PhishWall利用サポート
法人向け製品サポート
パートナー様向けログイン

WAFと改ざん検知の使い分け

WAFと改ざん検知の使い分け

Webサイトを運用していると、そのセキュリティ対策の中で、WAF(Web Application Firewall)と改ざん検知について導入の検討や提案があるかと思いますが、どちらもWebサイトを保護するという目的があり、どちらを導入すれば良いのか?と迷われる方も多いのではないでしょうか。

今回は、WAFと改ざん検知サービスの違いと、その使い分けについてご説明したいと思います。

1.WAFと改ざん検知サービスの違い

まずWAF(Web Application Firewall)と改ざん検知サービスについての違いを理解する必要があります。WAFはその名に、Firewallとあるとおり、ネットワークの境界に存在し、外からの攻撃や、内部からの不正な通信を遮断する目的を指す総称に、Web Applicationがついているので、Webのアプリケーションに特化したセキュリティサービスです。要するにインターネットに公開しているWebアプリケーションが、その脆弱性をつかれて攻撃されることを防ぐというものになります。

では、改ざん検知サービスとは何でしょうか。手法は色々とありますが、インターネットに公開されているようなWebサービスのコンテンツやプログラムが不正に書き換えられていないかなどを検知するものになります。

どちらもWebサイトを運用するためには、導入した方が良いように思いますが、WAFの中には「Webサイトの改ざんも防ぐことができます」と謳われているものもあり、「そうであれば、WAFだけで良いのでは?」と思うユーザーも少なくないと思います。(※WAFとしての本来の機能とは別に、改ざんチェック的な機能を組み合わせたサービスも存在しています。)

ただし、WAFと改ざん検知は、それぞれが保護している箇所が異なります。外部攻撃からの防御という点では、WAFが効果的です。しかし、WAFで防御可能な改ざんは、公開されているWebサイトに対する脆弱性などを利用した攻撃です。このため、防御対象にならない攻撃が存在します。例えば、Webサイトは公開コンテンツとは別にCMSの管理画面などを持っており、WAFの防御対象となっていない事が有りえます。また、これらのコンテンツをWAFの防御対象としても、管理画面の認証情報の漏洩などで侵入されるケースでは改ざんを防ぐことが出来ません。さらに、CMSの管理画面以外でもWebコンテンツを管理するサーバーにSSHやFTPなどのWeb通信以外のリモート接続が可能な場合は、WAFの防御対象とはなりません。また、攻撃手法が様々に変化するため、WAFが脆弱性発覚当初の攻撃は防げても次々に発生する新たな脅威をすべて防ぐことは困難です。

逆に改ざん検知サービスは、外部攻撃からWebサイトを防御することは出来ません。しかし、改ざん検知サービスは、防御対象のコンテンツを確認することで、意図しない変更や不正なコードの埋め込み等の改ざんの被害にあった後に即座に検知し対処することで、被害を最小限におさえることを目的として利用されています。

2.より効果的にWebサイトを安全に運用するために

それぞれの違いが理解できたところで、「では、どうしたら自社のWebサイトをより安全に運用できるか?」を考えたいと思います。

Webサイトを運用している上で怖いのは、サーバーが閲覧できないなどサービスが停止していることよりも、アクセスすると不正サイトへ誘導されてしまったり、ウイルスなどに感染させられてしまうことかと思います。

そういう意味では、WAFを導入することで既知の脆弱性をついたWebアプリケーションに向けた攻撃を防ぐことは有益です。ただし、攻撃を防ぐにはサービス提供側がアップデートしてくれるシグネチャだけでなく、運用していく中での自社ルールの適用なども行う必要があります。しかしWAFを適切に運用していても上記でお話したように、WAF単体でWebサイトを100%安全に運用できるとは断言できません。

そこで、改ざん検知サービスの導入をあわせて行うことで、より安全なWebサイトの運用が可能になります。万が一、WAFの保護範囲じゃない箇所で改ざんされてしまっても、発見・対応ができる検知サービスを導入することで、Webサイトが正しいコンテンツを配信していると自信をもって運用できるようになります。

セキュアブレインでは、改ざん検知サービスとして「GRED Web改ざんチェック Cloud」を開発・販売しています。「GRED Web改ざんチェック Cloud」は、ユーザーと同様にインターネットを介してWebサイトにアクセスしながら、不正な改ざんを検知することが可能なため、ユーザーに影響のあるような改ざんを検知することが出来ます。

また、脆弱性についても、日々チェックしておくことで改ざんされないように事前に対策を講じることも可能です。同じく「GRED Webセキュリティ診断 Cloud」という日次、週次などで自動的に脆弱性診断をするサービスも提供しています。

Webサイトを安全に運用するために、それぞれの製品・サービスの特徴を知った上で、導入することが大切だと思います。

「GRED Web改ざんチェック Cloud」と 「GRED Webセキュリティ診断 Cloud」には無料トライアルがございます。両サービスともクラウドサービスなので、検査するWebサイトのURLを登録するだけで、サービスの開始が可能です。お気軽にお申込みください。

■「GRED Web改ざんチェック Cloud」詳細ページ
https://www.securebrain.co.jp/products/gred/index.html

改ざんチェック無料トライアルはこちら
https://www.securebrain.co.jp/products/gred/trial/index.html

■「GRED Webセキュリティ診断 Cloud」詳細ページ
https://www.securebrain.co.jp/products/gwsvc/index.html

脆弱性診断 無料トライアルはこちら
https://www.securebrain.co.jp/campaign/form-lite/