WAFと脆弱性診断の関係は? WAFがあれば診断は要らない? 診断員が丁寧に解説します 若手診断員の奮闘記⑥
今回は診断員目線で語るWAFの話!
最近さまざまなところからWebセキュリティの話題が上がるようになってきて、WAFという言葉をちらっと聞いたことがある人も増えてきたのではないでしょうか。
この記事では、WAFの導入を検討されている方や脆弱性診断とWAFの関係性を知りたい方に向けて、私たち脆弱性診断員の目線から幅広い情報をお届けします!
まずはWAFとは何かを説明します!
まずは簡単にWAFの説明から! WAFとは「Web Application Firewall」の略で、Webアプリケーションの通信制御に特化したファイアウォールです。多層防御の一部として導入され、あらかじめ設定されたルールの下、通信を通すか通さないかを振り分けることで、セキュリティを確保していくツールなのです! Webアプリケーションを兵士に例えると、WAFは兵士を守るための盾みたいな立ち位置です!
普通のファイアウォールと違い、HTTPのプロトコルに基づいたルール設定をしていくことで、Webアプリケーションへの攻撃であるクロスサイトスクリプティングやSQLインジェクションなどを振り分け、これらからWebアプリケーションを守ってくれるのです!
また、比較的導入がしやすいのもWAFの特徴です。既存のWebサーバーにWAFのソフトウェアをインストールして利用する「ソフトウェア型WAF」、WAFの専用機器をWebサーバーの前に設置して利用する「アプライアンス型WAF」、インターネットを経由してWAFの機能を利用する「クラウド型WAF」があり、特に導入しやすいのがクラウド型WAFです。
クラウド型WAFは、ハードウェアの運用管理やシグネチャ(不正なアクセスや攻撃を検知するためのパターンやルール)の更新などの手間もないため、運用コストが低いといわれています。導入前にWebアプリケーションの特徴に合わせて細かく調整(チューニング)を行うことで、誤検知によるパフォーマンスの低下を防ぎ、適切に外部からの攻撃を防御できます。
ちなみに、経産省が発行しているECサイト構築・運用セキュリティガイドラインにもWAFの導入が推奨されているため、導入を検討されているベンダーさんも多いのではないでしょうか……?
ECサイト構築・運用セキュリティガイドラインについて知りたい方は、以下の記事をご覧ください。
WAFがあれば脆弱性診断は要らない……?
ここまで読んでくださった方の中には、こう思う方もいらっしゃるのではないでしょうか?
「WAFを導入したら、脆弱性診断は要らないんじゃない?」
結論は、「NO」です!
まず、役割に違いがあります。WAFは攻撃から身を守る「盾」なのに対して、脆弱性診断は、Webアプリケーションのセキュリティ的な欠陥(脆弱性)を見つけ出す「健康診断」のようなものだと考えてください。いくら盾が頑丈でも、兵士(Webアプリケーション)の体に病気(脆弱性)があり、立っていられなければ戦えませんよね? このように、それぞれの役割に違いがあることをまず理解しておいてください!
次に、対処できる脆弱性に違いがあります。WAFで制御できる脆弱性は限られています。WAFはルールに基づいて防御するシステムなので、ルールがある程度決まっているクロスサイトスクリプティングやSQLインジェクションなどの脆弱性に対しては非常に有効です。
しかし、アカウントの権限を利用した認証・承認に関する脆弱性や、世の中に広く認知されていない脆弱性などは、WAFで防ぐことができません。ABURIDA®の診断項目が約70項目あるうち、WAFで理論上防げる項目は半分程度です。WAFでは防ぎ切れない脆弱性は、われわれ脆弱性診断員が手作業で診て、対策していく必要があるのです!
また、脆弱性診断を行った上でWAFを導入すると、検出された脆弱性を標的としたWAFのチューニングができます。防御の焦点が合うことで誤検知も減り、より精度の高い防御を行えます。WAFの導入と脆弱性診断の両方を行うことで、Webアプリケーションのセキュリティはより一層強化されるというわけです!
WAFを導入した場合の注意点
これらを理解した上で、WebアプリケーションにWAFを実装し、システムの総合テストを終えた状態で、いざ脆弱性診断を迎えよう!と思っていらっしゃる方! ちょっと待った~!!
脆弱性診断員としてまだ3年目で駆け出しの私、いささかおこがましいと存じますが、ここで一つ申し上げたい!!
「WAFを有効な状態で脆弱性診断を受けないでください~(泣)」
診断を依頼する業者さんにもよりますが、脆弱性診断は多くの場合、攻撃を反復して自動で行ってくれるようなツールを使用して実施します。一つのリクエストに対して攻撃値を仕込んだものを送信し、その挙動を見てくれるツールのため、何度も通信が行われるわけなのですが、WAFが本番環境を想定して実装された状態でそのツールを流すと……。その通信が遮断されてしまい、ツールスキャンがうまく行かなくなるのです!
何が言いたいかと申しますと、本番環境を想定してWAFを動かした状態で脆弱性診断を行うと、WAFの検査をすることになってしまうよということです。
こうなると、本来診たい部分がWAFにより攻撃が遮断されてしまい、疑似攻撃がうまく行かないことで、Webアプリケーションの脆弱性が検出できなくなってしまいます。本質的な診断ができなくなってしまうことで、最悪リリース後にセキュリティ事故が起きてしまうなんてこともありえます……。
こうならないように、実はいくつか対策ができますので、並べておきますね! ご参考までに……
- 脆弱性診断の時期はWAFを止めてしまう
- WAFに脆弱性診断で使うIPアドレスの通信を全て許可する設定を組み込む
とはいっても、プロジェクトによってはWAFのチューニング(詳細設定)の期間と脆弱性診断の期間がかぶっていたり、そもそも設定が終わってしまってもう触ることができないなど、上記の対策が難しい場合もあります。そのような場合は、診断を依頼するところにぜひ確認してみてくださいね。私たちのABURIDA®︎は、しっかり相談させていただいた上で診断を進めてまいりますので、ご安心ください!
お互いのスケジュールに支障が出ないよう、しっかり調整をした上で診断期間を迎えられるのが理想ですよね……!
WAFの導入もABURIDA®にお任せください!
実はABURIDA®、脆弱性診断サービスの他に、WAFも取り扱っております! 私たちが取り扱う「Scutum®」は、AIを使った防御方式でチューニング作業が不要! 脆弱性診断と併せてご案内可能です!
それ以外にも、Webアプリケーションのセキュリティについて、どんなことでもご相談いただければと思います!
※Scutumは、株式会社セキュアスカイ・テクノロジーの登録商標です
WAFは改修が間に合わないときにも頼れる、心強い味方
RPGでも、主人公や仲間たちの弱い部分をどのように補うか、そのために何を装備するか考えると思います。セキュリティ対策を考える時も同じで、仕様や環境からどうしても生じてしまうWebアプリケーションの弱いところをどう補っていくかが重要です。しかし、時間が無かったり、手配が間に合わなかったりで、改修がすぐにできない場合があると思います。
そんな時こそ、WAFを導入することで、強い味方になってくれるのです!
私たちでは、AIを搭載した、チューニング不要で誤検知の少ないクラウド型WAF「Scutum®」をご紹介することができます。脆弱性診断からその結果を受けてのWAF導入まで、一貫してサポートいたしますので、ぜひご相談ください!
しかし、前述したように、脆弱性診断で検出した脆弱性が必ずしもWAFで制御できるものとは限らないため、その対策についてWAFが有効であるのかは、診断員に確認していただく必要があるということを覚えておいてくださいね……!!
まとめ
いかがでしたでしょうか……?
今回はWAFと脆弱性診断について、私たち診断員目線から記事にしてみました。WAF初心者の方やWAFの導入を検討されている方のお悩みに、少しでも寄り添うことができていたら幸いです!
これをしたから絶対に安全!という保証が難しい世の中ですが、その中でどう対策していくか。その手段として、脆弱性診断やWAFが存在しています。
インターネットがインフラ化している今、さまざまなWebアプリケーションに囲まれて生活していますが、いつ誰がセキュリティ被害に遭うかは分かりません……。そんな危険性を減らし、少しでも安心してWebアプリケーションを運用していけるように、ABURIDA®診断員一同、今日も脆弱性と向き合います!
それでは!!
ライター/あーちゃん
新卒で株式会社信興テクノミストに入社し、脆弱性診断の世界に飛び込んでみた普通の20代。診断員歴は、1年半とちょっと(2025年8月現在)。好きな脆弱性は「権限周り」(診断員はよく自己紹介に好きな脆弱性を言いがちですが、脆弱性って良いものではないので、「好きな」という表現は違うよね??と毎回思います。でも書いておきます)。
趣味は、おいしいご飯を食べること、アイドルを眺めること、観劇。日々の趣味を楽しむために働いております! 生きがいです!! 先輩方の背中を追いかけながら、日々脆弱性と向き合っております! まだまだ駆け出しですが、世の中の方々が安心してWebアプリケーションを利用できるよう、日々成長中です!