WAFとファイアウォールの違いとは?初心者にも分かりやすく解説!

 

インターネットの普及によって私達は今まで以上に便利な生活を送れるようになりました。

例えば、スマホからWebサイトにアクセスして情報を確認したり、外出先からデータベースに接続して顧客情報をチェックできたりします。

このように、生活を大きく変えたひとつのインフラですが、逆にセキュリティについても注意する必要が出てきました。

特にWebサイトはさまざまな人からのアクセスを許可するので、脆弱性が潜んでいると悪用される心配があります。

また、利用する側もすべての通信を許可すると危険なので、送信元によっては拒否する必要があるでしょう。

Webサイトのセキュリティ対策はWAFPCはファイアウォールで遮断するのが有名ですが、両者の違いについてわからないという方もいるのではないでしょうか。

この記事では、WAFとファイアウォールの違いについて初心者でもわかるように解説しますので、興味のある方はぜひ参考にしてください。

おさらい!WAFとファイアウォールの概要について

まず、両者の違いを把握するために、それぞれの概要について詳しくチェックしていきましょう。

WAFとは?

WAF』とは、Web Application Firewallの略称で、その名の通りWebアプリケーションファイアウォールのことです。

Webアプリケーションに潜む脆弱性を狙った攻撃からサイトを守る役割があります。

代表的な攻撃例としては、XSSや強制的ブラウジング、SQLインジェクションです。

XSSはクロスサイトスクリプティングとも表現される攻撃手法で、不正なプログラム(スクリプト)をブラウザ上で動かして脆弱性をつきます。

例えば、プログラム内で適切な値が入力されていない場合、スクリプトによって値を埋め込みWebブラウザ上で実行されるようにする攻撃です。

強制リダイレクトが可能になるため、フィッシング詐欺やなりすましの詐欺に使われます。

強制的ブラウジングは、特定のリンクにアクセスして個人情報やサーバーの内部情報を取得しようとする手法です。

情報漏えいにつながる可能性があるため、会員がいるサイトは十分に注意する必要があります

SQLインジェクションはデータベースを操作できるSQL文を発行して情報を取得する手法です。

WAFは、Webアプリケーションに特化したファイアウォールになるため、製品として導入すれば、これらの攻撃からサイトを守ることができます。

現在ではパッケージ型だけでなく、クラウド型もあるため、低予算で導入することも可能です。

ファイアウォールとは?

ファイアウォールとは、インターネット経由で内部ネットワークに侵入してくるアクセスに対して送信元などを確認し、

許可・拒否を決めるセキュリティ機能のことです。

基本的に通信するかどうかは、送信元と宛先の情報を見て決めます。

そのため、通信内容のチェックは行われません。

荷物の配送に例えると送り主と宛名は確認しますが、荷物の中身はチェック対象外になります。

ファイアウォールの種類は大まかにわけて下記の3つです。

 

  • パケットフィルタリング型
  • アプリケーションゲートウェイ型
  • サーキットレベルゲートウェイ型

 

パケットフィルタリング型は、通信をパケット単位で解析して通信の可否を決めます。

一般的なセキュリティ対策方法として有名です。

アプリケーションゲートウェイ型は、プロトコル単位で解析して許可・拒否を判断します。

サーキットレベルゲートウェイ型は、ポート指定などを行い強力なフィルタリングを行う種類です。

パケットフィルタリング型の進化版として扱われるケースが多いでしょう。

このように、ファイアウォールは社内の内部ネットワークを守るために導入されるセキュリティツールです。

発信元IPや宛先IPをチェックして通信の許可や遮断を行ったり、通信プロトコルをチェックしたりして内部ネットワークを悪意のある外敵から守ってくれます。

初心者でもわかる!WAFとファイアウォールの3つの違い

WAFとファイアウォールの違いは大まかにわけて3つあります。

両者の違いについて詳しく解説していきますので、興味のある方はぜひチェックしてください。

守る対象に違いがある

1つ目の違いは、守る対象です。

つまり、“何を守るか?”が大きく異なります。

WAFのセキュリティ対象はWebアプリケーションです。

例えば、ショッピングサイトやホームページ、サービスサイトが対象になります。

一方、ファイアウォールは内部ネットワークに侵入する外敵から防御するセキュリティ機能です。

主に、OSやソフトウェアが対象になるため、両者においては守るべき対象に大きな違いがあります。

特に、WAFWebアプリケーションに限定したセキュリティ機能になるため、対象範囲は非常に狭いという点が特徴です。

一方、ファイアウォールは内部ネットワークになるため、監視が広範囲に及びます。

OSI参照モデルにおける防御対象階層の違い

2つ目の違いは、OSI参照モデルにおいて防御対象階層が異なる点です。

OSI参照モデルとは、コンピュータの通信階層を7つに分割して役割を明確にするためのモデルを意味します。

具体的な階層は下記の7つです。

 

  • アプリケーション層
  • プレゼンテーション層
  • セッション層
  • トランスポート層
  • ネットワーク層
  • データリンク層
  • 物理層

 

この中でWAFのセキュリティ対象階層は、アプリケーション層のみになります。

一方、ファイアウォールはトランスポート層、ネットワーク層、データリンク層の3階層です。

このように、それぞれのネットワークセキュリティで防御する階層が異なるため、この点においても両者の違いといえるでしょう。

防御できる攻撃に違いがある

3つ目の違いは、防御できる攻撃です。

防御する対象や階層に違いがあるため、どのような攻撃から守れるのかについても違いがあります。

WAFは主にWebアプリケーションを保護するセキュリティ機能になるため、対処できる代表的な攻撃は下記です。

 

  • クロスサイトスクリプティング
  • SQLインジェクション
  • OSコマンドインジェクション
  • パスワードリスト攻撃
  • パストラバーサルなど

 

それぞれの具体的な攻撃手法については割愛しますが、

WAFが対応できる攻撃は幅広く、Webアプリケーションのセキュリティを大幅に向上させることができます。

一方、ファイアウォールが防げるのはIPアドレスやポート制限のみです。

例えば、下記のような攻撃に対応することができます。

 

  • 開放ポートを探して不正アクセスしようとする攻撃
  • 内部からの不正プログラムインストール

 

防げる攻撃は非常に限定的で、WebアプリケーションプログラムやOS、ミドルウェアの脆弱性をついた攻撃やDos攻撃、ウイルス攻撃から内部ネットワークを守ることはできません。

対象範囲が非常に狭いので、OSWebサーバー、Webアプリケーションを外敵から守るためには、IDS/IPSWAFなどのセキュリティ機能を搭載する必要があります。

ファイアウォールだけでは不十分! WAFが必要なった理由とは?

企業の中には、絶対に侵入を許してはいけない内部ネットワークだけを保護すればいいと考えてファイアウォールで十分と思われている担当者も少なくないでしょう。

しかし、現在は昔とは異なり、IT技術が進歩し、それに関する知識を持つ人が増えたので、ファイアウォールだけでは不十分です。

なぜ、WAFを導入したほうがいいのか知ることで、ファイアウォールのみではセキュリティリスクが大きいことやWAFの重要性を理解することができます。

WAFが必要になった理由を2つご紹介しますので、ぜひ参考にしてください。

攻撃の手法が増えたから

1つ目の必要性は、攻撃手法が増えたからです。

WAFが守れる攻撃例でもご紹介したように、現在サイバー攻撃は多様化しており、サイト運営者はさまざまな手法に対応する必要が出てきました。

それぞれの手法でどこの脆弱性をつくのかが異なるため、できるだけ防御できる攻撃の範囲を広げるためにWAF製品を導入する企業が増えています。

当然、ファイアウォールでは守れない攻撃もカバーすることができるので、昨今WAFの重要性は非常に高くなっているといえるでしょう。

脆弱性をすべて把握することはできないから

企業の中には、「開発者にセキュリティを重視した制作をお願いすればいいのでは?」と思われる担当者もいるかもしれません。

開発者はWebサイトの構築技術には長けているかもしれませんが、セキュリティについて詳しくないエンジニアも非常に多いです。

すべてのエンジニアがセキュリティに関する技術が高いとは限らないため、完全に脆弱性がない状態でWebアプリケーションを公開することは難しくなっています。

WEBアプリケーションのセキュリティ対策ならWAF製品がおすすめ!

自社のWebアプリケーションには、脆弱性があるケースも多く、そこを狙われてしまうと情報漏えいなどのトラブルに発展するケースも珍しくありません。

実際に、ハッキングによる個人情報の流出事件は毎年報告されており、そのような事態になると企業は大きな被害を受けます。

そのため、日頃から十分に対策をしておく必要があるのです。

Webアプリケーションの脆弱性をできるだけ少なくしたいという方は、この機会にWAF製品の導入を検討してみてはいかがでしょうか。

ちなみに、下記の記事では人気のあるWAF製品を厳選してご紹介しています。

 

 

実際に導入することで、Webアプリケーションのセキュリティを向上させられますので、ぜひ参考にしてください。

まとめ

今回は、WAFとファイアウォールの違いについて詳しく解説しました。

両者では、セキュリティ対象や防御階層、対処できる攻撃で違いがあります。

また、Webサイトを運用している企業においては、ファイアウォールだけでは不十分です。

情報漏えい事件を引き起こしたり、フィッシング詐欺に加担してしまったりする可能性もあるので、

セキュリティにリスクを感じる方は、この機会にWAF製品の導入をご検討ください。

おすすめの記事