WAF とファイアウォールの違いとは
あらゆるセキュリティプログラムの必要不可欠な要素である WAF とファイアウォールは、さまざまなレベルでさまざまな種類の脅威からネットワークとシステムを保護するのにどちらも有効です。
WAF とは何か
WAF (Web Application Firewall) は、Web アプリケーションの保護に特化したセキュリティソリューションです。Web アプリケーションとインターネット間のシールドとして機能し、Web サービスが送受信する悪意のある HTTP/HTTPS トラフィックを検出し、ブロックしてサーバーを保護します。
適切に設定および有効化されていれば、WAF は SQL インジェクション攻撃やクロスサイトスクリプティング (XSS) 、HTTP プロトコル違反など、OWASP トップ10に含まれる脅威をはじめとする Web アプリケーションの脆弱性を狙ったアプリケーション層 (レイヤー7) への攻撃を阻止するのに役立ちます。
ファイアウォールとは何か
ネットワークファイアウォールとは、事前に定義されたルールに基づいて、ネットワークへの入出トラフィックを監視およびフィルタリングするネットワークセキュリティデバイスもしくはソフトウェアです。主にOSIモデルのネットワーク層 (レイヤー3) およびトランスポート層 (レイヤー4) で動作します。その主な目的は、正規の接続を許可しつつ不正アクセスをブロックし、ポートスキャン、マルウェア、不正侵入の試みといった脅威からインフラストラクチャを保護することです。
WAF とファイアウォールの違いとは
以下の表は、WAF と ファイアウォールの主な違いを示しています。こちらでは、動作場所から動作方法、そして目的までを比較しています。
カテゴリー | WAF | ファイアウォール |
目的 | アプリケーションロジックを標的とした攻撃から Web アプリケーションを保護 | 不正なアクセスやトラフィックからネットワークやシステムを保護 |
OSI レイヤー | レイヤー7 (アプリケーション層) で動作 | 主にレイヤー3 (ネットワーク層) およびレイヤー4 (トランスポート層) で動作 |
トラフィックの種類 | HTTP/HTTPS リクエストとレスポンスを検査 | TCP、UDP、ICMP を含むすべてのネットワークトラフィックを監視 |
重視する脅威 | SQL インジェクション、XSS、ファイルインクルージョン、レイヤー7 DDoS 攻撃、および API の悪用に対する保護 | 不正アクセス、マルウェア、ポートスキャン、ネットワーク層 DDoS 攻撃から防御 |
分析方法 | Web リクエストとペイロードのコンテキストおよび動作分析を使用 | パケットフィルタリングとルールベースの検査を使用 |
デプロイされる場所 | Web サーバーまたはアプリケーションの前に配置 | 通常、ネットワークの境界もしくはセグメント間にデプロイ |
設定の複雑さ | アプリケーションごとに設定 ー 多くの場合、DevSecOps もしくは AppSec チームによって管理 | ネットワーク全体で設定 ー 通常はネットワークセキュリティ管理者が管理 |
統合 | 多くの場合、CDN、API ゲートウェイ、および 分散型 DDoS 攻撃対策と統合 | 多くの場合、VPN、侵入防止システム (IPS)、ルーターと統合 |
ユースケース | Web サイトや API を Web 攻撃から保護 | 不正なトラフィックの企業ネットワークへの侵入をブロック |
主な対象 | Web アプリ、API、もしくは SaaS プラットフォームを運用する企業 | 内部ネットワーク、データセンター、またはクラウドインフラストラクチャを管理する組織 |
WAF のメリットは何か
堅牢なセキュリティプログラムには WAF を導入すべきです。WAF は、既知の脆弱性に対する保護を提供し、大量のトラフィックを処理し、そして
優れたソリューションは、導入・運用にほとんど手間がかからないからです。WAF を使用するメリットは具体的には次のとおりです。
データ保護
WAF はすべての受信 HTTP リクエストを遮断し、不正アクセスを防止し、データ侵害を回避するのに役立ちます。
分散型 DDoS 攻撃対策
WAF は分散型サービス妨害攻撃 (DDoS) から Web アプリケーションを保護するのに役立ちます。これには専用の 分散型 DDoS 攻撃対策ソリューションも利用できます。
アプリケーション層に対する保護
WAF は SQL インジェクションやクロスサイトスクリプティング (XSS) などの一般的なアプリケーションレイヤー攻撃をブロックするのに役立ちます。
コンプライアンス
WAF は PCI DSS などの要件を満たし、組織のコンプライアンスを維持するのに役立ちます。
全体的なセキュリティ体制の向上
WAFは、全体的なセキュリティ体制を向上させ、脅威や脆弱性が組織に影響を与えるのを防ぐ優れた方法です。
可視性の向上
WAFを使用すると、Webトラフィックや潜在的な脅威に関するインサイトを得ることができます。
アクセスコントロール
WAF はアクセスコントロールの適用を支援し、不正なユーザーやトラフィックがシステムにアクセスできないようにします。
ファイアウォールのメリットは何か
ファイアウォールはネットワークセキュリティの基盤として機能します。内部 (信頼済み) ネットワークと外部 (信頼されていない) ネットワーク間のトラフィックを監視およびフィルタリングし、正当なデータのみが通過するようにします。ファイアウォールを使用すると、セキュリティプログラムに次のようなさまざまなメリットがもたらされます。
不正アクセスの防止
従来のファイアウォールは、不正なユーザー、システム、もしくはデバイスがネットワークに侵入するのを防ぐアクセスコントロールポリシーを適用します。また、内部システムがインターネットに直接さらされるのを防ぐ役割も果たします。
ネットワークトラフィックフィルタリング
ファイアウォールは、データパケットを検査し、IP アドレス、プロトコル、ポートに基づいてフィルタリングします。これにより、「許可された」ネットワーク通信のみが実行され、想定外もしくは許可されていない動作は制限されます。
外部攻撃の防止
ファイアウォールが境界で悪意のあるトラフィックを遮断することで、さまざまな脅威 (なりすましや不正なリモートアクセスなど) から保護します。また、分散型 DDoS 攻撃や SYN フラッド攻撃などのネットワークレイヤー攻撃の防止にも役立ちます。
彼らは企業の重要な内部業務の門番です。
ネットワークのパフォーマンスと安定性の向上
ファイアウォールは、不要なトラフィックをフィルタリングすることで、ネットワークの混雑を最小限に抑え、正当な (望ましい) サービスやアプリケーションのために帯域を解放します。
レイヤードセキュリティ戦略のサポート
ファイアウォールは、多層防御セキュリティ戦略の基盤です。ファイアウォールは、他の重要なセキュリティツール (WAF、ウイルス対策ソリューション、侵入検知システム) と連携して動作し、多層的なセキュリティプログラムの最も外側のレイヤーを形成します。
WAF とファイアウォールを併用すべきか
では、WAF はファイアウォールに取って代わるものででしょうか、それともその逆でしょうか?いいえ…
どちらのセキュリティソリューションも、それぞれが特定かつ非常に重要な目的を果たすため、互いに代用することはできません。ファイアウォールはネットワークインフラストラクチャを保護し、WAF は Web アプリケーションを保護します。レイヤードセキュリティアプローチ (一般に多層防御と呼ばれる) で両方を組み合わせて運用するのが最善のアプローチです。
したがって、WAF とファイアウォールの両方が必要になります。
これは特に、Web アプリケーションや API を保有する組織 (基本的にはすべての組織) に当てはまります。
ファイアウォールはネットワークに対するより一般的な脅威をブロックし、不正な接続を防ぐのに役立ちますが、WAF はより深いセキュリティレイヤーを提供し、ファイアウォールでは検出できないアプリケーションレベルの脆弱性を遮断するのに役立ちます。WAF とファイアウォールを併用することで、あらゆる最新のセキュリティプログラムに最も包括的なセキュリティ保護を提供します。
Fastly のソリューションが役立つ理由
WAF プロバイダーを選択する際、グローバルな保護、強力な検出能力、先進的なインフラストラクチャに対応できる統合機能を備えたプロバイダーを選択することが重要です。Fastly の Next-Gen WAF は、最初からこれらの機能を念頭に設計されています。世界最大のグローバル・エッジ・クラウド・プラットフォームの Fastly は、世界中のユーザーと数ミリ秒以内に通信できます。
この戦略的な配置により、Fastly は従来の WAF よりも迅速にWebサイトとアプリケーションを保護できます。エンドユーザーの近くでトラフィックを検査することで、脅威が侵入できるレベルを素早く制限し、攻撃がオリジンサーバーに到達する前にブロックできます。