クラウドサービスの浸透によって、Webサイトを始めとしたWebサービス数は、近年ますます増え続けている傾向にあります。悪意ある攻撃者にとって、「攻撃対策なきWebサイト」は格好の標的であり、運営企業の規模の大小は関係なく、早期の対策が求められています。
そこで、本記事では「Webサイトのセキュリティ対策を検討しているが、何をすればいいのかわからない」「WAFってどれを選べばいいのかわからない」といったご担当者様を想定して、WAFの導入方法をわかりやすく解説いたします。
WAFの種類とは?
そもそもWAFとは、「Web Application Firewall」の略称で、主にWebアプリケーションを守ることに特化したセキュリティ対策製品になります。クライアントとWebサーバーでやり取りされるHTTP/HTTPS通信を検査し、悪意がある通信であると判断した場合は、自動的に接続を遮断しWebサイトを守ります。
WAFの種類には大きな枠組みで「アプライアンス型」「ソフトウェア型」「クラウド型」があり、それぞれにメリット・デメリットが存在します。単純にコストだけで比較するのではなく、運用しているWebサイトの特性に見合ったWAFを選ぶようにしましょう。アプライアンス型、ソフトウェア型、クラウド型のWAFの種類にについて、順にご説明していきます。
・アプライアンス型
WAF専用に作成されたハードウェアを保護対象となるWebサーバーの手前に設置し使用するWAFのことです。その他WAFと比べて初期費用や運用コスト等が高価になりやすいですが、後述するクラウド型と同様にWebサーバーへ負荷を与えることなく導入することが可能です。また、1台で複数のWebサーバーに対応することが可能なため、利用するユーザーの数が多いなどの理由により保護するWebサーバーの数が大規模な企業ほど割安に導入することが可能です。
・ソフトウェア型
自社サーバーにインストールするタイプのWAFになります。自社でサーバーを運営していてサーバースペックに余裕がある場合、アプライアンス型と比較して高価な専用機器を購入する必要がないため、ソフトウェア型の方が初期費用を抑えることができます。そしてシンプルな構成で導入することが可能です。ただし、初期設定や運用は自社で行う必要があるため、メンテナンスをすることができるエンジニアを採用する必要があります。
・クラウド型
クラウド上のサービスとしてWAFが提供されているタイプのWAFになります。DNSの切り替えのみで導入可能で、提供事業社によっては初期費用無料(月額費用のみ)で導入することも可能です。アプライアンス型、ソフトウェア型に比べて比較的簡単に導入することができ、運用もサービス提供会社が担ってくれるため管理が容易です。ただし、通信料や保護対象になるサイトの数に応じて従量課金になることが多く、保護対象のWebサイトによってはランニングコストが高くなってしまうケースがあります。また、他のタイプと比較してWAF購入者によるカスタマイズの自由度が低くなりやすい点については注意が必要です。
WAFの選び方 3つのポイント
それでは、どのようにWAFを選ぶと失敗することが少ないのでしょうか。WAF導入を失敗しないためには、各タイプのWAFのデメリットをしっかりと理解する必要があります。
一般的に、Webサーバーの台数が多い企業は専用機器を導入し、一括で運用ができるアプライアンス型が選択肢に上がります。Webサーバーの台数が少なくサイトの数が多い場合にはソフトウェア型が向いており、Webサーバーもサイトの数も少ない場合はクラウド型が最も手軽に導入することが可能です。
また、アプライアンス型とソフトウェア型に関しては、WAFの運用者が存在する前提の製品になっています。よって日々、サイト毎に詳細な設定の更新を行う必要があります。一方クラウド型の場合は、提供事業者側で運用管理を行ってくれます。
WAFを選定する際は以下の3点に注目して選ぶことをおすすめします。
【 WAFの選び方 3つのポイント】
- 簡単に導入することが可能か
- 自社内で運用することが可能か
- 初期費用、ランニングコスト
WAFの導入方法 アプライアンス型、ソフトウェア型、クラウド型
それでは、本題であるWAF導入方法についてまとめていきます。
〇アプライアンス型
- 専用機器の購入が必要
- 防御対象サーバーの設定
- 初期設定(攻撃パターンの登録など)
※提供事業者によっては代行サービスがあります。
〇ソフトウェア型
- 防御対象サーバーへのインストール
- 防御対象サーバーの設定
- 初期設定(攻撃パターンの登録など)
※提供事業者によっては代行サービスがあります。
〇クラウド型
- DNSの切り替え設定
- 防御対象サーバーの設定
- 初期設定(攻撃パターンの登録など)
※提供事業者によっては代行サービスがあります。
また、導入後の運用に関しても、アプライアンス型、ソフトウェア型については攻撃パターンの登録等初期設定と同様の設定をWAF購入者側で引き続き行う必要があります。クラウド型の場合は、提供事業者側で対応して貰える場合もあります。
まとめ
「WAFの導入方法とは?アプライアンス型、ソフトウェア型、クラウド型を一挙に解説 」と題しまして、ご説明してまいりました。本記事では各タイプのWAFの導入メリット、デメリットを取りまとめさせていただきました。WAFを導入すれば対策万全ということではなく、その後のWAF運用を続けることが可能かも含めてご検討いただくのがよいかと考えております。
当サイトでは、サイバー攻撃を防ぐためのクラウドWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。