Web Application Firewall

情報セキュリティとサイバーセキュリティ
対象別カテゴリ
ネットワーク・セキュリティインターネット・セキュリティ (英語版) コンピュータセキュリティモバイル・セキュリティ（英語版）車載セキュリティ（英語版）
隣接領域
安全保障
脅威
ウェブシェル（英語版）エクスプロイト権限昇格攻撃（英語版） DoS攻撃サイバー犯罪・サイバー戦争セキュリティホールスクリプトキディスパム盗聴フィッシングスミッシングマルウェアキーロガーコンピュータウイルススパイウェアトロイの木馬バックドアボットランサムウェアロジックボムワームワイパールートキット
防御
アクセス制御アプリケーション・セキュリティ（英語版）アンチウイルスソフトウェアセキュアOS セキュア・コーディング（英語版）セキュリティ・バイ・デザイン（英語版）セキュリティ・バイ・デフォルト（英語版）暗号侵入検知・防止システムデータ中心型セキュリティ（英語版）認可認証多要素認証ファイアウォールウェブアプリケーションファイアウォールモバイルセキュアゲートウェイ（英語版）ランタイムアプリケーション自己保護（英語版）
表話編歴

Web Application Firewall（略称:WAF、ワフ）とはウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティの一種^[1]。WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。WAFを使用することで、以下の効果が期待できる^[1]。

脆弱性を悪用した攻撃からウェブアプリケーションを防御する。
脆弱性を悪用した攻撃を検出する。
複数のウェブアプリケーションへの攻撃をまとめて防御する。

検出パターンにクレジットカードの番号や個人番号といった特徴のある個人情報のパターンを設定することで、そういった個人情報が悪意のある人に送信されてしまうことを防ぐといった使い方もできる^[1]。

セキュリティ対策としては、ウェブアプリケーションの実装面での根本的な対策ではなく、あくまでも攻撃による影響を低減する運用面での対策となる^[1]。

ウェブアプリケーションそのものに脆弱性を作り込まないために対策も各種あるが、現実的にはウェブアプリケーションの脆弱性を悪用した攻撃は後を絶たない。また、脆弱性が発見された場合においても、ウェブサイト運営者側の事情から即時に脆弱性を修正できないという実情もある。このため、ウェブアプリケーションが攻撃の被害にあわないためのセキュリティ対策の一つとして、WAFの使用が有効だと考えられている^[1]。

WAFを導入する主なケースとして、レンタルサーバ提供ベンダーや、複数のグループ企業を束ねている大手企業など、直接自分で管理していないウェブアプリケーションを保護したい場合、他社が開発したウェブアプリケーションを利用しているなど自分では脆弱性を防ぐことができない場合、事業継続の観点からウェブアプリケーションを停止できず脆弱性を行ったりパッチを当てたりできない場合等があり^[2]、根本対策のコストよりもWAFの導入・運用のコストのほうが安い場合にWAFを導入する^[2]。

PCI-DSSでは、定期的なアプリケーションコードの見直しかWAFの導入のいずれかを行わなければならないと定められている^[3]。

概要

WAFはウェブサイトの前に設置し、ウェブアプリケーションの脆弱性に対する攻撃と思われる通信の遮断等を行うものであり、LANとインターネットの境界などに設置されることが多い通常のファイヤーウォールとは（その名称にもかかわらず）機能が異なる^[4]。WAFが検知する攻撃はウェブサイトへのものに特化しており、HTMLを解釈してクロスサイトスクリプティングやSQLインジェクションなどの攻撃を遮断する。

攻撃を遮断する点においてIPSと類似するが、IPSはOSやファイル共有サービスなど様々なものに対する攻撃を遮断するために不正な通信パターンをブラックリストとして登録しておくのに対し、WAFの防御対象はウェブアプリケーションに限定されている為ブラックリスト型の遮断のみならず、正常な通信を事前登録してホワイトリスト型の遮断も行うことができる^[5]。

WAFにはHTTP通信（リクエスト、レスポンス）を検査し、検査結果に基づいて通信を処理し、処理結果をログとして出力する機能がそなわっている^[6]。通信の検査は前述のようにホワイトリスト、ブラックリストを用いて行う。検査結果に基づいた通信の処理としては、そのまま通過させる、エラー応答を返す、遮断する、通信内容の一部を書き換えた上で通過させる、という４通りがある^[7]。またセッションのパラメータの正当性やHTTPリクエストの正当性を確認してCSRF等の攻撃を防ぐ機能、ウェブサイトの画面遷移の正当性を確認する機能、ホワイトリストやブラックリストを自動更新する機能、ログをレポートの形で出力する機能、不正な通信を管理者にメール等で通知する機能等がついている事もある^[8]。

WAFはウェブアプリケーションがあるサーバ（＝ウェブサーバ）にインストールする場合と、ウェブサーバとインターネットの間に別サーバを設置してそこにインストールする場合がある。それぞれの比較は下記のとおりである^[9]：


インストール場所	利点	欠点・制約
ウェブサーバ	ウェブサーバがHTTPSに対応していればWAFがHTTPSに対応していなくてもHTTPSを処理できる。	ウェブサーバの動作環境に依存する複数のウェブサーバがある場合その全てにWAFを導入する必要がある。 WAFがウェブサーバの性能劣化の原因になる可能性がある
ウェブサーバとインターネットの間にある別のサーバ	ウェブサーバの動作環境に依存しない複数のウェブサーバがあっても１台のWAFで防御できる（ようにネットワークを構成できる）。特にネットワークベンダーがWAFを用意してくれれば、そのベンダーを利用してウェブサーバを構築した企業は自身でWAFを導入しなくて済む	既存のウェブサイトに後からWAFを導入する場合はネットワーク構成を見直す必要がある WAFによりウェブサイトの可用性が劣化する可能性がある

なお、たとえばウェブアプリケーションの認可機能に問題があるが、HTTP通信自身には問題がないケースなどではWAFは異常を検知してくれないので別の対策が必要となる^[10]。

WAF の進化の過程

急激に変化するIT環境や益々高度化するサイバー攻撃の増加に伴い、WAFも進化してきた。その進化の過程は動作方式によって第1、第2、第3世代とその次の世代として分けられる。

第1世代 WAF

第1世代のWAFは、ブラックリスト及びホワイトリストを管理者があらかじめ登録しておいて、Webトラフィックをアプリケーション層で分析する際、その内容が登録されているパターンと一致するかどうかを比較する方式を採用した。

- 限界

第1世代のWAFは新・変種攻撃に柔軟に対応できるようにパターンの範囲を広げて登録する方法を使ってきた。しかし、これは却って正常なWebトラフィックを攻撃として検知してしまう現状を招いた。攻撃タイプが多様化していくことにつれ登録されているパターン数もともに増加してきて、パフォーマンスの劣化につながるといった問題も発生した。また、人によりパターンをアップデート作業が行われたため、運用負担も大幅に増加した。

第2世代WAF

第2世代WAFは、Webアプリケーションを一定期間モニタリングし安全だと判断されたアクセスをホワイトリストとして自動作成する「リスト自動作成機能」が搭載された。

- 限界

第2世代のWAFは第1世代WAFと同じ構造で設計されたため、Webセキュリティ環境に存在する様々なWeb攻撃に適切に対応できず、結局第1世代WAFの限界であったパフォーマンス劣化や誤検知の問題は引き続き解決できなかった。また、依然として管理者による手動設定が必要であったため結果的に全体的な管理負担を増加につながった。

第3世代 WAF

第3世代WAFは、Web攻撃タイプ別に「ブラックリスト検知」、「ファイトリスト検知」、「Webトラフィックコンテンツ分析」などの技術を結合させ、論理的に攻撃を検知する仕組みで、第1・２世代のWAFに比べ極めて低い誤検知率を実現した。また、最小限のパターンを追加するだけで、攻撃の変種も直ちに防衛でき、パターン登録によるパフォーマンス劣化問題も解決した。

-　第3世代WAFの次は

現在のWAFは検知能力を更に高めるためにAI・マシンラーニング技術を用いて、第3世代のWAFを補っていく方向に進化している。

代表的なオープンソースソフトウェアのWAF

韓国インターネット振興院がオープンソースソフトウェアのWAFとして以下のソフトウェアを紹介している^[1]。

ModSecurity（英語版）（Trustwave（英語版））
WebKnight（AQTRONIX）^[11]

参考文献

“Web Application Firewall 読本改訂第２版 Web Application Firewall を理解するための手引き”. 情報処理推進機構 (2011年12月27日). 2018年11月2日閲覧。
“Projects/OWASP Best Practices: Use of Web Application Firewalls”. 2018年11月2日閲覧。各種攻撃手法へのWAF での防御可否、WAF 導入による効果とリスク、WAF 導入を決定する基準等をまとめたもの^[12]
“OWASP ModSecurity Core Rule Set (CRS)”. 2018年11月2日閲覧。ModSecurityに設定するルールセット
“WASC OWASP Web Application Firewall Evaluation Criteria Project”. 2018年11月2日閲覧。WAFの評価基準

出典・脚注

^ ^a ^b ^c ^d ^e ^f “Web Application Firewall (WAF) 読本改訂第2版” (PDF). 情報処理推進機構 (2011年12月). 2016年12月6日閲覧。
^ ^a ^b IPA 2011 Web Application Firewall 読本改訂第２版 pp.14-15, 33
^ IPA 2011 Web Application Firewall 読本改訂第２版 p8
^ IPA 2011 Web Application Firewall 読本改訂第２版 p10
^ IPA 2011 Web Application Firewall 読本改訂第２版 p11-12
^ IPA 2011 Web Application Firewall 読本改訂第２版 p19
^ IPA 2011 Web Application Firewall 読本改訂第２版 p21-23
^ IPA 2011 Web Application Firewall 読本改訂第２版 p25-27
^ IPA 2011 Web Application Firewall 読本改訂第２版 p16-17
^ IPA 2011 Web Application Firewall 読本改訂第２版 p29
^ “AQTRONIX WebKnight - Open Source Web Application Firewall (WAF) for IIS”. AQTRONIX. 2016年12月6日閲覧。
^ IPA 2011 Web Application Firewall 読本改訂第２版 p7-8

外部リンク

“ModSecurity: Open Source Web Application Firewall”. 2019年6月19日閲覧。

表話編歴脆弱性、攻撃手法、エクスプロイト
クロスサイト攻撃	クロスサイトリクエストフォージェリ (CSRF) クロスサイトスクリプティング (XSS) クロスサイト・クッキングクロスサイトトレーシングクロスゾーンスクリプティング（英語版）
インジェクション攻撃 (CWE-74)	クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) HTTPヘッダ・インジェクション HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134)
スプーフィング攻撃	DNSスプーフィング IPスプーフィング ARPスプーフィングクリックジャッキング (CAPEC-103) リファラスプーフィング（英語版） Eメールスプーフィング（英語版）フィッシング (CAPEC-98) ファーミング (CAPEC-89)
セッションハイジャック関連	セッションフィクセーション (CWE-384, CAPEC-61) セッションポイズニング（英語版） TCPシーケンス番号予測攻撃クッキーモンスター攻撃（英語版）
DoS攻撃	Land攻撃クリアチャネル評価攻撃（英語版）
サイドチャネル攻撃	コールドブート攻撃（英語版） Meltdown Spectre Lazy FP state restore（英語版） TLBleed（英語版）
不適切な入力確認 (CWE-20)	バッファオーバーフロー (CWE-119、120、121等) Return-to-libc攻撃ディレクトリトラバーサル (CWE-22)
未分類	中間者攻撃 (CAPEC-94) MITB攻撃 MOTS攻撃（英語版） Off-by-oneエラー (CWE-193) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）ダングリングポインタ（英語版） DNSリバインディング in-sessionフィッシング（英語版）クッキースタッフィング（英語版）悪魔の双子攻撃 IDNホモグラフ攻撃スナーフィング（英語版） JITスプレーイング（英語版）リプレイ攻撃誕生日攻撃 CRIME KRACK Intel ME（英語版）の脆弱性
対策	OP25B Content Security Policy（英語版）コンテントスニッフィング（英語版） HTTP Strict Transport Security (HSTS) ファイアウォール侵入防止システム (IPS) 侵入検知システム (IDS) Web Application Firewall (WAF) Wi-Fi Protected Access
関連項目	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit Sshnuke Nikto Web Scanner（英語版） OWASP（英語版） w3af（英語版）隠れ通信路（英語版）

表話編歴マルウェア
伝染性マルウェア	コンピュータウイルスコンピューターウイルスの一覧ワームワームの一覧（英語版）コンピュータウイルスとワームの年表
潜伏手法	トロイの木馬ルートキットバックドアゾンビコンピュータ中間者攻撃マン・イン・ザ・ブラウザ
収益型マルウェア	プライバシー侵害ソフトウェア（英語版）アドウェアスパイウェアボットネットキーロガー Web threat（英語版）詐欺ダイヤラーマルボットスケアウェア偽装セキュリティツールランサムウェア
OS別マルウェア	Linuxにおけるマルウェア携帯電話ウイルスマクロウイルス
マルウェアからの保護	アンチキーロガー（英語版）アンチウイルスソフトウェアブラウザ・セキュリティ（英語版）モバイル・セキュリティ（英語版）ネットワーク・セキュリティ防御コンピューティング（英語版）ファイアウォール侵入検知システムデータ損失防止ソフトウェア（英語版）
マルウェアへの対策	コンピュータサーベイランス（英語版）ボットロースト作戦（英語版）ハニーポットスパイウェア対策連合（英語版）
カテゴリ

ファイアウォールソフトウェア

Web Application Firewall
Context-based access control（英語版）
パーソナルファイアウォール
Stateful firewall（英語版）
Virtual firewall（英語版）

Linux

アプリ	FireHOL（英語版） Firestarter firewalld Netfilter（英語版） ipset（英語版） iptables l7-filter（英語版） NuFW（英語版） MoBlock（英語版） nftables Privoxy Shorewall（英語版） Squid Uncomplicated Firewall
ディストロ	Endian Firewall（英語版） IPFire（英語版） LEDE（英語版） OpenWrt SmoothWall（英語版） Untangle（英語版） Zeroshell（英語版）

BSD

アプリ	IPFilter（英語版） ipfirewall NPF PF CARP pfsync（英語版）
ディストロ	m0n0wall（英語版） OPNsense（英語版） pfSense SmallWall

macOS

Little Snitch（英語版）
NetBarrier X4（英語版）
PeerGuardian（英語版）
VirusBarrier X6

Windows

商用	Check Point Integrity（英語版） Kaspersky Internet Security McAfee Personal Firewall Plus（英語版） Microsoft Forefront Threat Management Gateway ノートン 360 ノートンインターネットセキュリティ Norton Personal Firewall（英語版） Outpost Firewall Pro（英語版） Symantec Endpoint Protection ウイルスバスター Windows Defender ファイアウォール Windows Live OneCare WinGate（英語版） WinRoute（英語版）
フリーミアム	Comodo Internet Security ZoneAlarm
オープンソース	PeerBlock（英語版） PeerGuardian（英語版）