WAFとは
WAF(Web Application Firewall)は、SQLインジェクションやクロスサイトスクリプティング(XSS)をはじめとした不正侵入による情報漏えいやWebサイト改ざんなどを防ぐファイアウォールです。
WAFは、従来のFW(ファイアウォール)やIDS/IPSでは防ぐ事ができない攻撃にも対応します。
WAFの種類
-
アプライアンス型 WAF
メリット
アプライアンス型WAFはベンダーが提供するハードウェアなどを設置した汎用サーバをネットワーク上に構築して利用します。
Webサーバ台数やパフォーマンスに影響されないWAF環境を構築できます。デメリット
導入に際して稼働中のサービスを停止する必要があり、通常導入コストは数百万円〜年間数十万円の保守費用が必要となります。
また、ネットワークの複雑な設定変更やチューニングの複雑から専任の技術者を確保する技術者を確保する必要があります。 -
ソフトウェア型 WAF
メリット
ソフトウェア型WAFは既存のWebサーバにインストールするタイプのWAFです。ハードウェアを調達する必要がないため、導入コストや手間を削減することができます。
デメリット
攻撃を受けた際にCPU負荷がかかるため、サーバの速度遅延などの危険性があり、入念な事前検証が必要になります。
また、Webサーバ毎に製品をインストールする必要があるため、コストが肥大化することがあります。 -
クラウド型 WAF
メリット
クラウド型WAFはハードウェアやソフトウェアを調達する必要がなく、導入コストや手間を削減することができます。
また、運用や保守はベンダーがクラウド環境で行うため、専任の担当者は不要で迅速に最新の脅威に備えることができます。デメリット
サービス内容がベンダーによって異なるため、実績や信頼性の高いサービスを慎重に選ぶ必要があります。
クラウド型WAFと
従来型のWAFとの比較
 |
アプライアンス型 ソフトウェア型 | |||
|---|---|---|---|---|
| 価格 | 低価格 | ・WEBセキュリティタイプ:月額10,000円〜 ・サーバセキュリティタイプ:月額40,000円 |
高価格 | 機器購入、構築費用、保守運用などの高額な初期費用が発生。年ごとにメンテナンス費も発生する。 |
| 防御 モデル |
シグネチャ モデル |
お客様のご要望に応じて柔軟にカスタマイズ可能。 カスタマイズも弊社で実施。 |
シグネチャ モデル |
カスタマイズ可能だが、設定が複雑で手間がかかる。 |
| 導入 | 簡単 | 最短翌営業日〜2営業日で利用開始。 | 複雑 | サイト毎にパラメータ設定が必要。導入に半年を要するなど手間と時間がかかる。 |
| 運用 | 簡単 | 弊社にて行うためお客様にて運用は不要。 | 複雑 | アプリケーション変更のたびに技術者によるWAF設定の変更が必要。 |
| 技術者 | 不要 | 導入時も運用も弊社にて実施するため、お客様でのWAF技術者は不要。 | 必要 | 導入時、運用時とシステムを理解した技術者が必要。 |