WAFの運用に必要なリソースまとめやおすすめのWAFを紹介

WAFの運用に必要なリソースと聞いてみなさんは何を想像するでしょうか？ランサムウェアやDoS/DDoS攻撃など、ウェブサイトに対するサイバー攻撃には有名なものもありますが、クロスサイトスクリプティングやSQLインジェクションといったあまり聞き馴染みのない種類の攻撃手法も最近は増えています。情報漏洩の被害が報道されることは多いですが、それらの多くもこうした新手のサイバー攻撃が原因です。しかし、WAFを導入することによってこれらの攻撃を防ぐことが出来ます。この記事では、WAFを運用する際に必要なリソースについて解説していきます。

企業のウェブサイトのなかには脆弱性を多数はらんでいるものが多く、そのことを知っている攻撃者は、あえて脆弱性を持つウェブサイトを狙って攻撃を仕掛けてきます。セキュリティ対策を施していないウェブサイトは、いつサイバー攻撃に遭ってもおかしくありません。セキュリティ対策の担当者はもちろん、自社でオンラインサービスを提供しているのであれば、一般社員でもサイバー攻撃について学び、どのような対策が有効かを考えることは大切でしょう。

「セキュリティ対策なら、うちはIDS/IPSやファイアウォールがあるから大丈夫」と考えている方もいるのではないでしょうか。ところが、これらだけでは昨今のサイバー攻撃の対策として十分とは言えません。「セキュリティ対策は一つやっておけば安心」というものではなくなったと言ってもよいでしょう。サイバー攻撃は日に日に進化しており、従来の方法では対応しきれないものも出てきています。このような新しいサイバー攻撃から自社のウェブサイトを守るのであれば、昨今のセキュリティ対策の主流であるWAF(Web Application Firewall)の導入は必須と言えるでしょう。

WAFとは、Web Application Firewallという名前からもおわかりのように、ファイアーウォールの一種です。ウェブアプリケーションの脆弱性を狙った攻撃に対して、ウェブサイトやサーバーを守るために開発されました。サーバーとエンドユーザー間の通信を常に監視することで、不正な通信パターンや不正な値をシグネチャというルールで検出し、ルールに反する通信をすべて攻撃とみなしてブロックするという仕組みになっています。一般的なファイアーウォールではなりすましによる不正アクセスに弱いというデメリットがありましたが、通信の中身をチェックできるWAFは、ファイアーウォールでは防ぎきれない攻撃に対しても有効に作用するのです。

以前まで主流だったウェブサイトのセキュリティ対策といえば、そもそもウェブアプリケーションに脆弱性がないようにプログラミングする「セキュアプログラミング」という手法でした。ただ、脆弱性を完全になくすことは難しく、しかも、開発者のスキルに大きく依存するというデメリットがあるため、同等のスキルを持つ開発者のみで開発を行うか、一人の優秀な開発者にすべての開発を任せるかという二者択一でした。

しかし、スキルのレベルは人によって違うものですし、一人の開発者にすべてを任せるのは開発期間が伸びるだけでなく一人の人間にばかり負担がかかってしまうという問題があります。それに、セキュアプログラミングには、実現までにソースコードを何度もレビュー・テストする必要があることから、コストが増大してしまうというデメリットも存在するのです。クライアントはコストが低いことを望むものですから、コストを下げるために必然的にテストも不十分な状態でアップしなければならないという問題も生じてきてしまいます。

人間が開発する以上、脆弱性のひとつもないウェブアプリケーションというものは存在しないといってよいでしょう。セキュアプログラミングであらゆる脆弱性に対応しようとしても、時間やコストがかかるばかりで現実的とは言えません。また、現時点ではプログラムに問題がないとしても、ウェブアプリケーションは頻繁に改修されるものであり、その都度脆弱性が新しく見つかるなんてこともよくあることです。一つのプログラムに問題はなくても、連動するプログラムやシステムに脆弱性があれば、それが全体の脆弱性になってしまいます。

こうした理由から現在はWAFを導入・運用するのが最も効果的なセキュリティ対策なのですが、導入するにも社内のリソースやコストなどの問題があります。従来は、ベンダーが提供する専用のサーバーを自社のウェブサーバーの前に設置するか、ハードウェアを企業が新たに購入して、それにWAFをインストールして運用していました。こうしたアプライアンス型のWAFでは、導入する企業ごとにネットワーク構成の運用や変更を行わなければならず、そのため、機器の購入コストや導入・運用コストが肥大化するという問題があるわけです。また、WAFを運用するには設定やアップデートを日々行わなければならず、そのためには専任の技術者を配置する必要もあります。こうしたコストや負荷の増大を理由に、WAFの導入をためらう企業も少なくありませんでした。

こうした問題を解決するために登場したのがクラウド型WAFです。クラウド型ですので、クライアントはサーバーの購入や整備などをする必要がなく、年額や月額で決まった利用料金を払うだけで運用していくことが可能になりました。また、ネットワーク構成の変更も簡単で、必要なアップデートはベンダーがやってくれるため運用するための手間もかかりません。クライアントがやることは、DNSの切り替えを導入時に行い、あとはログを定期的に監視するのみなので、コストと手間をかけずに高度なセキュリティを構築することが可能になったのです。

アプライアンス型とクラウド型、どちらがよいかは企業によって異なるでしょう。アプライアンス型では独自の運用が可能なので、自社にスキルの高い技術者がいれば強固なセキュリティを構築することが可能です。スキルのある人材がいない場合は、その部分をアウトソーシングすることで運用の負担を軽くするという方法もあります。ただし、いずれにせよ導入に大きなコストがかかるのがアプライアンス型のデメリットです。場合によっては、総額1,000万円以上の初期費用がかかることもあるでしょう。

せっかく高い効果が期待できるセキュリティ対策でも、導入・運用に大きなコストや負荷がかかるようでは意味がありません。その点、ベンダーの選択には慎重さを要するものの、クラウド型なら機器の購入費用もかからず、運用もベンダーに任せられるため、コストをかけずに手軽にWAFを導入したいというニーズにはぴったりです。セキュリティ対策の有効な選択肢の一つとして、ぜひクラウド型WAFの導入を検討してはいかがでしょうか。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。