クラウド型WAFを導入するメリットとデメリットをそれぞれまとめてみた

2017.07.14

WAF

waf-cloud

あらゆるサービスはインターネットを経由することで簡単に利用することができるようになりました。データの保存なども個人端末(USBメモリやハードディスク)だけでなく、クラウド上にできるようになりました。クラウドサービスを利用することで手元での機器の購入や管理は不要になりました。こうしたなか、WAF(Web Application Firewall)も同様にハードウェアを用意するアプライアンス型といった従来型のWAFから、クラウド型のWAFが主流となってきています。今回はそのクラウド型WAFを導入するメリットについてご紹介します。

目次

情報セキュリティ10大脅威からみるWAFの必要性

不正アクセスによる個人情報漏えい事件が度々ニュースで報道されるようになりました。つい最近も、仮想通貨の不正送金や個人情報流出などが世の中を騒がせています。一度、サイバー攻撃などによって個人情報が流出するなどのセキュリティ事故が起きてしまうと、その信頼を回復するのは非常に大変です。独立行政法人情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威 2017」によると、情報セキュリティの脅威の中でも、Webサービスに関する脅威が昨年に続き上位を占めています。WAFは、こうしたWebサービスへのサイバー攻撃による脅威を防ことができる有効なセキュリティサービスです。


出典・参考:IPA(情報処理推進機構)「情報セキュリティ10大脅威 2017」

低コスト?簡単?クラウド型WAFのメリットとは?

従来のハードウェアを用意するアプライアンス型WAFやソフトウェア型WAFに対して、クラウドサービス向けのクラウド型WAFが開発されています。クラウド型WAFとは、クラウド上で仮想的なアプイアンスとして機能するWAFを指します。クラウドサービスなので、機器の購入・ネットワークの構築などは不要です。それではクラウド型WAFのメリットを見ていきましょう。

運用に専任の技術者は不要

従来のWAFはセキュリティの専門家による運用が必要でしたが、クラウド型WAFはシグネチャ更新などの運用はセキュリティベンダー側で行うため専任の技術者は不要です。WAFのようなセキュリティ対策は非常に複雑な体系をしており、セキュリティ担当者となってからWAFの詳細を把握し、更新ができるようになるまでは、相当な時間と費用が必要になります。クラウド型WAFはベンダーが詳細の把握や更新を行ってくれるので、詳細把握の労力や費用負担が軽減されます。

迅速に対策が可能

従来のWAFは機器購入やネットワークの構築が必要なため、導入までに数ヶ月の期間が必要でした。それに比べ、クラウド型WAFはインフラの用意が不要なため、早ければ申込から3日程度で利用可能など迅速に対策をすることができます。

初期費用・運用コストが低い

従来はWAF機器の購入や初期設定などにより初期費用が数千万円以上になるケースがありましたが、インフラ調達が不要なクラウド型WAFは数万円の初期費用から導入することができます。さらに、システムの運用管理はベンダーが行うため、ユーザー側が行う業務がなく、WAFに関する特殊な知識を学ぶ時間や費用が不要になります。また、運用にかかる人件費が不要なため運用コストも抑えることができます。

スポット利用が可能

月単位で契約できるクラウド型WAFもあり、短期間しか公開しないキャンペーンサイトなどのスポット利用も可能です。また、新しいサイトを立ち上げた際には手続き1つですぐに上位プランへ変更できます。

クラウド型のデメリットとは?

低コストで簡単に導入できるクラウド型WAFですが、メリットばかりではありません。もちろんデメリットもあります。シグネチャの更新やWAFの管理を全てベンダー側で行うため、WAFの性能はベンダー任せとなる点です。正確に攻撃を防ぐことはもちろん、WAFを導入することで起こりうる誤検知なども、ベンダーによって変わってきます。こうしたことから、クラウド型WAFを導入する際は、「シグネチャのカスタマイズが出来るか」などのサービス選定だけでなく、導入後の更新を含めて「堅牢なセキュリティ環境を構築できる」ベンダーを選定することが重要です。

まとめ

WAFを導入することで、Webサービスへの脅威から守ることができます。
最近流行りのクラウドサービスに対してはアプライアンス型WAFやソフトウェア型WAFは適用するのが困難であり、クラウドサービス向けのクラウド型WAFが主流になっています。

クラウド型WAF「攻撃遮断くん」は低コストかつ簡単に運用することが出来るWAFの1つです。専任のセキュリティエンジニアにより常にシグネチャを最新に保ち、高セキュリティを実現しながらもユーザー毎にシグネチャをカスタマイズできるため誤検知のリスクを抑えることができます。

コストや運用リソースがネックで導入を見送っていた企業にとって、低価格かつ簡単に運用できるクラウド型WAFはWebセキュリティ対策の有効な選択肢の一つとなるのではないでしょうか。

クラウド型WAF「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

この記事と一緒に読まれています