【アクセス技術.002】WAF

　佐藤IT雑貨屋です。

　2000年頃でしょうか。私がまだアプリケーション開発をしていた頃の話です。当時、営業がとある風俗店の顧客管理システムの案件の話を持ってきた事がありました。これは某地方都市の風俗店経営の会社からの案件でした。当時はネットワークの黎明期の様な時で、Yahoo BBがADSLモデムを駅頭配布していた時期でした。

　何でも万単位の顧客管理を行い、磁気カードを会員証にして複数店舗で利用する顧客管理システムの開発をして欲しいという話でした。
　私はこの提案で、本社にSQLサーバを設置し、店舗間は当時大手キャリアからリリースされ始めたインターネットVPNを利用してつなぐシステムを提案しましたが、競合先のソフトハウスは単にグローバルIPを取得し、SQLサーバにそのアドレスを設定、各店舗とはインターネットを介してつなぐという提案をしてきました。

　結果、私の提案はランニングコストが高いという事で落ちてしまい、競合先のソフトハウスの提案が採用されてしまいました。
　その後、社会ではSQLインジェクションという攻撃が騒がれましたが、果たしてその時の風俗企業は大丈夫だったのでしょうか。その当時はサイバー攻撃と言っても社会での認知度がまだまだ低い時代だったんですね。

　さて本題に入ります。

◆WAFについて
　WAF（Web Application Firewall）は、Webアプリケーションの防御に特化したファイアウォールです。SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性を突く攻撃に対してきめ細かいアクセス制御を行います。
　WAFの方式には、攻撃と判断できるパターンを登録しておき、それに該当する通信を遮断するブラックリスト方式と、正常と判断できるパターンを登録しておき、それに該当するパターンのみ通過させるホワイトリスト方式の二つがあります。ホワイトリストはユーザが独自に設定しますが、ブラックリストは通常、WAFのベンダが提供し、適宜更新するため、ブラックリスト方式の方が追加の運用推すとがかかりません。そのため、現在ではブラックリスト方式が主流となっています。

◆WAFの運用方式
　WAFの主流であるブラックリスト方式では、典型的な攻撃のデータパターンをブラックリストに登録しておき、該当する攻撃を遮断します。通常、ブラックリストはWAFベンダが提供するため、すでに公表されている攻撃のパターンが登録されます。ただし未知の攻撃は登録されていませんので、全ての攻撃を遮断できるとは限りません。そのため、WAFを導入する場合には、WAFだけでは攻撃を完全に防げない事を理解し、補助的に利用する事が推奨されます。
　根本的な対策は、セキュアプログラミングや脆弱性のあるソフトウェアのアップデートを行い、Webアプリケーションの脆弱性を無くす事です。それが行えないときの暫定的な対策としてWAFを利用するのが、現実的な対応を言えるでしょう。