コストを下げるため、レンタルサーバを利用して自社やサービスのWebサイトを作る企業が増えています。
そしてユーザーの大事なWebサイトを守るため、セキュリティ対策としてWAFオプションを提供するレンタルサーバが多くあります。
WAFオプションを付加する価値はあるのか、そもそもWAFとは?という疑問を持っている人もいるでしょう。
この記事では、レンタルサーバが提供するWAFの機能や特徴、またメリットもデメリットも詳しく解説します。
コストを下げるため、レンタルサーバを利用して自社やサービスのWebサイトを作る企業が増えています。
そしてユーザーの大事なWebサイトを守るため、セキュリティ対策としてWAFオプションを提供するレンタルサーバが多くあります。
WAFオプションを付加する価値はあるのか、そもそもWAFとは?という疑問を持っている人もいるでしょう。
この記事では、レンタルサーバが提供するWAFの機能や特徴、またメリットもデメリットも詳しく解説します。
ユーザーのWebサイトやWebサービスを守るため、多くのレンタルサーバがWAFオプションを提供しています。
レンタルサーバのWAFの前にまずWAFとその必要性について説明します。
WAFとは、Web Application Firewall(ウェブアプリケーションファイアウォール)の略称であり、Webサイトを含めたWebアプリケーションをサイバー攻撃から守るツールです。
主な理由は年々増加しているサイバー攻撃です。警視庁が発表した数字によるとサイバー攻撃の数が5年間で約3.8倍増えました。
サイバー攻撃といえば、ECサイトやインターネットバンキングなど、クレジットカードや口座情報を扱うWebサイトだけが、攻撃対象になると誤解している人は多いでしょう。
しかし実際は、問い合わせフォームのあるWebサイトや会員制のWebサービス、またユーザーのリクエストに応じて動的ページを生成するWebシステムなど、あらゆるWebアプリケーションもサイバー攻撃の対象となり、そして被害も受けています。
Webアプリケーションへのサイバー攻撃の被害者にならないために、WAFが最も効果的です。
誰でもアクセスできるWebサイト。企業自体や商品の紹介、または顧客の声の収集などさまざまな役割を持っています。さらに、SaaSやECサイトなどWebサイトを通じてサービスを提供するパターンも多いです。
とても重要なWebサイトですが、攻撃されると下記の被害が考えられます。
万が一サイバー攻撃により個人情報の漏えいが発生してしまった場合、被害がさらに大きくなります。企業信用失墜や売上機会損失はもちろん、2022年4月に施行された改正個人情報保護法により個人情報保護委員会への報告と本人への通知が義務化されています。
そういった対応をするために膨大な人件費や外注費がかかるので、サイバー攻撃を受けた場合の損失はとても大きいといえるでしょう。
ここからはレンタルサーバが提供するWAFの機能を紹介します。サービスによって機能に多少違いがありますが、大きく3つあります。
サイバー攻撃の防御はWAFに欠かせない機能です。レンタルサーバのWAFの場合、SQLインジェクションやXSS(クロスサイトスクリプティング)など主なサイバー攻撃に対応できることが多いです。
一方、ポートスキャンやDDoS攻撃などのサイバー攻撃に対応できないサービスが多いので要注意です。導入前にサービスサイトでしっかり防御できるサイバー攻撃の種類を確認したほうが安心できるでしょう。
検知と遮断だけでなく、不正アクセスやサイバー攻撃の履歴を残し、そして管理することもできます。
また、WAFによって検知ログに基づいて除外設定ができるものもあります。
ブラックリスト機能という、特定のIPアドレスからの通信を遮断するように設定できるものもあります。
例えば、特定のIPアドレスから攻撃を受けている場合、そのIPアドレスを指定しそこからの通信をすべて止めることはできます。
ただし、すべてのレンタルサーバーWAFにもブラックリスト機能を搭載しているわけではないので、利用開始前にはしっかり確認しましょう。
レンタルサーバのWAFを導入するメリットは主に2つあります。
レンタルサーバのWAFの一番のメリットは、無料もしくは非常に低い価格で利用できることです。
Webセキュリティに予算の取れない中小企業やスタートアップ企業にとっては大きなメリットといえるでしょう。
レンタルサーバと一括管理できるのもメリットのひとつです。
一般のWAFと異なり、レンタルサーバの管理画面からWAFの設定や検知ログの管理をすることができるので一元管理を実現できます。担当者にとっての管理工数が低く楽になります。
無料で利用可能なのがレンタルサーバのWAFの大きなメリットですが、デメリットも見てみましょう。
レンタルサーバのWAFの防御できる攻撃が限られています。SQLインジェクションやXSSしか防げないWAFもあります。
そのため、レンタルサーバのWAFを導入したとしてもサイバー攻撃による被害を受ける可能性があるので簡単には安心できません。
共通サーバを利用するため、WAFの検知ルールを複数のユーザーと共有するケースがほとんどです。
ただし、会社によってセキュリティレベルや遮断したい通信が異なるので、全ユーザーが共通ルールを使うのであれば誤検知が起こりやすいです。
複数ユーザーで共通で利用するので、検知ルールを調整するとほかのユーザーにも影響が出てしまいます。そのため、検知ルールのカスタマイズに応じないレンタルサーバWAFが多いです。
たとえ誤検知が発生したとしても検知ルールの調整や個別ルールの停止は対応できないので、結局放置になってしまうことになります。万が一、重要な顧客のアクセスがブロックされてしまうと、クレームや売上機会の損失につながることが十分あり得ます。
また、特定の検知ルールを止めるという方法もあり得ますが、もともと防御したい攻撃が防げなくなるのでWAF導入の意味も薄くなるでしょう。
新しいサイバー攻撃が毎日出ているいま、WAFの防御能力を保つために検知ルールの更新を頻繁にしないといけません。
一方、レンタルサーバのWAFが無料で提供されているので、検知ルールを頻繁に更新できるリソースの捻出は現実上難しいでしょう。
WAF導入にあたって不明点や誤検知が出てくることがあります。ただし、レンタルサーバのWAFは、問い合わせの窓口やサポートチームを設けていないことが多いです。
そのため、たとえWAFの利用に対して問題が出たとしても、FAQを見たりして自力で解決しないといけません。
無料で手軽に導入できるレンタルサーバのWAF。ただし、防御できる攻撃が限られたり誤検知が多発したり検知ルールのカスタマイズや調整ができなかったりしてデメリットも多くあります。
静的ページがほとんどのサイトであれば良いかもしれませんが、問い合わせや顧客情報を積極的に獲得するWebサイトやECサイトの場合、Webセキュリティ対策としてしっかりしたWAFの導入をおすすめします。
クラウド型WAFを導入するなら国内シェアNo.1※の「攻撃遮断くん」がおすすめです。「攻撃遮断くん」は月額10,000円〜導入可能かつ、システム変更不要のため最短1日で導入できる日本国内で開発・運用されているWAFです。ユーザー側での運用は一切必要ないため、低価格かつ簡単に高セキュリティを実現できます!
攻撃遮断くんについて詳しく知りたいならこちらの資料をダウンロードしてください。
デロイト トーマツ ミック経済研究所「外部脅威対策ソリューション市場の現状と将来展望 2023年度」
ご利用お申し込み、お見積り依頼、
Webセキュリティに関する相談はこちらから!