ウェブアプリケーションファイアウォール(WAF)と次世代ファイアウォール(NGFW)の違いとは?
ファイアウォールは 、脅威防御と機密データ漏洩防止を究極の目的として、インターネットトラフィックの送受信を監視・フィルタリングする重要な技術です。企業や組織は、これらのデバイスが安定して確実に動作することで、重要なリソースの侵入を防ぐことができます。
ファイアウォールには様々な種類があり、それぞれに機能や目的があります。この記事では、Web アプリケーションファイアウォール(WAF)と次世代ファイアウォール(NGFW)を比較し、包括的なセキュリティソリューションの一部として組み込む方法を探ります。
ウェブアプリケーションファイアウォール(WAF)とは?
ウェブアプリケーションファイアウォール(WAF)は、ウェブアプリケーションとインターネット間の受信トラフィックの上位プロトコルレベル(HTTPまたはレイヤー7)を理解するファイアウォールの一種です。ウェブアプリケーションやウェブサーバーが悪意のあるリクエストを受け入れる前に、それを検出して対応することができるため、企業はセキュリティのレイヤーを増やすことができます。
ウェブアプリケーションを保護するために WAF を使用する場合、通常、特定の基準に基づいてウェブリクエストを許可、ブロック、または監視するルールを定義します。たとえば、特定のIPからのすべての着信リクエストをブロックする必要がある、または特定のHTTPヘッダまたは脆弱性を含むリクエストのみをブロックする必要があるルールを指定できます。トラフィックを監視するだけなら、特定のエンドポイントをカウントするモニターを設定できます。この柔軟性により、セキュリティ管理者は、インシデントや侵害が発生したときに、リクエスト内容を迅速に記録し、不正なリクエストや不要なリクエストをブロックすることができます。
WAF はより高度なトラフィックを理解するため、ウェブアプリケーション攻撃をブロックすることができます(その他の利点もあります)。これらの攻撃の多くは、クロスサイトスクリプティング(XSS)攻撃、SQLインジェクション、サービス拒否(DoS)攻撃、認証情報や安全でない情報の漏洩など、 OWASPのトップ10 リストと密接に関連しています。
NGFWとは?
次世代ファイアウォール(NGFW)は、従来のネットワーク・ファイアウォールとウェブ・アプリケーション・ファイアウォールの優れた機能を組み合わせたアプリケーション・ファイアウォールの一種です。通常、ネットワーク層のパケットを検査することで、着信要求をブロックするファイアウォールとして機能しますが、プライベートネットワーク上の不要なトラフィックをブロックする新しい方法を解き放つ追加検査機能も備えています。
これらの機能の中には、TLSの検査と終了、侵入検知と防御、脅威インテリジェンス、トラフィックの内容やURLに基づいて高度なフィルタリングルールを設定する機能などがあります。この柔軟性の主な利点は、セキュリティ管理者がより高度なシナリオを処理し、協調的な攻撃ベクトルから派生するより高度な脅威をブロックできるようになることです。
WAFとNGFWの基本的な概念を理解していただいたところで、次にその類似点と相違点について説明します。
WAFとNGFWの類似点と相違点
WAFとNGFWは少し重なっていると言ってもいいでしょう。どちらもルールとポリシーエンジンを採用し、受信トラフィックをフィルタリングし、特定の基準に基づいて動作します。最近ではどちらも簡単に実行できるようになり、提供するベンダーによっては、専用ハードウェアを購入しなくてもこれらの機能を利用できるようになりました。
両者はアプリケーション層のプロトコル、特にレイヤー7で動作するため、重複していると思われるかもしれません。そうですね。NGFW は、OSI レイヤー 3-4 と 7 からのトラフィックを処理し、その情報を活用して、よりアプリケーションに近い内部レイヤーに到達する前に対策を講じる機能を追加した、従来のファイアウォールの拡張機能だと考えることができます。
両社の主な違いは、中核となる責任モデルと全体的な能力にあります。NGFWはより多くのネットワーク・トラフィック・コンテキストをキャプチャすることで、侵入してくる攻撃をネットワーク・レイヤーに到達する前に防ぐことができます。また、脅威インテリジェンスエンジンを組み合わせて、意思決定プロセスを支援することもできます。一方、WAFはアプリケーションレイヤーに限定されているため、XSSやSQLインジェクションのような一般的なWebベース攻撃を防ぐことに特化しています。WAFはネットワークのプライマリファイアウォールとして使用することはできませんが、インターネットに公開されているWebアプリケーションを保護するには理想的です。
WAFとNGFWの使い分けについて
ウェブ・アプリケーション・ファイアウォール(WAF)を使用したい理由は次のとおりです:
- アプリケーション層に特有の攻撃から保護します。WAFはアプリケーション層のトラフィックを検査することができ、一般的なアプリケーション層の攻撃から保護する機能も備えています。例としては、SQLインジェクション、XSS、DDoS、その他OWASPトップ10リストがあります。
- コンプライアンス要件を満たすことができます。たとえば、PCI DSS では、WAF がセキュアなコーディングプラクティスと連携して 要件 6 のオプション 2 を 満たす方法について説明しています。
次世代ファイアウォール(NGFW)ソリューションは、ネットワークおよびアプリケーション全体の攻撃から保護します。主な特徴は以下の通り:
- 多くのレイヤー(OSI 3-4と7)を監視することができます。これにより、攻撃の種類に関するより良い文脈と洞察が得られます。例えば、各パケットがどのアプリケーションをターゲットにしているかを判断し、特別な制御をかけることができます。したがって、NGFWはプライマリ・ファイアウォールとして使用できます。
- 洗練されたツールや機能を備えています。NGFWは、攻撃を防ぐために内部または外部のサービスを活用することができます。例えば、脅威インテリジェンスデータをロードし、新しいアップデートに基づいてルールを自動的に再構成することができます。
- SSLトラフィックを検査することができます。NGFWはSSL終端プロキシとして機能することができるため、送受信される暗号化トラフィックを宛先に到達する前に検査することができます。この機能については、 こちらの関連記事をご覧ください。
WAFとNGFWをどのような場合に使い分けるかについて正しい理解ができたところで、包括的で深層防衛ソリューションを提供するために両者をどのように使い分けるかを見てみましょう。
WAFとNGFWはどのように補完しあうのか?
WAF はウェブ・アプリケーション・トラフィックの保護に特化しているため、ウェブ・サーバの保護に最適です。WAFは包括的なセキュリティを実現する究極のソリューションではないため、NGFWと組み合わせることができればベストです。
理想的な全体的防御戦略は、OWASP トップ 10 攻撃から保護するように構成された WAF と、WAF に到達する前に特定の攻撃を検出して防ぐことができる従来のネットワーク・ファイアウォールとして機能する NGFW を持つことです。IDS/IPSや脅威モデリングなどの高度な機能を使用することで、NGFWは膨大な割合の攻撃をフィルタリングし、残りをWAFに任せることができます。
ウェブアプリケーション・セキュリティ・ソリューションを探す際に顧客が考慮すべきこと
ウェブアプリケーションのセキュリティソリューションを探す際には、いくつかの要因を考慮する必要があります。まず、Web アプリケーションを保護するための総合的なツールとサービスを提供する、信頼できるベンダーが必要です。Palo Alto Networks はそのようなベンダーの 1 つで、 NGFW や、WAF を内蔵した Web Application and API Security プラットフォームなど、包括的で使いやすいファイアウォール・セットを提供しています。
第二に、優れたドキュメントと優れたテクニカル・サポートが必要です。開発者とセキュリティ管理者は、セキュリティ・ポリシーに準拠したファイアウォールの適切な設定方法を理解できるように、リファレンス・ドキュメントを頼りにしています。ドキュメンテーションは最新かつ正確で、簡単にアクセスできるものでなければなりません。そうすれば、寄せられるリクエストの実装を、設定ミスのリスクを最小限に抑えながら効率的に行うことができます。Palo Alto Networks docs サイトは 、機能の詳細なリスト、設定方法、互換性のためのバージョン情報など、堅牢で見やすい開発者向けドキュメント サイトです。
WAFとNGFWのFAQ
