コロナ渦でリモートワークが普及した事で、
以前よりセキュリティー対策を気にされている方も多いのではないでしょうか?
弊社でもより快適にリモートワークを行えるよう、
社内外で環境の整備をおこなっておりますが、先日お客様とやり取りする際に、
以下のような事を尋ねられました。
「WAF(ワフ)とFW(ファイヤウォール)って何が違うの?」
どちらもセキュリティー対策には欠かせない仕組みですが、
違いを説明してみてと言われると意外と難しいかもしれません。
今回は、そんなWAFとFWの違いについてまとめてみたいと思います。
FW(ファイヤウォール)とは?
FWはFirewallの略称で、悪意のあるアクセスや攻撃から
サーバーや社内ネットワークを守るための仕組みです。
FWはインターネットと社内ネットワーク・サーバーなどの間に配置されており、
ネットワークに入ってくる通信・出ていく通信を常に監視します。
特定のポート(HTTPやFTP、SSHなど)や、特定のIPアドレスからの通信を、
許可・拒否する設定を予め行っておき、そのルールに沿ってアクセスを許可・拒否します。
ECなどのWebサイトの設定例としては、以下のような設定があげられます。
・不特定多数の人がWebブラウザでアクセスするHTTP・HTTPS通信は、全て許可しておく
・SSHやFTPなどWebサイトのメンテナンスに利用する通信は、特定のIPアドレスからの通信以外は拒否
WAF(ワフ)とは?
WAFはWeb Application Firewallの略称で、「ワフ」と呼びます。
Web ApplicationのFirewallなので、
守る対象がPHPやRubyなどで作られたWebアプリケーションとなります。
Webアプリは不特定多数の人がアクセスする可能性があるため、
悪意のあるアクセスからの様々な攻撃に対して、考慮する必要があります。
WAFは様々な攻撃のうち代表的な攻撃を検知して、
未然に防いでくれる仕組みです。
WAFが防いでくれる代表的な攻撃としてSQLインジェクションというものがあります。
この攻撃は問い合わせフォームなどのユーザーが文字を入力可能なフォームに、
データーベースを操作するプログラム(SQL)を入力して、誤作動させる攻撃方法です。
この攻撃が成功してしまうと、問い合わせフォームからデータベースが操作出来てしまうため、
顧客情報が流出してしまったり、大切なデータが削除されてしまい、Webアプリケーションが破壊されてしまう可能性があります。
そんな恐ろしいSQLインジェクションを対策出来ていない場合でも、
WAFを有効にしておけば、攻撃を防ぐことが出来ます。
その他にもWAFを有効にしておくと、ディレクトリートラバーサルや、XSS(クロスサイトスクリプティング)など、
様々な攻撃からWebアプリを守ってくれます。
FWとWAFの違い
FWとWAFの違いは守る対象が異なることです。
WAFはWebアプリを攻撃から守る仕組みなので、HTTP・HTTPS通信のみが守る対象となります。
Webアプリの性質上、不特定多数のユーザーからアクセスを想定する必要があるため、
様々な攻撃を防ぐよう仕組みとなっております。
それに対して、FWはWebアプリに限らず、社内ネットワークやサーバーなどを
悪意のあるアクセスや攻撃から守る仕組みです。
そのため、どのパターン(HTTP・HTTPS通信のみではなくFTPやSSH、特定のIPアドレスからのアクセスなど)でアクセスを許可・拒否するかを事前設定しておく必要があります。
弊社ではECサイトやコーポレートサイトなどのWebアプリを制作する場合、
レンタルサーバーをご案内する事が多いですが、WAFはどのレンタルサーバーでも標準でご利用いただける場合がほとんどです。
それに対して、FWは利用できない・もしくはオプションで契約する必要がある場合が多い印象です。
まとめ
FWとWAFの違いについてまとめてみましたが、いかがでしたでしょうか?
同じファイアウォールですが、WAFはウェブアプリ、FWはサーバーやネットワーク全体を守っているという事だけでも、覚えて頂けますと幸いです。