Webサイトのセキュリティ対策として導入が進むWAF(Web Application Firewall:ワフ)。近年、SQLインジェクションやクロスサイトスクリプティング(XSS)といったWeb攻撃が巧妙化する中、WAFは企業のWebサイトを守る重要なセキュリティ対策ツールの1つです。
月額1万円からはじめるクラウド型WAF
攻撃遮断くんは、AWS環境、レンタルサーバ、オンプレミスなどあらゆる環境に導入できるサードパーティ製のクラウド型WAF。
・最短1日で導入可
これらの特徴をもち、20,000サイト以上に導入されています。
WAFの情報収集をされている方向けに、攻撃遮断くんの料金やサービス概要をコンパクトにまとめた資料をご用意いたしました。
【無料】クラウド型WAF 攻撃遮断くんサービス資料をダウンロードする
WAFの主な提供元:パブリッククラウド製とサードパーティ製
WAFとは、Webアプリケーションに特化したセキュリティ対策ツールです。従来のファイアウォールがネットワーク層での通信を制御するのに対し、WAFはHTTP/HTTPS通信の中身を検査し、不正アクセスなど悪意ある攻撃を検知・ブロックします。
AWS WAFの特徴と料金体系
AWS WAFは、Amazon Web Servicesが提供するWAFです。AWS環境で稼働するWebサイトやアプリケーションを保護するために設計されており、自社のサイト特性やセキュリティ要件に応じてルールを細かくカスタマイズできることが特徴です。
AWSのサービスと統合して利用するWAF
AWS WAFは、「ルール」と「Web ACL」という2つの要素で構成されています 。
Web ACL(Web Access Control List)は、複数のルールをまとめたルールグループです。
AWSコンソールでは、ほぼリアルタイムにトラフィックの状況を確認でき、どのルールがどのように作動したか、どのリクエストがブロックされたかを把握できます。
これらの機能を持つAWS WAFの設定は、AWSの管理コンソールから行うため、すでにAWS環境を使っている企業であれば、すぐに導入できることがメリットです。
AWS WAFの料金体系
AWS WAFの料金は、先ほど説明したWeb ACLとルールの数、そして処理したリクエスト数に応じて課金される従量課金制を採用しています 。コストの内訳は主に以下の3つです。
Web ACL(アクセスコントロールリスト)の数:$5.00/月(1つあたり) ルールの数:$1.00/月(1つあたり) 処理したリクエスト数:$0.60/100万リクエスト
参考:公式AWS WAF料金ページ
例えば、1つのWeb ACLに5つのルールを設定し、月間100万リクエストを処理する場合、月額料金は「$5(Web ACL) + $5(ルール5つ) + $0.60(リクエスト処理) = $10.60(約1,590円)」となります。
標準のWAF機能だけですべてのBot対策・不正アクセス対策を完結させるのは難しく、AWS Managed RulesやBot Controlなど他のツールも組み合わせた運用が必要になる場面があります。これらを追加すると料金も増加します。
AWS WAFの強みは、AWSエコシステムとのシームレスな連携にあります 。ALBやCloudFrontへの適用はコンソール上で数クリックで完了します。既に、AWSを使っている企業であれば、新たなベンダー契約も不要で、既存のAWS請求に統合される点も企業にとっては導入ハードルが低く、コストパフォーマンスに優れるといえます。
一方で、設計・運用の難易度がそれなりに高いという課題もあります。どのルールをどう組み合わせるか、どこまでブロックするかを自分たちで設計する必要があり、誤検知が発生した際のチューニングにも技術的な知識が求められます。
サードパーティ製のクラウド型WAFとは
サードパーティ製のクラウド型WAFとは、AWSなどパブリッククラウド事業者以外のセキュリティベンダーが提供するWAFサービスです。弊社が提供している「攻撃遮断くん」もその一つです。
AWS WAFがAWS専用であるのに対し、サードパーティ製クラウド型WAFはベンダーのクラウド基盤上で動作します。環境を問わずWebサーバを保護することができます 。また、複数の異なる環境が混在している企業でも、単一のWAFで一元管理できる点が大きな特徴です 。
サードパーティ製WAFの料金体系
サードパーティ製のクラウド型WAFは、AWS WAFのように「リクエスト数に応じて細かく課金される」モデルとは少し考え方が異なり、「月額金額」の料金体系で提供されるケースが多いです。
SaaS型・クラウドWAFでは、あらかじめ契約したプランに対して月額(もしくは年額)で支払うサブスクリプション型の料金体系が一般的です。多くの場合、「初期費用+月額費用」で構成されている場合が多いです 。
トラフィック量・帯域
利用できる機能範囲(DDoS対策など)
サードパーティ製WAFの特徴
サードパーティ製WAFの大きな特徴の一つは、セキュリティベンダーによる運用が含まれているサービスが多い点です。
通常、ルールの更新や新たな脆弱性への対応はセキュリティベンダーが担うことが一般的で、適切なWAFの運用が可能となります。また、誤検知が発生した際の対応も、プランによってはベンダーのサポートに依頼してルールの調整を任せられるため、高度なセキュリティ知識がなくとも運用できます。
24時間365日のサポート体制をもち、何かあったときに素早く対応できる体制を持つサービスもあります。
AWS WAFでは、AWS Managed Rulesなどの事前定義されたルールセットを利用することもできますが、それでもどのルールをどう組み合わせるか、誤検知が発生した際にどのような対処を行うかといった設計・運用は、基本的に自社で行う必要があります。
一方、サードパーティ製WAFでは、あらかじめルールセットが組み込まれていたり、細かい調整はベンダーに相談・依頼しながら進められるため、セキュリティの専任担当者が少ない企業でも、運用を行いやすいというメリットがあります 。
どう選ぶ?WAF選定のポイント
自社にはどのWAFが最適かは、「保護対象の環境」「セキュリティ人材の有無」「運用リソースを含むトータルコスト」によって決まります。ここでは、選定時に重視すべきポイントを解説します。
保護対象の環境
保護したいサイトやシステムがAWS環境のみで完結している場合、AWS WAFが第一候補となります 。
WebサイトがAmazon EC2やALBで構築されている
CDNとしてAmazon CloudFrontを利用している
すべてのインフラがAWS上にあり今後もAWSを使い続ける予定
といった状況です。
一方、保護したいサイトが複数の環境にまたがる場合は、サードパーティ製WAFが適しています 。
レンタルサーバで構築されている
専用サーバやプライベートクラウド基盤上で構築されている 国産クラウドや他社クラウド(Azure, Google Cloud など)上で動作している
といった環境をまとめて保護したい場合です。
AWS環境とレンタルサーバ環境など、複数の異なる環境が混在しているケースでは、サードパーティ製WAFなら一元管理できるので、選択肢として有力になります。
セキュリティ人材の有無
自社内でどこまでセキュリティ判断を行えるかという点も重要です。
一方、サードパーティ製WAFは、一般的な攻撃に対応するルールセットや推奨設定があらかじめ用意されていることが多く、設計の初期段階からベンダーの知見を取り込みやすい点が特徴です。
運用リソースを含むトータルコスト
次に確認しておきたいのが料金の考え方と、運用にかかるリソースを含めた総コストです。
あわせて考慮すべきなのが、WAF運用に必要な人的リソースです。WAFの運用を専任で担当できるケースは多くなく、インフラ運用など他業務との兼務になることが一般的です 。保護対象のサイトが複数ある場合、管理工数や運用人材コストも膨らみます 。このように保護対象が複数ある場合、保護対象無制限のようなプランが存在するサードパーティ製WAFが有力な候補といえます。
そのため、WAFの選定においては、表面的な月額料金や従量課金の安さだけでなく、「運用に割けるリソースはどれくらいあるのか」を踏まえ、運用工数を含めたトータルコストで比較検討することが重要です。
月額1万から始める、クラウド型WAF「攻撃遮断くん」
攻撃遮断くん はAWS環境を始めとするクラウド環境、レンタルサーバ、オンプレミス環境などあらゆる環境に導入できるサードパーティ製のクラウド型WAFです。
月額1万円からはじめるクラウド型WAF
攻撃遮断くんは、AWS環境、レンタルサーバ、オンプレミスなどあらゆる環境に導入できるサードパーティ製のクラウド型WAF。
・最短1日で導入可
比較検討にお役立ちできる資料となっておりますので、ぜひご活用ください
【無料】クラウド型WAF 攻撃遮断くんサービス資料をダウンロードする
