サイバー攻撃のリスクが高まる中、Webセキュリティを強化する手段としてWAFを導入する企業が増えています。
しかし、多種多様なWAFサービスの中から、どれを選べばいいのかわからないという声をよく耳にします。
この記事では、WAFの種類やクラウド型WAFが選ばれる理由について紹介します。WAFの比較基準についても解説するので、WAFの導入を検討している方はぜひ最後まで読み進めてください。
WAFサービスはどう選べれば良い?WAFの比較ポイントを詳しく解説
そもそもWAFとは?
WAF(Web Application Firewall)は、Webサイトを含めたWebアプリケーション特有の脆弱性を突くサイバー攻撃を防御するセキュリティサービスです。情報漏えいやWebサイト改ざんなどのサイバー攻撃被害から回避するためにはWAFの導入がとても重要です。
名前にFirewallが入りますが、WAFとファイアウォールは違うセキュリティサービスです。ファイアウォールは通信パケットのIPアドレスやポート番号などに基づいて不正アクセスを見分けますが、WAFは通信の中身を一つひとつチェックし不正アクセスを検出します。
そのため、WAFはファイアウォールで防げないSQLインジェクションやクロスサイトスクリプティング(XSS)、DDoS攻撃などのサイバー攻撃を防御することができます。
防げるサイバー攻撃が異なることから、強固なセキュリティを実現するためにはWAFもファイアウォールも導入し多層防御することがおすすめです。
WAFについて詳しくはこちらの記事
WAFとは?仕組みや機能から導入時のポイントをわかりやすく解説3種類のWAF
サイバー攻撃の手口が日々進化している中、Webアプリケーションを守るためにWAFを導入する企業が増えています。ただし、WAFには3種類あるので、自社の環境やシステムに合ったWAFを導入することが大切です。
ここでは3種類のWAFとその特徴について解説します。
アプライアンス型WAF
アプライアンス型WAFはオンプレミス型WAFのひとつで、自社のネットワークにWAFの専用機器を設置して運用するWAFです。
社内ネットワークにWAFの専用機器を配置するので、自社の環境に合わせてアプライアンス型WAFを柔軟にカスタマイズすることができます。また、WAF導入による通信の遅延を最小限に抑えることができます。
一方、アプライアンス型WAFは導入コストが高いというデメリットがあります。アプライアンス型WAFを導入するのにWAF専用機器の購入や自社のネットワークの再構築が必要なので数百万円単位の費用が発生します。
さらに、アプライアンス型WAFの運用負荷が高いです。WAFの検知精度を維持するために、検知ルール(シグネチャ)の管理や更新が必要です。そのため、Webセキュリティやサイバー攻撃に関する専門知識を持つ専任のセキュリティエンジニアが社内に必要になります。
運用に十分なリソースを確保できない場合、アプライアンス型WAFを導入したとしても十分な効果が発揮できないので、導入前にしっかり検討する必要があります。
とはいえ、リアルタイムに近い高速な通信が必要な場合や、大規模な運用を考慮している企業にとって、アプライアンス型WAFは選択肢となるでしょう。
ソフトウェア型WAF(ホスト型WAF)
ソフトウェア型WAF(ホスト型WAF)とは、WAFソフトウェアをサーバに直接インストールするWAFです。WAF専用機器の購入が不要なので、導入における初期費用はアプライアンス型WAFより低いのがソフトウェア型WAFの特徴です。
ただし、1台のサーバに付き1つのWAFソフトウェアをインストールする必要があるため、保有するサーバの台数が多ければ多いほど、ソフトウェア型WAFのコストが肥大化します。
また、WAFソフトウェアがサーバにインストールされているため、通信の検知や遮断でサーバへの負荷がかかります。サーバの安定性に影響が出る恐れがあるので、事前の検証が必要です。
クラウド型WAF
クラウド型WAFは、クラウドで提供されるWAFです。アプライアンス型やソフトウェア型と違い、専用機器やWAFソフトウェアの調達は不要なのでクラウド型WAFの導入にかかるコストが低いのが特徴です。
さらに、運用面でもWAFベンダーに一任できることがクラウド型WAFの大きなメリットです。WAFの検知精度を維持するために検知ルール(シグネチャ)を適切に管理・更新する必要がありますが、クラウド型WAFの場合は、シグネチャの管理と更新をWAFベンダーが行います。
そのため、自社にセキュリティの人材がいなくても安心してクラウド型WAFを導入し、セキュリティ対策を行うことができます。
しかし、クラウド型WAFも完璧ではありません。WAFの検知精度がベンダーによって変わるので、防げる攻撃やシグネチャの更新実績などをしっかり確認する必要があります。
また、トラフィックの量に応じて費用が変動するクラウド型WAFが多いため、自社のトラフィック状況を把握し、適切なプランを選択することが大事です。
クラウド型WAFについて詳しくはこちらの記事
クラウド型WAFとは?仕組みや防げる攻撃、比較ポイントまでまとめて解説パブリッククラウドWAF(クラウドベンダーが提供するWAF)
パブリッククラウドWAFはクラウドベンダーが提供するWAFのことです。クラウドベンダーとはクラウドサービスを提供する事業者のことで、代表的なクラウドベンダーはAmazonの「AWS(Amazon Web Services)」、Microsoftの「Microsoft Azure」、Googleの「Google Cloud」の3つです。
クラウド環境で開発されたアプリケーションのセキュリティ対策として、それぞれのパブリッククラウドWAFが提供されています。
| クラウドサービス | パブリッククラウドWAF |
| AWS(Amazon Web Services) | AWS WAF |
| Azure(Microsoft Azure) | Azure WAF |
| Google Cloud | Google Cloud Armor |
パブリッククラウドWAFのメリットとして導入しやすい点が挙げられます。数クリックで導入できるので面倒な設定はいりません。
また、利用料金を安く抑えられるのもパブリッククラウドWAFの特徴です。パブリッククラウドWAFは従量課金制を導入しているため、利用した分の料金のみで、初期費用や固定プラン料金なしでパブリッククラウドWAFを利用できます。
ただし、一般のクラウド型WAFと異なり、パブリッククラウドWAFを利用するには自社でシグネチャを作成・管理・更新しなければなりません。そのため、パブリッククラウドWAFの導入や運用にはセキュリティに詳しい人材が必要になります。
なお、パブリッククラウドで提供されるWAFであるため、複数のクラウドサービスを利用する場合、それぞれのクラウド環境ごとにWAFを導入する必要があり、管理負荷が大きくなります。
クラウド型WAFが多くの企業に選ばれる2つのワケ
近年、WAFの導入を検討する企業の中で、クラウド型WAFを選ぶ企業が増えています。ここでは、クラウド型WAFが多くの企業に選ばれる理由について解説します。
導入ハードルが低い
アプライアンス型やソフトウェア型に比べて導入にかかる工数もコストも低いため、クラウド型WAFを導入する企業が増えています。
初期費用が安いうえ、システム改修をはじめとする複雑な導入作業が発生しないので、リソースが限られている中小企業でも気軽にクラウド型WAFを導入できます。
運用の工数も低い
運用の手間が低いのもクラウド型WAFが選ばれる理由です。WAFの検知精度を保つために適切な運用が必要です。具体的には、新しい脆弱性や攻撃手法などの情報を常に収集し、リスク評価や対応する優先順位を決め、新しい攻撃の特徴に基づいてシグネチャを更新することです。
オンプレミス型WAFを導入した場合、運用に関連する一連の作業を自社で行う必要があります。自社での運用が難しい場合外注することも可能ですが、膨大なアウトソーシング費用がかかります。
その一方、クラウド型WAFのシグネチャ管理や更新はWAFベンダーが行うので、社内に専任のセキュリティ人材がいない企業でも安心してクラウド型WAFを導入できます。
クラウド型WAFの比較ポイント
さまざまなクラウド型WAFがある中で、どういう基準で選定すべきでしょうか。ここではクラウド型WAFの導入を検討する際に重要な比較ポイント4つを解説します。自社のニーズや要件に最も合致するWAFを選定しましょう。
検知・遮断機能とシグネチャの精度
クラウド型WAFの提供ベンダーによって対策できるサイバー攻撃が異なるので、どういった攻撃を防御できるのかを導入前にしっかり把握する必要があります。
無料で利用できるWAFも存在しますが、防げる攻撃が非公開となることが多いので、導入したとしても不安が残るでしょう。
また、クラウド型WAFのシグネチャの更新実績も確認しましょう。新しい脆弱性や攻撃に迅速に対応できた実績のあるクラウド型WAFを選んだほうが安心できます。
サポートの充実度
WAFを導入したあとに誤検知をはじめとするトラブルが発生する恐れがあります。サイト閲覧者に影響を及ぼす可能性があるので迅速な対応が求められます。その場合クラウド型WAFの提供ベンダーのサポートが重要です。
万が一のことを考慮して24時間365日サポートが付いているクラウド型WAFを選ぶことをおすすめします。
また、海外のベンダーを選択する際には注意が必要です。言語の壁や時差の問題により、サポートの対応が遅れる可能性が少なからずあります。
導入タイプ
クラウド型WAFの導入方法には大きく分けて2つのタイプがあります。それぞれの特徴やメリットが異なるので、自社のニーズに適した種類を選びましょう。
1つ目はDNS切り替え型です。DNS切り替え型のWAFは、DNSの設定を変更するだけでWAFを導入できるので、導入工数を最小限に抑えることができます。
また、サーバの前面に配置するのですべての通信をWAFがチェックするので、DDoS攻撃にも対応することができます。
2つ目はエージェント連動型です。エージェント連動型WAFは、サーバにエージェントをインストールすることで、サーバへの通信ログがWAFのデータベースに送信されます。そして不正アクセスが検知された場合、WAFによってWebサーバに遮断命令を出してブロックします。
すべての通信をWAFに通す必要がないので、エージェント連動型WAFを導入したとしても通信の遅延が発生しないのが特徴です。また、WAFに障害が発生しても、サーバへの影響を最低限に抑えることができます。ただし、DDoS攻撃を防ぎ切れない可能性があります。
それぞれの特徴やメリットを把握したうえ、自社の環境や要件に合ったタイプを選定することが重要です。
月額利用料金
導入タイプや利用プランによって月額料金が異なるので、自社に適したものを選ぶことが大切です。
運用しているWebサイト数が多い場合、占有型(入れ放題プラン)のWAFを選びましょう。独自のWAF基盤を専有し利用するので、事業拡大に伴ってWebサイト数が増加しても月額料金は増えません。
Webサイト数が少ない、もしくは月額の利用料金を最小限に抑えたい場合、共有型(1サイトプラン)のクラウド型WAFがおすすめです。ほかの企業と同じWAF基盤を共有するので、低価格で利用できます。
自社にあったWAFを選定するために適切なコスト算出が必要です。セキュリティ対策費用算出の考え方についてこちらの資料にまとめたので、ぜひご活用ください。
まとめ
Webセキュリティを強化するにはWAFの導入は必要不可欠です。3種類のWAFのうち、導入の手軽さと利用料金の安さから、クラウド型WAFが多くの企業に選ばれています。
さまざまなクラウド型WAFがある中、自社の環境やニーズに合ったWAFを選ぶことが重要です。具体的には下記4つの比較ポイントがあります。
- 検知・遮断機能とシグネチャの精度
- サポートの充実度
- 導入タイプ
- 月額利用料金
