レンタルサーバのWAFとは?機能・メリット・デメリットをわかりやすく解説

レンタルサーバのWAFとは?機能・メリット・デメリットをわかりやすく解説

コストを下げるため、レンタルサーバを利用して自社やサービスのWebサイトを作る企業が増えています。

そしてユーザーの大事なWebサイトを守るため、セキュリティ対策としてWAFオプションを提供するレンタルサーバが多くあります。

WAFオプションを付加する価値はあるのか、そもそもWAFとは?という疑問を持っている人もいるでしょう。

この記事では、レンタルサーバが提供するWAFの機能や特徴、またメリットもデメリットも詳しく解説します。

レンタルサーバのWAFとは?

ユーザーのWebサイトやWebサービスを守るため、多くのレンタルサーバがWAFオプションを提供しています。

レンタルサーバのWAFの前にまずWAFとその必要性について説明します。

そもそもWAFとは?

WAFとは、Web Application Firewall(ウェブアプリケーションファイアウォール)の略称であり、Webサイトを含めたWebアプリケーションをサイバー攻撃から守るツールです。

なぜWAFが必要なのか?

主な理由は年々増加しているサイバー攻撃です。警視庁が発表した数字によるとサイバー攻撃の数が5年間で約3.8倍増えました。

警視庁の発表によるとサイバー攻撃の数が5年間で約3.8倍増えました。

サイバー攻撃といえば、ECサイトやインターネットバンキングなど、クレジットカードや口座情報を扱うWebサイトだけが、攻撃対象になると誤解している人は多いでしょう。

しかし実際は、問い合わせフォームのあるWebサイトや会員制のWebサービス、またユーザーのリクエストに応じて動的ページを生成するWebシステムなど、あらゆるWebアプリケーションもサイバー攻撃の対象となり、そして被害も受けています

Webアプリケーションへのサイバー攻撃の被害者にならないために、WAFが最も効果的です。

サイバー攻撃による起こり得る被害

誰でもアクセスできるWebサイト。企業自体や商品の紹介、または顧客の声の収集などさまざまな役割を持っています。さらに、SaaSやECサイトなどWebサイトを通じてサービスを提供するパターンも多いです。

とても重要なWebサイトですが、攻撃されると下記の被害が考えられます。

  • 被害状況の確認や攻撃の特定における人件費や外注費
  • 問い合わせ窓口の設置費用
  • Webアプリケーションの改修作業にまつわるコスト
  • 株価下落や上場の延期

万が一サイバー攻撃により個人情報の漏えいが発生してしまった場合、被害がさらに大きくなります。企業信用失墜や売上機会損失はもちろん、2022年4月に施行された改正個人情報保護法により個人情報保護委員会への報告と本人への通知が義務化されています

そういった対応をするために膨大な人件費や外注費がかかるので、サイバー攻撃を受けた場合の損失はとても大きいといえるでしょう。

レンタルサーバのWAFの主な機能

ここからはレンタルサーバが提供するWAFの機能を紹介します。サービスによって機能に多少違いがありますが、大きく3つあります。

主流なサイバー攻撃の防御

サイバー攻撃の防御はWAFに欠かせない機能です。レンタルサーバのWAFの場合、SQLインジェクションやXSS(クロスサイトスクリプティング)など主なサイバー攻撃に対応できることが多いです。

一方、ポートスキャンやDDoS攻撃などのサイバー攻撃に対応できないサービスが多いので要注意です。導入前にサービスサイトでしっかり防御できるサイバー攻撃の種類を確認したほうが安心できるでしょう。

検知ログの管理

検知と遮断だけでなく、不正アクセスやサイバー攻撃の履歴を残し、そして管理することもできます

また、WAFによって検知ログに基づいて除外設定ができるものもあります。

特定アクセスの制限

ブラックリスト機能という、特定のIPアドレスからの通信を遮断するように設定できるものもあります。

例えば、特定のIPアドレスから攻撃を受けている場合、そのIPアドレスを指定しそこからの通信をすべて止めることはできます。

ただし、すべてのレンタルサーバーWAFにもブラックリスト機能を搭載しているわけではないので、利用開始前にはしっかり確認しましょう。

レンタルサーバーWAFの導入メリット

レンタルサーバのWAFを導入するメリットは主に2つあります。

無料で利用できる

レンタルサーバのWAFの一番のメリットは、無料もしくは非常に低い価格で利用できることです。

Webセキュリティに予算の取れない中小企業やスタートアップ企業にとっては大きなメリットといえるでしょう。

レンタルサーバの管理画面から一括管理できる

レンタルサーバと一括管理できるのもメリットのひとつです。

一般のWAFと異なり、レンタルサーバの管理画面からWAFの設定や検知ログの管理をすることができるので一元管理を実現できます。担当者にとっての管理工数が低く楽になります。

レンタルサーバのWAFのデメリット

レンタルサーバのWAFのデメリット5つを説明します。

無料で利用可能なのがレンタルサーバのWAFの大きなメリットですが、デメリットも見てみましょう。

防御能力が十分ではない

レンタルサーバのWAFの防御できる攻撃が限られています。SQLインジェクションやXSSしか防げないWAFもあります。

そのため、レンタルサーバのWAFを導入したとしてもサイバー攻撃による被害を受ける可能性があるので簡単には安心できません

誤検知が発生しやすい

共通サーバを利用するため、WAFの検知ルールを複数のユーザーと共有するケースがほとんどです。

ただし、会社によってセキュリティレベルや遮断したい通信が異なるので、全ユーザーが共通ルールを使うのであれば誤検知が起こりやすいです。

カスタマイズ設定が難しい

複数ユーザーで共通で利用するので、検知ルールを調整するとほかのユーザーにも影響が出てしまいます。そのため、検知ルールのカスタマイズに応じないレンタルサーバWAFが多いです。

たとえ誤検知が発生したとしても検知ルールの調整や個別ルールの停止は対応できないので、結局放置になってしまうことになります。万が一、重要な顧客のアクセスがブロックされてしまうと、クレームや売上機会の損失につながることが十分あり得ます。

また、特定の検知ルールを止めるという方法もあり得ますが、もともと防御したい攻撃が防げなくなるのでWAF導入の意味も薄くなるでしょう。

検知ルールの更新頻度が明確ではない

新しいサイバー攻撃が毎日出ているいま、WAFの防御能力を保つために検知ルールの更新を頻繁にしないといけません。

一方、レンタルサーバのWAFが無料で提供されているので、検知ルールを頻繁に更新できるリソースの捻出は現実上難しいでしょう。

サポート体制が薄い

WAF導入にあたって不明点や誤検知が出てくることがあります。ただし、レンタルサーバのWAFは、問い合わせの窓口やサポートチームを設けていないことが多いです。

そのため、たとえWAFの利用に対して問題が出たとしても、FAQを見たりして自力で解決しないといけません

まとめ

無料で手軽に導入できるレンタルサーバのWAF。ただし、防御できる攻撃が限られたり誤検知が多発したり検知ルールのカスタマイズや調整ができなかったりしてデメリットも多くあります。

静的ページがほとんどのサイトであれば良いかもしれませんが、問い合わせや顧客情報を積極的に獲得するWebサイトやECサイトの場合、Webセキュリティ対策としてしっかりしたWAFの導入をおすすめします

累計導入サイト数が15,000を超えたクラウド型WAF「攻撃遮断くん」であれば、月10,000円〜導入可能、かつシステム変更不要のため最短1日で導入できます。日本国内で開発・運用されているWAFなので、サポートも充実。ユーザー側での運用は一切必要ないため、低価格かつ簡単に高セキュリティを実現できます!

攻撃遮断くんが選ばれる5つの理由

  1. 累計導入社数・サイト数国内No.1
  2. 日本発のため管理画面もサポートも日本語でフル対応
  3. AIで最新の脆弱性を網羅しより安心のサイバー環境を維持
  4. 最短1日で導入可能
  5. 月間10,000円からの手軽な価格

「攻撃遮断くん」の
詳しい紹介資料はこちらから