　そんなWeb周りの情報セキュリティ対策として使われるのが「WAF」だ。インターネット上で事業活動をするならほぼ必須級の対策になっている。Webサイトの改ざん、DDoS攻撃、ブルートフォースアタックなど、効果のあるサイバー攻撃は数あるが、竹田さんは顧客企業とやりとりする中でWAFの知名度不足を感じているという。

　ECサイトからの情報漏えい事件が絶えない昨今、WAFが何なのか、どのように役に立つのかをあらためて竹田さんに聞いた。

特集：Webコンテンツの守り方　情報漏えい対策術

経営や企業イメージに大きな打撃を与える情報漏えい。近年ではWebサイトの改ざんやデータベースを狙った攻撃により情報を盗み出す事案が話題になっている。本特集では情報漏えいを引き起こすサイバー攻撃と、WAFによる対策について解説する。

書いて字の通り　概念は難しくない「WAF」

　WAFは「Web Application Firewall」（ウェブ・アプリケーション・ファイアウォール）の略。文字通りWebアプリケーションを守るためのファイアウォールだ。ただそれだけのことであり、近年話題の「ゼロトラストセキュリティ」などと比べると難しい概念ではない。

　一般的なファイアウォールは、内部と外部の間に“関所”を作って外部から社内への不審なアクセスを制限するものだ。Webアプリは外部に公開するものである以上、ファイアウォールだけでは守りきれない。

　WAFはWebアプリと利用者の間のやりとりを監視して攻撃を検知して遮断するのが役割で、Webに係わるさまざまなサイバー攻撃の対策になる。例えばDoS攻撃、SQLインジェクション、ブルートフォースアタックなどに効果的だという。

WAFの概念図（情報処理推進機構「Web Application Firewall 読本改訂第2版」より）

　DoS攻撃は、対象のサービスやサーバなどに1台の端末から大量にアクセスすることでダウンさせるもの。1カ所からアクセスが来ているのであればすぐに不審な通信としてシャットアウトされるため、1台だけでなく、複数の端末でさまざまな場所から一斉にアクセスするDDoS攻撃が一般的になっている。最近ではウクライナへのサイバー攻撃、親ロシア派のサイバー攻撃集団「KILLNET」から日本政府などへの攻撃もDDoS攻撃だった。

　SQLインジェクションは、Webアプリの入力欄などから、データベースを操作する「SQL文」を入力することで、背景にあるデータベースを不正操作する攻撃。

　2022年には決済システム提供のメタップスペイメントがSQLインジェクションを含むサイバー攻撃を受け、同社のシステムを採用していたAKB48グループや日本赤十字社、公共機関、学会などさまざまな業種の企業団体が連鎖的に影響を受けた。

　ブルートフォースアタックは、Webサービスなどのアカウントに大量のログイン試行を繰り返し、パスワードを割り出す攻撃。情報漏えいにつながる他、大量のログイン試行そのものがDDoS攻撃のようにサービスに負担を掛けることもある。

　ゆうちょ銀行のVisaデビット・プリペイドカード「mijica」で2020年に発生した不正送金や情報流出などの問題でも、一部でブルートフォース攻撃が使われていたという。

WAFにもトレンドあり　クラウド・許可リスト・AIが進出

　　　　　　 1|2 次のページへ