WAFとはweb application firewallの事であり、Webアプリケーションを外部の攻撃から守ってくれるファイアウォールです。webアプリケーションとは、web技術で構築されたアプリケーションであり、通常のサイトやブログとは違って、web上で高度な作業を行える機能を持っているのが特徴となっています。
ウェブアプリケーションがサーバ上のプログラムやデータベースとブラウザ上で動作するスクリプトによって構成されている関係上、従来のfirewallやIPSでは悪意のある攻撃を防ぎ切る事が出来ません。WAFは、ウェブアプリケーションを安全に運用していく際に欠かせない仕組みです。 しかし、ウェブアプリケーションを外部からの攻撃から守るには、WAFだけでは十分とは言えません。
従来型のfirewallでIPとポートを防御し、IPSによってプラットフォームレイヤーを守り、更にWAFでウェブアプリケーションを守る事でセキュリティを高められます。 ウェブアプリケーションに悪影響を与える脅威には、webフォームの脆弱性を利用して、不正なSQLを挿入する事でユーザーの個人情報データを盗んだり、データベースを改ざんしたりするSQLインジェクション、OS向けのコマンドを送信してサーバでそのコマンドを実行させ、サーバに保存されているデータの流出や破壊を行うOSコマンドインジェクション、攻撃対象になっているwebサーバに存在する脆弱性を利用して、攻撃を行っている者が悪意のあるサイトへ誘導するクロスサイトスクリプティングといったものがあります。
いずれの攻撃も、サイト利用者や運営会社に大きな悪影響を与える為、十分なセキュリティ対策を施していく必要です。近年では、クラウド型WAFがあるので、オンライン上で公開しているアプリケーションをSQLインジェクションなどから守る為の仕組みを導入し易くなってきました。 WAFの主な機能は、Cookieの改ざん防止・データの改ざん防止の機能、カード情報をマスキング処理を行う機能、SSL通信の暗号化・復号化を行う処理を高速化し、サーバの処理負担を軽減出来るSSLアクセラレータ機能があります。オンライン上で動作するアプリケーションは、常に外部からの攻撃を受け付けない環境を整えておかなければいけません。WAFは、これらの機能を提供する事で、強靭なオンラインサービスを提供出来る環境作りに貢献します。