クラウド型WAFを利用するメリットとは？

クラウド型WAFとは、オンラインでサービスが受けられるセキュリティ製品です。

そもそもWAFとは、「ウェブ・アプリケーション・ファイアーウォール(Web Application Firewall)」のことで、Webアプリケーションサーバの手前に設置してサイバー攻撃を事前に食い止めるものです。従来は、ベンダーが提供する専用機器を導入するアプライアンス型や、製品を購入してインストールするソフトウェア型が主流でした。こうした従来型は、セキュリティ面では非常に優秀なものの、コストが高いため導入のハードルが高いなどのデメリットがあり、これまであまり普及が進んできませんでした。

そのような従来のWAFのデメリットを克服するものとして最近徐々に広がっているのがクラウド型のWAFです。そこで、クラウド型WAFを導入することに具体的にどのようなメリットがあるのかを詳しく見ていきましょう。

「クラウド型」と言われても、そもそも何を意味するのかわからない方もいらっしゃるかもしれません。

クラウド型とは、簡単に説明すると、インターネットなどのコンピュータネットワークを通じて、ユーザーが必要なサービスを必要な時に利用できるという考え方です。クラウド・コンピューティングとも呼ばれますが、具体的には、アカウントがあればインストールせずとも使用できるメールサービスを思い浮かべるとわかりやすいでしょう。メールソフトを自分のパソコンにインストールしていなくても、インターネットに接続されている状態なら、Webブラウザを通じていつでもメールサービスが利用できるわけです。

クラウド型と同じように使われる言葉として「SaaS（サース）」があります。「SaaS」は、「Software as a Service」の頭文字を結んだ専門用語であり、日本語で簡単に言うならば「サービスとして提供されるソフトウェア」ということです。SaaSもクラウドサービスの一種です。そのため、クラウド型WAFをSaaS型WAFと呼ぶこともあります。その違いは曖昧であり、あまり意識して使い分けられることはありません。アプリケーションを開発する人にとってみれば、クラウドとSaaSは厳密に区別するものかもしれませんが、少なくともエンドユーザーにとってみればこの二つは同義語と考えて差し支えないでしょう。

クラウド型WAFについても、自分のところに大がかりな専用機器を設置するアプライアンス型や、製品を購入して自社のサーバーにインストールするソフトウェア型のWAFと違い、使用料を支払うだけで手軽に利用できるクラウド上のサービスと考えてかまいません。

クラウド型WAFがどういうものか理解できたところで、具体的にどんなメリットがあるのかを詳しく見ていきましょう。

第一のメリットとして挙げられるのが、導入が簡単なことです。

従来はセキュリティに精通した技術者が運用する必要がありました。自社で技術者となる人材を育てるにしても、セキュリティ対策については複雑な体系を学ばなければなりませんし、WAFについても、更新できるようになるまでには相当な労力を伴います。時間もコストもかなりかかることになるでしょう。

クラウドで利用できるクラウド型WAFの場合、運用はすべてベンダー側が行ってくれるため、そもそも自社に技術者をおく必要がありません。そのため、「WAFの運用能力がある人材がいないため、導入できない」と諦めていた中小企業にとっても手軽に導入できるようになったのです。

導入するのに時間がかからないのも大きなメリットです。従来は大がかりな機器を設置してネットワークを構築する必要があったため、導入して実際に運用できるまでに何ヶ月もかかるのが普通でした。

それが、クラウド型WAFの場合はそうした準備は不要です。クラウド上のサービスを利用するだけなので、申し込みから早ければ3日ほどで利用できるようになります。それでいて大規模なDDoS攻撃や標的型攻撃もしっかり防御できるため、セキュリティ対策が急務な企業ほど安心です。

導入が簡単で時間がかからないというメリットだけでなく、導入にかかるコスト自体が低いこともアプライアンス型やソフトウェア型にないクラウド型WAFのメリットです。

自社にWAFの専用機器を設置しなければならないアプライアンス型の場合、セキュリティ対策としては優秀なものの、導入にはかなりのコストがかかるのがデメリットでした。場合によっては初期費用だけで軽く1千万円を超えることもあるほどです。クラウド型WAFなら導入に機器を購入する必要がないため、初期費用は他の形態に比べるとほとんどかかりません。数万円単位で収まります。

また、初期費用だけでなく、運用にかかるコストも抑えられるのがメリットです。WAFを運用するには、先ほども述べたように専門知識を持つ技術者がまめに更新などの作業を行う必要がありました。

クラウド型WAFは、クラウドサービスとして利用できるため、いったん導入してしまえば、あとはログを定期的にチェックするだけでよくなります。運用のために高額な人件費がかかることはありません。このように、イニシャルコストもランニングコストも抑えられるのがクラウド型WAFの大きなメリットです。

クラウド型WAFのなかには、短期間のスポット契約ができるタイプのサービスもあります。

たとえば、キャンペーンサイトなど一定期間のみ公開するタイプのサイトでは長期的なセキュリティ対策が必要ないため、わざわざ機器を購入したりネットワークを構築したりするタイプのWAFよりも、クラウド型WAFの方が圧倒的に便利です。このように、ニーズに合わせて最適な契約方式が選べるのも大きな利点でしょう。

このように大きなメリットがあるクラウド型WAFですが、導入するには注意しておくべきこともあります。それほど大きなデメリットはありませんが、セキュリティの性能がベンダーに完全に依存することには注意した方がよいです。

運用や管理の手間から解放されるのがクラウド型WAFのメリットですが、それはつまり、そうした作業を完全にベンダーに任せるということです。

ただ、ベンダーに任せたからといって、セキュリティ強度をいつでも最適に設定できるとは限りません。それほどセキュリティ対策は技術的にも難しいことであり、誤検知が発生することも十分にあり得ます。

また、トラブルが発生した場合、迅速に対応してもらう必要がありますが、どの程度の対応が可能かはベンダーのサポート体制によっても変わります。そのため、自社の必要性にしっかり応えてくれる最適なベンダーを探すことが重要なことを覚えておきましょう。

クラウド型WAFについて、それが従来型と比べてどのように違うか、どのようなメリットが期待できるのかなどを詳しく見てきました。低コストで簡単に導入できるというメリットがありますが、ベンダーによってセキュリティ性能が左右されることも忘れてはなりません。自社の必要性に合うWAFを導入できるよう、ベンダーの選定では慎重な検討が求められます。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。