クラウド型WAFとアプライアンス(オンプレ)型WAF タイプ毎の違い

クラウド型WAFとアプライアンス（オンプレ）型WAF タイプ毎の違いやネットワーク構成 Difference-between-cloud-type-WAF-and-appliance-type-WAF

昨今、数万件、数十万件という大規模な情報漏えい事件が発生しています。
この原因となるのは、メールによりマルウェアに感染させることを目的とした標的型攻撃や、企業が運営するWebサイトやWebサービスを狙ったサイバー攻撃によるものです。

どちらも危険なサイバー攻撃ですが、Webサイトを狙った攻撃の方がより危険な状況です。企業が運営するWebサイトには脆弱性が存在していることが多く、攻撃者はこの脆弱性を狙ってサイバー攻撃を実行します。このようなサイバー攻撃に対して、十分なセキュリティ対策を取っている企業が多くないことから標的型攻撃に比べると危険な状況と言えます。

昨今のサイバー攻撃の特徴として、サイバー攻撃実行犯は、効率的にサイバー攻撃を実行する傾向があります。近頃はWebサイトの脆弱性を発見し、そのままサイバー攻撃を行うことができるツールを簡単に入手することができるようになりました。もはやサイバー攻撃を実行するための高い技術は必要なく、基本的な知識さえあればサイバー攻撃を実行することができます。
情報漏えいのニュースを見て、「今まで被害にあったことがないから大丈夫」「中小企業だから大丈夫」と考える企業のWebサイトは、危険な状況下にあると言えます。今まで大丈夫だったからといって、今後もサイバー攻撃の被害に合わない保障はどこにもありません。

こうしたなかで、企業のWebサイトを保護できるセキュリティ対策がWAFです。
以前まではアプライアンス型WAFが人気でしたが、最近では簡単に運用が出来るクラウド型WAFが主流となっています。
今回は、それぞれの特徴やメリット、デメリットをご紹介します。

WAF とは？

Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。
SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW（ファイアウォール）やIPS/IDS（不正侵入防止システム/不正侵入検知システム）では守ることが出来ない攻撃を検知・遮断することができます。

クラウド型とアプライアンス（オンプレ）型のタイプ毎の特徴やネットワーク構成
クラウド型WAF　低コストで運用リソース不要
アプライアンス（オンプレ）型WAF　専任技術者によりカスタマイズが可能
クラウド型とアプライアンス（オンプレ）型どちらを選ぶべきか
まとめ
おすすめのクラウド型WAF

クラウド型とアプライアンス（オンプレ）型のタイプ毎の特徴やネットワーク構成

従来のアプライアンス型WAFの場合は、ベンダーが提供するWAF専用サーバをWebサーバの直前に設置、または企業が購入したハードウェアへWAFをインストールすることでWAFを導入していました。アプライアンス型の導入には、ネットワーク構成の変更や運用を企業ごとに行う必要があり、機器購入費用や、運用コストが高額になる傾向があります。

これに対し、クラウド型は、サーバ購入などインフラの調達や整備は不要で、月額・年額のサービス利用料を支払うことでWAFを利用することができます。WebサーバのDNS設定を変更するだけで導入ができ、アプライアンスに比べて、ネットワークの構成の変更や運用の手間もかかりません。

クラウド型WAF　低コストで運用リソース不要

クラウド型WAFのメリットは、煩雑な設定作業や運用が不要なため、運用コストを抑えることができます。また、導入時の機器購入も不要なため、イニシャルコストも抑えることができます。アップデートなどのWAFの運用は、全てベンダー側で対応するため、運用負荷は大きく軽減します。導入企業側は、導入時にDNSの切り替え作業を行い、導入後は定期的にログを監視するだけです。このように、クラウド型WAFは簡単にWebサキュリティ対策を施すことができます。

クラウド型WAFのデメリットは、セキュリティ性がベンダーにより左右されてしまうことでしょう。
クラウド型のWAFはシグネチャマッチングを基本として攻撃を防ぎます。シグネチャは、複数の攻撃パターンをまとめたファイルのことで、そのファイルをもとに通信を監視し、不正な通信を防ぎます。このシグネチャが、セキュリティベンダーごとに大きな差が出るので、導入時は慎重に検討する必要があります。

アプライアンス（オンプレ）型WAF　専任技術者によりカスタマイズが可能

一方、アプライアンス型は、運用不可は大きくなりますが独自にWAFを独自で運用できるため、セキュリティ性を高めることができるメリットがあります。しかし、WAFの運用には専任のセキュリティ技術者が必要であり、企業によってはアウトソーシングして運用していくことになります。

アプライアンス型のデメリットは、高額なコストが挙げられます。
WAF導入にあたり、機器購入費用、導入作業、設定作業などイニシャルコストが1000万円を超えるケースもあります。また、専任の技術者の人件費、アウトソーシングする場合の外注費用などの運用コストも発生します。
事前にこのようなことを把握せずにアプライアンスを導入し、高額なコストに対して、十分な効果が得られなかったという事態にもなりかねないため注意が必要です。

クラウド型（タイプ）とアプライアンス（オンプレ）型（タイプ）どちらを選ぶべきか

WAFを導入するあたり、どちらのタイプを選べば良いのかわからないという場合は、状況を整理することから始めましょう。
まず、Webサーバの数や運用しているWebサイトの特徴、FQDNの数、トラフィック量、社内リソースの状況、予算などの情報を集めます。その情報をもとに、クラウド型なのかアプライアンス型なのか判断することで、自社に適したWAFを選定することができるでしょう。また、選定の際は、それぞれのメリットだけでなく、デメリットも把握した上で選定をしましょう。

まとめ

クラウドサービスが普及したことで、あらゆるサービスを低価格かつ手軽に利用することが出来るようになりました。クラウド型WAFもその１つです。イニシャルコスト、運用コストを抑えることができ、簡単にWebサイトのセキュリティ対策が出来るクラウド型WAFは、企業にとって重要なセキュリティ対策の１つです。
脆弱性があるWebサイトを保護するためにも、ぜひWAF導入をご検討ください。