練馬のみなさまへ 協業のお願い!

【WAF】サーバー型WAFとDNS型WAFの違いは?

セキュリティ系記事キャッチ画像

サイバー攻撃が日に日に脅威を増す現代で、Webサイトへの危機管理意識も高まっています。
自社のWebサイトを守るために、WAFを設置することは有効な対策の1つです。
しかしWAFには大きく分けてサーバー型とDNS型の2種類が存在します。
今回はWAF選定のポイントとなるサーバー型とDNS型の違いについてご紹介します。

そもそもWAFとは何か?

WAFについておさらい

WAFも一昔前に比べて認知度は高くなってきましたが、ここで再度おさらいをしておきます。
WAFとはWeb Application Firewallの略で、ファイヤーウォールのウェブアプリケーション版です。

ファイヤーウォールとは何か?

それではファイヤーウォールとは何なのでしょうか?
ファイヤーウォールとは、直訳すれば防火壁のことを意味しますが、ウェブの世界では不正なアクセスを遮断する設定のことを指します。
通常はWebサイトのデータを格納しているサーバーとインターネットの世界との間に建てられ、サーバーに悪さがされないようにしています。

ウェブアプリケーションのファイヤーウォールとはどういうことか?

では、そのファイヤーウォールがウェブアプリケーション版であるということはどういうことなのでしょうか?
通常、ファイアーウォールの設定では、通信の監視を行い、不正なユーザーでないかを判断します。
しかし、中には悪意のないユーザーを装って、Webサイトのアプリケーションにいたずらをしようとするハッカーが存在します。
こうした悪意のあるユーザーを取り締まるのがWAFの仕事です。

WAFで防ぐことができる攻撃

WAFで防ぐことができる主なサイバー攻撃は以下の通りです。

WAFで防ぐことができる主なサイバー攻撃
  1. Webスキャン
  2. クロスサイトスクリプティング
  3. SQLインジェクション
  4. DDoS攻撃

ただし、この中でDDos攻撃については導入するWAFのタイプ、つまり今回のテーマであるサーバー型かDNS型で異なります。
これから説明する理由により、DNS型はDDoS攻撃を防ぐことができますが、サーバー型は防ぐことができません。
それではサーバー型とDNS型の違いを見ていきましょう。

サーバー型WAFとは何か?

サーバー型WAFの仕組み

サーバー型WAFはサーバーの中にシステムを導入し、アクセスしてきたユーザーを監視します。主にサーバーから得られるログを使い、その情報をもとにアクセスの制限を行います。
通常のWebページにアクセスしていたならよいのですが、例えば管理画面らしいURLを探している形跡がある、SQLインジェクションなどの攻撃を加えた形跡があったりしたらそのユーザーを遮断します。

サーバー型のデメリット

こうしたサーバー型WAFのデメリットは、どのようなアクセスであっても一度は必ずサーバーへのアクセスを許可している点です。
サーバーには様々なデータが入っているので、もしサイバー攻撃の初撃が致命的なものであった場合、ハッカーの攻撃は成功してしまいます。
また、サーバーのログが作成されないような短期間にアクセスを集中させるDDoS攻撃は防ぐことが難しいとされています。

DNS型WAFとは何か?

DNS型WAFの仕組み

DNS型WAFはDNSにWAFを設置します。
DNSとはDomain Name Systemの略で、ディー・エヌ・エスと略されます。
DNSとは、例えばこのWebサイトであれば、”ssaits.jp”というURLを検索した際に、SSAITSのWebサイトを格納しているサーバーを見に行く仕組みです。

DNS型WAFのメリット・デメリット

DNS型のメリット

先ほど紹介したサーバー型のWAFでは、どんなアクセスであっても1度はサーバーに通してしまうという不安要素がありました。
このDNS部分にWAFを設置すると、サーバー型WAFとは違い、サーバーにアクセスする前にあやしいアクセスを遮断することができます。
そのため、サーバー型では防ぐことが難しいとされていたDDos攻撃に対してもブロックすることが可能となります。

DNS型のデメリット

ではDNS型とサーバー型のWAFがあるのであれば、DNS型のWAFを選んだほうがよいのでしょうか。実はそうではありません。
DNS型のほうがセキュリティが高くなることは間違いないのですが、アクセスの都度WAFがアクセスの危険度を確認するため、Webサイトの表示速度はサーバー型に比べて落ちてしまいます。
もちろんコンマ何秒の世界ではありますが、最近のWebサイトはそのコンマ何秒の世界で表示速度を争っています。
このデメリットを十分に把握したうえで、サーバー型のWAFかDNS型かを選んでいく必要があります。