セキュリティ対策、WAF（ワフ）ってなんだろう

こんにちは！　佐々木です。

最近立て続けに耳にする、セキュリティ関連の用語WAF（ワフ）ですが、今回はこれについて簡単に説明をしていきたいと思います。

WAFとは？

WAFは「Web Application Firewall」を略したものです。

いわゆる、ファイアウォールと何が違うの？　というのがまず真っ先に思いつくと思います。

ファイアウォールは、HTTPのポートへのアクセスを許可したり、または特定のIPからのアクセスを拒否したりするネットワークレベルでの仕組みです。（通信の中身は確認しない）

WAFはファイアウォール通過後のアプリケーション（HTTP,HTTPS,SQLインジェクション,PHPなどの言語に対する脆弱性）に対する攻撃を防ぐための仕組みです。

ファイアウォールでは防げなかった、悪意あるURLパラメータなどを防ぐことができます。
例えば、scriptタグをパラメータに検知すると、エラーページを返すなど。

また、WAFにはホスト（非クラウド）型とクラウド型が存在しています。

WAFの導入について

非クラウド型WAFの場合

有名なのがApacheで使える「ModSecurity」です。

フリーで使えますが、設定が複雑で、既存アプリの上にポンっとインストールすると、フォームが送信できないなどの思わぬアクシデントを招きます。

また、常に最新のセキュリティ更新を行わないといけないため管理コストがかかってきます。

クラウド型WAFの場合

クラウド型の問題点、月々の金額が高いことです。
ですが、サービス提供者側が最新のセキュリティ情報などに更新をしてくれるため、管理コストは低くすみます。
裏を返せば、サービス提供者まかせであるため、よく実績を確認する必要があります。

大きな企業からの依頼であれば、クラウド型を提案するのが良いかと思います。
もしも、サーバの保守管理に長けた会社であれば、非クラウド型の選択肢も良いものと思います。

また、クラウド型の場合でも、既存アプリケーションが動作しなくなる可能性は捨てきれないため、