クラウド環境に必要不可欠はWebセキィリティ対策の最新トレンドは？

昨今、クラウドサービスが普及したことで、クラウド環境を利用してWebサービスを提供する企業が多くなりました。

クラウドサービスの利用には、インフラ調達が不要、高いスケーラビリティ、従量課金といったメリットがあります。

このように、導入期間の短縮や初期費用が抑えられるというメリットの他、インフラ管理が不要といった大きなメリットがあります。

しかし、クラウド型サービスを利用している環境では従来のセキュリティ対策では不十分であることをご存知でしょうか？

今回はクラウド環境におけるWebセキュリティ対策についてご紹介します。

クラウド環境では、従来型WAF製品では対応できない？

Webサービスのセキュリティ強化にはWAFの導入が有効ですが、クラウド環境では従来のアプライアンス型やソフトウェア型のWAFが導入できないという問題があります。

アプライアンス型WAFは、対象となるサーバと同じ環境内に物理的な機器を設置することで対策します。

しかし、クラウド環境に物理的な機器は設置できないためアプライアンス製品を導入することはできません。
また、ホスト型WAFは、クラウド環境上で導入するためのシステム要件を整えることが困難である場合があります。
こうした理由から、従来型WAFでクラウド環境のセキュリティ対策をすることは困難となっています。クラウド環境のセキュリティ対策には、同じくクラウド環境のWAFが理想的となります。

低価格、管理不要で導入できるクラウド型WAFが主流

通常のWAFではクラウド環境でのセキュリティ対策が困難であることから、クラウド環境に特化したクラウド型WAFが開発されています。
クラウド型WAFは、対象となる環境がクラウド環境やオンプレミス環境でもDNS設定を変更するだけで導入可能です。

解約時もDNS設定を変更するだけですぐにサービスを解除することができます。

また、あらゆるシステム構成・ネットワーク構成にも対応しており、システム構成をかえることなく導入・解除することが可能です。導入までの期間が短くすむのも特徴です。

最短で申込から3日程度での導入が可能となっています。サービスを停止せずに導入することができるのも特徴です。

さらにクラウド型WAFは、インフラ調達や専任の技術者による運用が不要なため、初期費用・運用費用が抑えられます。

このようなクラウド型WAFのメリットと、クラウド環境を利用するケースが増えていることから、現在では簡単に導入できるクラウド型WAFが主流となっています。

AWS WAFは運用が大変？

クラウドサービスの一つであるAWS(Amazon Web Service)では、AWS環境で利用可能な「AWS WAF」が提供されています。
ウェブACL（Access Control List)単位＋リクエスト単位での課金のため、アプライアンスを導入するより比較的安価に導入できます。また、導入にあたりインフラ調達は不要です。

しかし、AWS WAFの導入にはベンダが提供しているクラウド型WAFと違い初期設定・運用作業が必要です。これらの作業やシグネチャのカスタマイズ等はユーザー側で対応する必要があるため、アプライアンス型やホスト型と同じくらいの運用負荷があると考えられます。（また、AWS WAFの利用はCloudFrontの利用が必要となります。）