WAF セキュリティオプションサービス
WAF セキュリティオプションサービスとは
WAF セキュリティオプションサービスは「Webアプリケーションの脆弱性を悪用した攻撃」からWebサイトを保護するセキュリティ対策サービスです。
TOWSホスティングサービスのオプションとして提供しており、追加導入することでお客様のWebサイトをサイバー攻撃から保護し、より安心してサイトを運用していただけます。
WAFとは何?なぜ必要?
昨今Webサイトの役割は企業情報の公開だけに留まらず、CMS等を用いたオンタイムな情報発信、SNSとの連動、コンテンツと連動したマーケティングや広告出稿、問い合わせフォームによる営業情報の収集など、企業活動と密接に関係しています。
このように「会社の顔」から「事業継続の中心となるツール」とWebサイトの重要性が増していく中で、「情報を窃取され個人情報が漏洩する」「Webサイトを改ざんで企業の信用が低下する」など、いわゆるサイバー攻撃による被害も年々増加しています。
これらのサイバー攻撃からWebサイトを保護するツールのひとつがWAFです。WAFとは「Web Application Firewall」の略で、文字通りWebアプリケーションの脆弱性を悪用する攻撃を検知・防御し、Webサイトをより安全に保つことが可能となります。
サイバー攻撃による具体的な被害例
Webサイトの改ざん
Webサイトのコンテンツを書き換え、無関係な内容・画像を表示させたり、またマルウェアを埋め込み閲覧者のPCを感染させたり、偽サイトに転送させるなど、さまざまな悪影響が発生します。
個人情報の漏洩
CMSなどのWebアプリケーションはMySQL等のデータベースと連動しており、そのようなアプリケーションの脆弱性・設定不備から悪意のある第三者にデータベースに侵入されると、保管されている情報を抜き取られたり、書き換えられたりという被害が発生します。個人情報が漏洩すると、その情報を元に詐欺に利用されるなどの二次被害の可能性も高くなります。
スパムメール発信の踏み台
問い合わせフォームの脆弱性・設定不備から、悪意のある第三者により迷惑メール(SPAM)の送信元として利用されてしまうと、組織の信用低下や、そのドメイン・IPアドレスの信頼性低下により、正当なメールでも相手に届きにくくなる等の悪影響が発生します。
WAFで防御できるサイバー攻撃の種類
・SQLインジェクション
・クロスサイトスクリプティング
・OSコマンドインジェクション
・ディレクトリトラバーサル
・ブルートフォースアタック
いずれもWebサイトを構成しているアプリケーションやOS・サービスの脆弱性や設定の不備をピンポイントで狙って、外部からおこなわれるサイバー攻撃の類型です。
WAFではこれらの攻撃パターンをシグネチャとしてルール化しており、Webサイトへのアクセスを逐次検査し不正アクセスかどうかを分析・判断し、正常なリクエストのみを通過させるという動作をします。
サイバー攻撃は日々新しい手法が出現していますが、WAFではそれらに対応するシグネチャも随時更新されていくことで、継続してWebサイトを保護することが可能です。
また「国別フィルタ」を利用することで、接続元IPアドレスから国・地域を特定したアクセス制御も可能です。
WAF導入のメリット
WAF導入のメリットは「Webサイトを保護できる」ことに尽きますが、特に以下のようなケースにおいて有効となります。
保険的意味での事前対策
取引先から「御社のセキュリティ対策はどうなっていますか?」とレポートの提出を求められたことはありませんか?近年ではWAFの導入を求められるケースも増えており、またISMS認証などのセキュリティ要件を満たすためにWAFを導入したいというご要望も増えております。
サイバー攻撃による事故・被害が起こると、対応のため少なくないコストが発生し、自社のみならず取引先にも影響が波及する可能性があります。事前対策としてWAFを導入することで、セキュリティインシデントの発生リスクを低減することが可能となります。
すぐに脆弱性を修正できない
WordPressなどのWebアプリケーションを利用している場合、それらのアプリケーションやフレームワークの脆弱性を認識していても、運用の都合や相性の問題などですぐにパッチ適用やバージョンアップができないことがあります。
WAFを導入してWebサイトを保護しつつ、並行してWebアプリケーションの脆弱性修正を進めることで、計画的・現実的な対策が可能となります。
TOWS WAFオプションの特長
低コストで実現可能
TOWS Mail&Webサービス(共用サーバ)ご利用のお客様には、オプションとして月々のサービスご利用料金にお手頃な価格でご提供いたします。
手軽に始められるホスト型WAF
本WAFオプションはいわゆる「ホスト型WAF」となり、Webサーバにインストール済みとなります。そのためDNSゾーン情報の変更やネットワークの構成変更は不要となるため、お手軽に始めることが可能です。
*ご利用状況により、本サービス対応のWebサーバに移行いただく場合がございます
信頼性の高い純国産WAF
本サービスには日本国内で開発・運用されている「SiteGuard」シリーズ(EGセキュアソリューションズ製)を採用しております。
国内WAF市場シェアNo.1※と実績のある製品を採用しており、安心してご利用いただけます。
※2023年12月期_指定領域による市場調査
調査機関:日本マーケティングリサーチ機構
こんなWebサイトにおすすめ
・WordPressなどのCMSで構築した動的コンテンツを含むサイト
・お問い合わせページなど訪問者に入力させるフォームがあるサイト
・カートシステムがあるECサイト
・ログイン認証があるサイト
ご導入の流れ・ご注意事項
TOWSサービスで提供しているWAFは「ホスト型」であり、DNSやネットワークの構成変更は不要です(「TOWS Mail&Webホスティングサービス」をご契約いただいているお客様向けのオプションとなります)。
導入時にはWebサイト内でどのようなコンテンツを運用されているかヒアリングさせていただき、まずは実際に不正アクセスを遮断せず「検知」のみをおこなうモードで運用いたします。その後、ログや動作状況をご確認の上、正式導入となります。
本オプションが利用できるWebサーバは比較的新しい一部のものに限られますので、ご利用をご希望の際はWebサイトの収容サーバを変更(移転)いただく場合がございます。
Tooだからできる総合的なセキュリティ対策
不正アクセス・サイバー攻撃の入口はWebサイトだけではありません。
Tooではさまざまなネットワークセキュリティのプロダクト・サービスをご提供しております。
お客様の環境や課題に合わせたご提案を得意としていますので、総合的なセキュリティ対策についてもおまかせください。
★FortiGate
★Check Point
★TiFRONT
また、セキュリティ対策にとどまらない、社内ネットワーク環境改善のご相談も承っております。
★ネットワーク環境改善構築サービス
★無線LAN(Wi-Fi)構築・運用改善
ご利用料金
初期費用:お問い合わせください
ご利用料金(月額):お問い合わせください
よくあるご質問
今申し込みをしたらいつから使えますか?
最短では即日適用可能です(ご利用中のWebサイトが対応サーバ収容の場合)。新規でWebサイトを開設する場合は1~3営業日いただいております。
ご利用中のWebサイトがWAFオプション未対応サーバ収容の場合は、コンテンツをPHP8.xに対応させるための作業が必要となる場合がございますので、ご相談ください。
現在利用しているWebサーバでもWAFを使えますか?
TOWS Mail&WebのWebサーバをご利用いただいているお客様向けのオプションとなりますので、他社様環境やAWS環境ではご利用いただけません。
管理画面やレポート機能はありますか?
個別の管理画面やレポート画面はご用意しておりませんが、リクエストいただければ直近のログについてご提供は可能です。
また「このURLをWAF機能の対象外としてほしい」等のご要望につきましても柔軟に対応させていただきますので、ご相談ください。
WAFを有効にすればWordPressのバージョンアップをしなくても安全ですか?
WordPressの脆弱性等に起因する不正アクセスに対する防御効果はありますが、基本的にはサポートされているより新しいバージョンをお使いいただくことをお勧めしております。
WAFはすべてのサイバー攻撃を防げますか?
WAFを導入すれば100%サイバー攻撃を防げるものではありませんが、未対策な場合と比較すると飛躍的に万が一のリスクを低減できます。
なおサイバー攻撃の手口はWebサイト以外でも多数存在します。フィッシングメールやマルウェアへの対策など、アンチスパムサービスやUTM、エンドポイントセキュリティ製品等を組み合わせた、総合的な対策が有効となります。
TOWSのWAFはどんな仕組みで攻撃を防御しますか?
本WAFオプションはいわゆる「ホスト型WAF」となり、Webサーバモジュールとして動作します。外部からのアクセスが正常なものかどうかを都度判定し、不正アクセスの場合はブロックします。
不正アクセスかどうかを判断するシグネチャ(定義ファイル)は随時更新されるため、新しい攻撃パターンが発見され次第、随時シグネチャも更新され、セキュアな環境を維持することができます。
