WAFってセキュリティ対策に必要？

IPA（独立行政法人情報処理推進機構）が毎年、情報セキュリティ10大脅威と称して影響が大きかったと考えられる脅威を発表しています。
以下が、過去2年分のランキングですが、ご覧いただいてわかる通り約半数がWebアプリケーションに関する脅威（赤字記載）となっています。

情報セキュリティ10大脅威（組織）

順位	２019年	2020年
1位	標的型攻撃による被害	標的型攻撃による被害
2位	ビジネスメール詐欺による被害	内部不正による情報漏洩
3位	ランサムウェアによる被害	ビジネスメール詐欺による被害
4位	サプライチェーンの弱点を悪用した攻撃の高まり	サプライチェーンの弱点を悪用した攻撃
5位	内部不正による情報漏洩	ランサムウェアによる被害
6位	サービス妨害行為によるサービスの停止	予期せぬIT基盤の障害に伴う業務停止
7位	インターネットサービスからの個人情報の窃取	不注意による情報漏えい
8位	IoT機器の脆弱性の顕在化	インターネットサービスからの個人情報の窃取
9位	脆弱性対策情報の公開に伴う悪用増加	IoT機器の不正利用
10位	不注意による情報漏えい	サービス妨害行為によるサービスの停止

上記のランキングからも、Webアプリケーションに対するセキュリティ施策はプライオリティ高くのぞむべきと汲み取れます。今日においては新型コロナウィルスの影響で一気に普及が進んだweb会議ツール等、Webアプリケーションの活用は進んでいくことが推測でき、より一層、Webアプリケーションへの施策は重要なものになってくると考えます。

次に、Webアプリケーションを標的にしたサイバー攻撃の代表的なところをいくつかご紹介したいと思います。

攻撃名	概要
SQLインジェクション	webサイトが連携しているデータベースへの不正な命令が実行されることで保持する情報が盗み出されてしまう
クロスサイトスクリプト	脆弱な企業サイトを直接攻撃するものではなく、ターゲット企業のwebサイトを利用するユーザーを標的とし、不正な情報収集やフィッシング詐欺に繋がる
クロスサイトリクエストフォージェリ	会員制のwebサービス等でユーザーがログインした状態で、意図しない操作が複数のサイトへ実行される。ログイン状態のSNS上で閲覧したサイトのURLが投稿されてしまう、など。
コマンドインジェクション	外部からのコマンド入力を受け付けてしまう脆弱性を利用して、管理権限等を奪い情報を盗み出す等の不正な操作を行う
ディレクトリトラバーサル	本来はアクセスを許可しないファイルを閲覧、ダウンロードされてしまい情報流出につながる

恐ろしいのは、例にあげたこれらの攻撃のほとんどが、標的とされた企業の「ユーザーにまで被害が及ぶ」ことです。標的になった企業のユーザーはログイン情報やクレジットカード情報などの個人情報が盗まれて被害にあったり、悪意あるプログラムをPCに仕込まれて、知らぬ間に加害者となってしまう可能性もあります。webアプリケーションへのセキュリティ施策であるWAFを導入する事は、企業を守り、社員を守るだけでなくユーザーも守ることに繋がり、信頼関係を築いていく上で重要な役割を担います。

従前の、アプライアンス型のWAFはその有用性の反面、導入コストや技術的な部分、セキュリティ知識が多く求められてしまい、普及がすすんでいなかったところがありましたが、クラウド型WAFは手軽で実用性の高い、特に多くの中小企業にとって現実的なwebアプリケーションのセキュリティ対策となっています。

ユーザーへ被害が及ばぬよう、自社が加害者となってしまわぬよう、Webサイトを運営しながらもWAFを導入していない企業はぜひ一度、ご検討を！