クラウド型WAFが近年注目を集めています。その背景にはあらゆるサービスがインターネットを経由することで簡単に利用することができるようになったことがあります。
データの保存なども個人端末(USBメモリやハードディスク)だけでなく、クラウド上に保存することが可能となり、このクラウドサービスを利用することによって、手元での機器の購入や管理も不要となりました。
その一方で、公開されているWebサイトやウェブアプリケーションには、当然、ユーザーだけでなく攻撃者もアクセスできるため、サイバー攻撃の対象にもなってしまいます。悪意のある第三者によるサイバー攻撃は、年々増加し、悪質なものも増えてきています。
こうしたなか、Webサイトをサイバー攻撃から保護するためのWebサイトセキュリティが注目されていますが、特に最近のWebサイトセキュリティの主流は、WAF(Web Application Firewall)です。
WAFの種類も進化し、ハードウェアを用意するアプライアンス型といった従来型のWAFから、クラウド型のWAFが主流となってきています。
今回はそのクラウド型WAFを導入するメリットとデメリットについてご紹介します。
情報セキュリティ10大脅威からみるWAFの必要性
不正アクセスによる個人情報漏えい事件が度々ニュースで報道されるようになりました。
最近でも、キャッシュレス決済サービスでの不正アクセスやクレジットカード情報の流出などが世の中を騒がせています。
一度、サイバー攻撃などによって個人情報が流出するなどのセキュリティ事故が起きてしまうと、その信頼を回復するのは非常に大変です。
独立行政法人情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威 2021」によると、情報セキュリティの脅威の中でも、Webサービスに関する脅威が昨年に続き上位を占めています。
順位 |
組織 |
昨年順位 |
1位 |
ランサムウェアによる被害 |
5位 |
2位 |
標的型攻撃による機密情報の窃取 |
1位 |
3位 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
New |
4位 |
サプライチェーンの弱点を悪用した攻撃 |
4位 |
5位 |
ビジネスメール詐欺による金銭被害 |
3位 |
6位 |
内部不正による情報漏えい |
2位 |
7位 |
予期せぬIT基盤の障害に伴う業務停止 |
6位 |
8位 |
インターネット上のサービスへの不正ログイン |
16位 |
9位 |
不注意による情報漏えい等の被害 |
7位 |
10位 |
脆弱性対策情報の公開に伴う悪用増加 |
14位 |
出典・参考:IPA(情報処理推進機構)「情報セキュリティ10大脅威 2021」
WAFは、こうしたWebサイト等のWebサービスへのサイバー攻撃による脅威を防ぐことができる有効なセキュリティサービスです。
低コスト?簡単?クラウド型WAFサービスを導入するメリットとは?
従来のWAFは、ハードウェアを用意するアプライアンス型WAFやソフトウェア型WAFで、導入作業の難しさや導入コストの高さ、運用にセキュリティの専門知識が必要でした。
しかし、これらの導入難易度を大幅に下げる、クラウドサービス向けのクラウド型WAFが登場しました。
クラウド型WAFとは、クラウド上で仮想的なアプイアンスとして機能するWAFを指します。クラウドサービスなので、機器の購入・ネットワークの構築などは不要です。
それではクラウド型WAFのメリットを見ていきましょう。
運用に専任の技術者は不要
従来のWAFはセキュリティの専門家による運用が必要でしたが、クラウド型WAFはシグネチャ更新などの運用はセキュリティベンダー側で行うため専任の技術者は不要です。
WAFのようなセキュリティ対策は非常に複雑な体系をしており、セキュリティ担当者となってからWAFの詳細を把握し、更新ができるようになるまでは、相当な時間と費用が必要になります。
クラウド型WAFはベンダーが詳細の把握や更新等の対応を行ってくれるので、詳細把握の労力や費用負担が軽減されます。
迅速に対策が可能
従来のWAFは機器購入やネットワークの構築が必要なため、導入までに数ヶ月の期間が必要でした。
それに比べ、クラウド型WAFはインフラの用意が不要です。
WebサイトやWebアプリケーションの導入や改修の必要がないため、早ければ申込から3日程度で利用可能となり、Webの脆弱性を突いた標的型攻撃や大規模DDoS攻撃からの防御等にも、迅速に対策をすることができます。
初期費用・運用コストが低い
従来はWAF機器の購入や初期設定などにより初期費用が数千万円以上になるケースがありましたが、インフラ調達が不要なクラウド型WAFは数万円の初期費用から導入することができます。
さらに、システムの運用管理はベンダーが行うため、ユーザー側が行う業務がなく、WAFに関する特殊な知識を学ぶ時間や費用が不要になります。
また、運用にかかる人件費が不要なため運用コストも抑えることができます。
スポット利用が可能
月単位で契約できるクラウド型WAFもあり、短期間しか公開しないキャンペーンサイトなどのスポット利用も可能です。
また、新しいサイトを立ち上げた際には手続き1つですぐに上位プランへ変更できます。
クラウド型WAFサービスを導入するデメリットとは?
低コストで簡単に導入できるクラウド型WAFですが、メリットばかりではありません。もちろんデメリットもあります。
シグネチャの更新やWAFの管理を全てベンダー側で行うため、WAFの性能はベンダー任せとなる点です。
正確に攻撃を防ぐことはもちろん、WAFを導入することで起こりうる誤検知なども、ベンダーによって変わってきます。
こうしたことから、クラウド型WAFを導入する際は、「シグネチャのカスタマイズが出来るか」などのサービス選定だけでなく、導入後の更新や対応を含めて「堅牢なセキュリティ環境を構築できる」ベンダーを検討・選定することが重要です。
クラウド型WAFサービスを導入するメリットとデメリットまとめ
WAFを導入することで、Webサービスへの脅威から守ることができます。
最近流行りのクラウドサービスに対してはアプライアンス型WAFやソフトウェア型WAFは適用するのが困難であり、クラウドサービス向けのクラウド型WAFが主流になっています。
クラウド型WAF「攻撃遮断くん」は低コストかつ簡単に運用することが出来るWAFの1つです。専任のセキュリティエンジニアにより常にシグネチャを最新に保ち、高セキュリティを実現しながらもユーザー毎にシグネチャをカスタマイズできるため誤検知のリスクを抑えることができます。
コストや運用リソースがネックで導入を見送っていた企業にとって、低価格かつ簡単に運用できるクラウド型WAFはWebセキュリティ対策の有効な選択肢の一つとなるのではないでしょうか。
クラウド型WAF「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
専門家によるサポートも充実しておりますのでお気軽にお問合せください。
(2017/07/14執筆、2020/2/16修正・加筆、2021/7/12修正・加筆)