WAFの導入を検討するときにどういったものを導入するべきか、悩まれることがあると思います。そんな皆様の悩みを少しでも解消させていただきたい!!とおもい、WAFはどのようなタイプを選ぶべきか、WAFサービス選びのポイントなどをご紹介させていただきたいと思います。初心者の方にもわかりやすく解説しています。是非参考にしてみてください!!
WAFサービスのタイプとは?
WAF(ワフ)のサービスは大きく3つのタイプに分類されますが、どのようなものがあるかご存知でしょうか?正直この企画を行う事となるまで私も知らなかったため、急いで勉強しました(笑)。そんなセキュリティに関してド素人の私が、それぞれのWAFサービスのタイプについて調べましたので、簡潔にご説明させていただきたいと思います。
ちなみに、いま皆様が求めているWAF、自社が求めているWAFはどういったものなのかのイメージはありますか?今考えられているものをイメージしながら、以下の3つのタイプを確認してみてください。
クラウド型WAF
クラウド型のWAFは、現在利用している自社のネットワーク構成を変更する必要がありません。そのため他の二つのタイプと比べ非常に導入しやすいタイプと言えます。また、利用前に必ず必要となる初期設定や検知対象の調整といった手間のかかるような作業は、ある程度初期設定されております。また、サービス提供企業が設定してくれることもあるため、開始するまでの運用の負担を抑えることも可能です。
アプライアンス型WAF
アプライアンス型WAFは、専用のハードウェアに組込み、自社ネットワークの中に設置して利用する形が一般的となります。専用のハードを利用するため、高速な通信が可能となります。また、防御設定などの自由度もあります。しかし、専用のハード等への投資が必要となるため、費用がかかること、そして初期設定や検知対象の調整などの設定に手間がかかります。
ソフトウェアインストール型WAF
ソフトウェアインストール型WAFは、自社サーバ上にWAFのソフトウェアを構築して運用します。アプライアンス型のWAFと同様に初期設定や各種調整などが必要となるため、時間と手間と専門的な知識が必要となります。さらに、設定の自由度も高いため、専門的に細かな設定をしたい場合には向いております。
いかがでしょうか。上記の3つのタイプから、どのサービスが自社のニーズとマッチしているか、イメージはつきましたか?
まだイメージが無いということなら上記3つをベースにして、ご検討してみてください。
WAF導入にむけての確認すべきポイント!
次にWAFを導入するにあたって、確認すべきポイントがあると私は考えております。ここでは私がこれは「重要だ!」と勝手に考えている「費用対効果」と「サポート体制」の2点に絞ってご紹介させていただきます。
初期環境構築や運用工数について
すでに自社にてWAFの環境構築を前提とされている場合は問題ありませんが、そうでない場合は比較的手間がかからないクラウド型のWAFを検討いただくことが多いのではないでしょうか?
すぐに低コストで開始することが可能であるため、アプライアンス型やソフトウェア型WAFと比較すると減価償却や資産管理をそこまで気にする必要が無いのではないでしょうか。また、アプライアンス型WAFのように償却前に機能やスペックが時代遅れとなり、投資が無駄となる心配もない点はメリットと言えます。
また、クラウド型WAFのもう1つの大きなメリットとして、運用時に「自社でセキュリティパッチをあてる」、「機器の障害発生時やその時に備えた対応を行う」などの運用の手間がなくなるといった点は非常に大きいです。
極力運用に手間のかからないものを選びたいですよね!私であればそう考えます!!
社内にWAFに関する知識を持った専任担当者が居るかどうか
WAF導入時の作業と導入後の作業のイメージは出来ていますか?WAFに関する知識をもった専任担当者がいる場合に関しては各種設定の変更(チューニング)や更新なども対応が可能です。
しかし、そういった専任担当者はなかなか居ないですし、セキュリティ人材の不足が叫ばれている昨今では一層確保が難しいと思います。
そんな時はクラウド型のWAFサービスがより安心です。クラウド型の場合、提供元の企業が専用の問い合わせ先を用意していることが多く、何かあった際や、各種設定変更を行う際に相談できる先がありますので、安心して運用をしていただけるのではないでしょうか。
私は「お金」と「手間」が重要と考えましたので、その内容に絞ってご紹介をさせて頂きました。おそらくどの企業様でも上記は重要視されるポイントかと思います。参考にしていただけると嬉しいです。
WAFサービス選びのポイントがあるのです!
それではいよいよ、WAFサービス選びのポイントを3つご紹介させていただきます。この3つのポイントはしっかりと抑えていただき、検討していくとよいのではないでしょうか。
対象とするWebサイトとどういった攻撃を防御するかの特定
対象となるWebサイトがどれで、どういった攻撃を防御したいのかを明確にしましょう。
「どういった攻撃って言われてもなぁ。。。何ができるかわからないし。。。」と思われる方もいらっしゃるかと思います。簡単にご説明しますと、WAFサービスにはインターネットを通じた様々な悪意のある攻撃を防御できるようになっておりますので、どういった攻撃を
防御したいのかは以下URLにまとめられておりますのでご検討ください。
それでも「わからない!」という時はぜひ当サイトの問合せフォームよりご相談ください。
WAFは対象範囲やWebサイトの作りによって、最適な製品(クラウド型なのか、ソフトウェアインストール型なのか、アプライアンス型なのか)が異なってきますので、上記でご説明させていただいたそれぞれの特徴をもとに、Webサイトの運用担当、セキュリティ担当が話し合いをし、WAFにて防御すべき範囲を特定し、そのうえでサービスの検討をしましょう。
導入形態の決定
「WAFサービスのタイプとは」でご説明したように、WAFには3つのタイプがあり、それぞれ特徴があります。どのタイプのWAFが自社の求めているものとマッチしているかを検討しましょう。
導入後の拡張性(オプション追加)を確認
WAF選定をする際、導入後の拡張性(オプション設定)に関しても検討してください。サービスによっては〇〇の防御設定はオプションというサービスもございます。
そういったオプション設定されているものが後付け可能なものなのかをご確認ください。
〇〇の防御設定は標準装備といったサービスもありますので、各サービス内容をよく確認するようにしましょう。
「導入後に変更(オプションの追加が)できないことが分かり、困ってしまった!」という事が無いようにご注意ください。
上記の3つを確認しWAFサービスを検討いただければ、導入してから「求めていたことが出来ない!」や「設定が難しすぎて何もできない!」「お金がかかりすぎる」といった失敗を極力防ぐことが出来るのではないかと考えております。
まとめ
今回は「WAFサービス」について、タイプの違いや選ぶポイントについて皆さんのお役に立ちたいと思い、ブログをかいてみましたがいかがでしたか?
「常識だよね!」「そんなこと知ってるよ!」という方もいらっしゃるかもしれませんが、悩んでおられる方に対して少しでもお役にたてていれば幸いでございます。
おさらい
- 自社がしたいことを明確にする。
- 自社予算とWAFの担当を誰にするか検討
- ①にFitするWAFのタイプを検討する
最低でも上記内容は確認をしていただき、自社のWAF運用についてご検討いただければ大きな失敗は防げるのではないかと考えております。
また、弊社ではクラウド型WAFサービス「Prime WAF」を提供しております。もしクラウド型WAFをご検討の際には弊社サービスもご検討いただけますと幸いでございます。
ご興味あれば是非以下をご確認ください。
当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。
