来型の展開オプションで、WAF の仮想またはハードウェアアプライアンスが組織のオンサイトのデータセンターに設置されます。柔軟性、高いパフォーマンス、高度なセキュリティが必要な組織に適しています。

    ハイブリッド

    これはオンプレミスとクラウドベースの展開オプションを組み合わせたもので、WAF アプライアンスはオンサイトに設置され、クラウドベースのサービスでそれを補完します。

    セキュリティの関連トピック

    ファイアウォールとは

    ファイアウォールとは、ネットワークトラフィックを監視、フィルタ処理、ブロックするネットワーク セキュリティ デバイスです。

    異なるタイプのファイアウォールを比較する

    次世代ファイアウォール(NGFW)とは

    NGFW は、アプリケーション制御、侵入防御、脅威インテリジェンスによってネットワークを監視するものです。

    NGFW について読む

    ネットワークセキュリティとは

    ネットワークセキュリティは、ネットワークのインフラストラクチャを侵害、サイバー攻撃などの脅威から保護するものです。

    ネットワークセキュリティの詳細はこちら

    サイバー攻撃とは

    サイバー攻撃は、個人や組織のデータシステムを侵害しようとする悪意のある試みです。

    最も一般的なサイバー攻撃を見る

    DDoS 攻撃とは

    DDoS(分散型サービス拒否)攻撃は、ネットワークをトラフィックであふれさせてオペレーションを中断させるものです。

    DDoS 攻撃について詳しく読む

    脆弱性管理とは

    脆弱性管理には、セキュリティの欠陥の特定、追跡、優先順位付け、修正などが含まれます。

    脆弱性の管理方法を学ぶ

    ソリューション概要

    Cisco Secure WAF の統合型アプリケーション保護

    進化する Web 攻撃に先回りして、最も使用されているネットワークセキュリティ製品のひとつで Web アプリケーションを保護しましょう。Web アプリケーション ファイアウォールがビジネスにどのように役立つかをご覧くださいご確認ください。

    ソリューション概要を読む(PDF)