目次
Webサイトは公開した瞬間から狙われる
企業のWebサイトやWebアプリケーションは、公開した時点で、誰からでもアクセスできる状態になります。近年では、特定の企業を狙った攻撃だけでなく、自動化されたツールによる偵察を目的としたスキャンや脆弱性があれば試しに攻撃を仕掛けるという、いわば無差別攻撃が日常的に行われています。
そのため、「自社は狙われるほど有名ではない」「うちは大丈夫だろう」という考え方は、現実と合わなくなってきています。Webサイトを公開している以上、何らかの攻撃を受ける前提で対策を考えることが、今の時代の前提として考えられるようになってきています。
Webアプリケーションへの攻撃を許した場合のリスク
では、Webアプリケーションへの攻撃を許してしまうと、企業にはどのようなリスクが生じるのでしょうか。
1.顧客情報・個人情報の漏洩
Webアプリケーションは、問い合わせフォーム、会員登録、ログイン機能など、多くの情報を扱っています。これらに脆弱性が存在した場合、データベースに保存されている顧客情報や個人情報が不正に取得される可能性があります。実際に入力フォームの不備や想定外の入力をきっかけに、大量の情報が漏洩した事例は後を絶ちません。情報漏洩は、金銭的な損害だけでなく、企業の信用・ブランドに長期的な影響を与えます。
2.Webサイト改ざん・マルウェア配布
攻撃者は、Webサイトそのものを書き換えたり、不正なスクリプトを埋め込んだりすることもあります。その結果、正規の企業サイトが利用者にマルウェアを配布する踏み台になるケースもあります。この場合、被害は自社だけにとどまりません。「そのサイトを利用した顧客が被害に遭う」という二次被害が発生し、企業としての責任がより重く問われることになります。
3.サービス停止・業務影響
不正なリクエストの大量送信や、想定外の処理を引き起こす攻撃により、Webアプリケーションが不安定になることもあります。結果として、サービスが停止する、業務が止まる、または復旧対応に人手を取られるといった影響が発生します。このような事態では、技術部門だけでなく、事業部門や経営層を巻き込んだ対応が必要になります。
4.経営判断・対外説明の負担
インシデントが発生した際、必ず問われるのが「なぜ防げなかったのか」という点です。対策を講じていなかった場合、後追いで導入を検討することになり、説明や意思決定の負担はさらに大きくなります。このリスクは、技術の問題というより経営判断の問題として現れます。
WAFとはなにか:Webアプリケーションを守る仕組み
こうしたリスクに対する対策の一つがWAF(Web Application Firewall) です。
WAFは、Webアプリケーションへの通信内容を確認し、不正なリクエストを検知・遮断する仕組みです。ネットワーク機器のファイアウォールが「送信元・宛先・ポート」といった情報を主に見るのに対し、WAFはHTTPリクエストの中身に注目します。
- 不正なSQL文が含まれていないか
- 想定外のスクリプトが埋め込まれていないか
- 通常と異なるリクエストの振る舞いがないか
こうした観点で通信をチェックし、問題があればアラートを出したり、通信を遮断したりします。ここで重要なのは、WAFは「攻撃だけを見分ける装置」ではないという点で、正常な通信と攻撃の境界はアプリケーションの仕様や使われ方によって変わります。このため、WAFは導入すれば終わりではなく、自社のWebの振る舞いに合わせて調整していく前提の仕組みです。
IPAが示すWAFの位置づけと導入の考え方
安全なウェブサイトの作り方 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
Web Application Firewall 読本 | アーカイブ | IPA 独立行政法人 情報処理推進機構
IPA(情報処理推進機構)は、Webサイトのセキュリティ対策に関する資料の中で、WAFを次のように整理しています。
- 脆弱性対策は、設計・開発段階から行うことが重要である
- 運用中のシステムに存在するすべての脆弱性を把握し、即座に修正することは現実的に難しい
- WAFのような仕組みを用いて、攻撃を検知・緩和することが有効な対策となる
IPAは「WAFは開発の代わりではないが、運用現場で現実的に役立つ防御策である」という立場を明確にしています。また、IPAはWAFの導入にあたって、いきなり通信を遮断するのではなく、
- 1.まずは検知モードで挙動を把握する
- 2.正常な通信と攻撃の違いを理解する
- 3.業務影響を確認しながら遮断へ移行する
という段階的なアプローチを推奨しています。これは、WAFを「置けば安心な装置」ではなく、運用の中で継続的に最適化していく仕組みとして捉えていることを示しています。
ハードウェアWAFとクラウドWAFの違い
WAFにはいくつかの形態がありますが、大きく分けるとオンプレミスに設置するタイプと、クラウド上で提供されるタイプに分かれます。
従来のハードウェア型は、自社ネットワークの中に組み込んで使う前提のため、構成の自由度はある一方で、設計や運用の負担も大きくなりがちです。
一方、クラウド型はインフラの準備を前提とせずに利用できるため、導入のハードルは下がります。環境の変化に合わせて設定を変更しやすい点も、クラウドとの相性が良い部分です。
ただし、どちらを選んでも本質は変わりません。「何を防ぐのか」「どこまで許容するのか」を決めるのは人側の設計です。ここで一つ問いです。自社のWebにおいて、「止めてはいけない通信」と「止めるべき通信」は整理できているでしょうか。
自社にとってのWAFの役割を考える
Webアプリケーションに対するリスクは、特別なものではなく日常的に存在しています。その中でWAFは、すべてを防ぐための仕組みというよりも、状況を把握し、対応を選択するための材料を提供する役割を持ちます。重要なのは、WAFを入れるかどうかではなく、自社のWebに対してどこまでリスクを把握し、どう向き合うのかという視点です。WAFはその判断を支える手段の一つに過ぎません。何も対策がない状態と比べれば、攻撃の兆候を把握できるようになり、対応の選択肢も持てるようになります。
特にクラウド環境では、システムの変更スピードが速く、すべてを人手で把握することは難しくなっています。だからこそ、「何が起きているかを知り、どう向き合うかを考えるための仕組み」として、WAFを位置づけることが重要です。
