WAF(Web Application Firewall)とは、サイバー攻撃からWebアプリケーションを守る役割を担うセキュリティ製品です。この記事では、WAF製品を徹底比較するとともに、WAFの必要性や製品選択のポイントについて解説します。
WAFとは
WAFは、Webアプリケーションを守る役割を担うソフトウェアです。よく比較されるファイアウォールやIPSとは、防御する層が以下のように異なります。
- WAF:公開WebサーバーのWebアプリケーション
- ファイアウォール:インフラ・ネットワーク
- IPS:ソフトウェア・サーバーOS
- セキュリティ対策ソフト:クライアント端末のOS
WAFの防御範囲は他のセキュリティ製品とは異なるため、より手厚いセキュリティ対策には欠かせません。
WAFの提供形態は、現在主流のクラウド型WAF、アプライアンス型WAF(ハードウェア組み込み型)、パッケージソフト型WAF(サーバーにインストールして使用)の3種類があります。これからご紹介する製品はいずれもクラウド型WAFで、手軽に導入できるため運用の手間がかかりません。
令和3年3月4日に警察庁が発表した広報資料「令和2年におけるサイバー空間をめぐる脅威の情勢等について」によると、「サイバー攻撃・サイバー犯罪はその手口を深刻化・巧妙化させつつ国内外で多数発生しており、サイバー空間における脅威は、極めて深刻な情勢となっている」といいます。また、同年のサイバー犯罪の警察による検挙件数も過去最多であったと発表されています。
大企業でないから標的にされることもないだろう、と考えている中小企業の方もいらっしゃるかもしれませんが、もはや企業規模は関係なくどの企業でもサイバー攻撃にあう可能性はあると考えておいたほうがよいでしょう。企業は自社の信頼を失わないためにも強固なセキュリティ対策を行っていく必要があります。
引用:「令和2年におけるサイバー空間をめぐる脅威の情勢等について」警察庁ウェブサイト https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_kami_cyber_jousei.pdf
クラウド型WAFのメリット・デメリット
現在では、WAFを物理的な機器ではなくクラウド上で提供するクラウド型WAFが増えています。
クラウド型WAFのメリットは、物理的な機器設置が不要なため、初期コストを抑えられかつ既存環境の構成変更が不要な点です。機器を設置する場合、機器の導入費用や保守費用がかかり、数百万円規模になることも少なくありません。また、物理的な配線変更も必要になるため、対応できるエンジニアが不可欠です。クラウド型WAFはこれらの問題に解決するために大きなメリットがあります。
一方、クラウド型WAFは月額型のサブスクリプションサービスである場合が多いため、導入規模によっては運用コストがかさむ場合があります。大規模で長期的に運用が必要な現場では、長い目で見ると機器設置よりも費用がかかる可能性があります。
また、サービスにもよりますがクラウド型WAFは細かいパラメータのチューニングには対応ができない場合があります。自社で機器を管理するほうが細かいチューニングは可能なため、自社にあわせたカスタマイズを実施したい場合にはクラウド型WAFは向かない可能性があります。導入する際は先々の運用まで含めた試算をしたうえで最適な方を選択しましょう。
WAF18製品を徹底比較!
「攻撃遮断くん」
株式会社サイバーセキュリティクラウド
- 参考価格:【初期費用】200,000円~【月額料金】10,000円~
- 提供形態:クラウド
- 従業員規模:全ての規模に対応
- 無料トライアル:あり
- 機能:WAF
クラウド型の国産WAFサービス「攻撃遮断くん」はWebサーバやWebサイトへのサイバー攻撃を遮断し、情報漏えい、Web改ざん、サーバダウンを狙った攻撃などの脅威から、企業とユーザーを守ります。エージェントを防御対象のWebサーバーにインストールする「エージェント連動型」と、DDoS攻撃にも対応する「DNS切り替え型」を用意しており、自社に適したタイプを選択することが可能です。
また、サイバー攻撃の状況をタイムリーに確認できる管理画面も提供。サイバー攻撃の傾向を確認するのに役立ちます。最短翌営業日から導入が可能で、専任の技術者もメンテナンスも必要ありません。保守・運用に一切の手間をかけることなく利用できるセキュリティサービスです。
「WafCharm」
株式会社サイバーセキュリティクラウド
- 参考価格:【初期費用】0円 【月額料金】5,000円~
- 提供形態:クラウド
- 従業員規模:全ての規模に対応
- 無料トライアル:あり
- 機能:FW、WAF、IDS・IPS
「WafCharm」はサイバー攻撃のパターンをAIによって学習し、攻撃を検知・遮断するWAF自動運用サービスです。AWSやAzureのWAFと連携し、WAFの機能を最適化することができます。専任のセキュリティエンジニアを必要とすることなくAWS/Azure WAFの運用を円滑に行うことが可能です。
また、専用機器の設置やDNSの切り替えがいらずスムーズな導入が可能。運用面においてもサポートが充実しているため手間がかかりません。初期費用0円で、月額5,000円から利用できるので、AWSやAzureを利用しており、セキュリティ面を強化したいが管理コストは抑えたいという企業におすすめです。
「Scutum(スキュータム)」
株式会社セキュアスカイ・テクノロジー
- 参考価格:【初期費用】98,000円〜【月額料金】29,800円~
- 提供形態:クラウド
- 従業員規模:全ての規模に対応
- 無料トライアル:なし
- 機能:WAF
「Scutum(スキュータム)」は、国内のクラウド型(SaaS型)WAF市場の売上シェア11年連続No.1*を獲得する、クラウド型WAFのトップブランドです。業界トップレベルの技術力と対応スピードで、新たな攻撃やSQLインジェクションなどWebアプリケーションの脆弱性を狙った攻撃を防御し、情報漏えいや改ざんのリスクから企業のWebサイトを守ります。
同製品の特徴は、誤検知の少ない最先端のWAFエンジンが実現する防御性能。これにより新たな脆弱性、ゼロデイ攻撃への迅速な対応が可能になります。また、セキュリティとシステム運用のプロによる24時間365日フルサポートの体制が整っているのもポイント。導入は最短1週間、月々29,800円から可能なので、手間やコストをかけずに導入できます。
(* ミック経済研究所刊 『情報セキュリティマネージド型・クラウド型サービス市場の現状と展望 2021』 2020年度)
「BLUE Sphere」
株式会社アイロバ
- 参考価格:【初期費用】100,000円~、【月額料金】45,000円~
- 提供形態:クラウド / SaaS / サービス
- 従業員規模:全ての規模に対応
- 無料トライアル:あり
- 機能:WAF、IPS・IDS
BLUE Sphereは「防御/保険/サポート」までセキュリティをワンストップに実現するサービスです。WAFだけでなくDoS防御・改ざん検知・DNS監視などにも対応。くわえて三井住友海上火災保険「サイバープロテクター」も無償で付帯します。
同サービスの特徴は、登録Webサイト(ドメイン)数に制限がないという点。所有する全てのWebサイトを一つの契約でまとめることで効率よく運用でき、管理コストも圧縮することが可能です。3か月ごとの平均トラフィックを基準とした料金体系のため、通信の最大値に対する課金方式と比べて低コストでの運用が期待できます。また、24時間/365日対応可能な国内サポートセンターがあるのもポイントです。
「攻撃遮断くん」
株式会社 USEN ICT Solutions
- 参考価格:【初期費用】10,000円~【月額料金】7,980円~
- 提供形態:クラウド
- 従業員規模:全ての規模に対応
- 無料トライアル:あり
- 機能:WAF
USEN GATE 02「攻撃遮断くん」は、クラウド型のWebセキュリティサービスです。外部からのサイバー攻撃を遮断し、情報漏えい、WEB改ざん、踏み台、 サービス妨害等の脅威から守ります。
従来のホスト型/ネットワーク型IPSでは、高額な機器等の購入や専門のエンジニアが必須、そして継続的なチューニング作業の必要性など、導入するには高いハードル・懸念点がありました。同製品はクラウド(IaaS)含め、ほぼ全てのサーバに対応し、自社での保守・ 運用は一切不要。手間をかけずに24時間365日Webサイトを守ることができます。2週間の無料トライアルを用意しているので、本格導入の前に使用感を試すことも可能です。
「CloudCoffer on Cloud」
株式会社アリス
- 参考価格:【初期費用】98,000円~ 【月額料金】58,000円~
- 提供形態:クラウド
- 従業員規模:全ての規模に対応
- 無料トライアル:あり
- 機能:WAF、IDS・IPS
「CloudCoffer on Cloud」は、世界トップクラスのAI技術とホワイトハッカーの知見を組合わせて開発された高性能攻撃検知エンジン「CloudCoffer」をベースに作られたSaaS型WAFサービスです。
本製品は、高性能AIエンジンによってゼロデイ攻撃や難読化された攻撃だけでなく、従来のWAFでは判断が難しい組み合わせ攻撃にも高い検知性能を発揮します。従来のWAF製品が採用しているシグネチャーベースではないため、複雑な設定や更新の手間がかからないのも大きな特徴。WAFだけでなく、IDSやアンチウイルスが対応する領域の検知・防御も可能です。これまで、大手金融機関や政府機関など幅広く採用されています。
安価で導入も簡単なため、ECサイトや会員制サイト、個人情報を扱うサイト、Webサイトのセキュリティ強化をしたい企業、団体におすすめです。
「Cloudbric WAF+」
ペンタセキュリティシステムズ株式会社
- 参考価格:【初期費用】68,000円~ 【月額料金】28,000円~
- 提供形態:クラウド
- 従業員規模:全ての規模に対応
- 無料トライアル:あり
- 機能:WAF、IDS・IPS
「Cloudbric WAF+」は、あらゆる包囲からのサイバー攻撃に対し、国際的に認められている高度なセキュリティでWebサイトを守ることができるクラウド型WAFサービスです。高セキュリティでありながら、リーズナブルに利用することができます。日本国内だけでも6,550サイト以上導入されており、確かな導入効果が期待できるサービスと評価されています。
導入までは、1.ヒアリングシート記入・提出、2.セキュリティ・プラットフォーム構築 3.DNS情報変更、の簡単3ステップで気軽に導入できます。また、保護対象のFQDN数およびピーク時トラフィックの2つの条件の組み合わせで利用プランを提案。契約プランを問わず、同一レベルの高度なセキュリティ・サービスを提供しており、システムの規模・環境条件、セキュリティ要件等ビジネス・ニーズにあわせて柔軟に利用プランを選択することが可能です。
「イージス」
株式会社ROCKETWORKS
- 参考価格:初期費用0円~、月額費用50,000円~
- 提供形態:クラウド
- 従業員規模:全ての規模に対応
- 無料トライアル:あり
- 機能:WAF
国家プロジェクト参画企業が開発し、従来WAFの課題を克服したのが、このクラウド型WAF「イージス」です。工事・運用不要・低コスト・リスクなしで24時間365日、高セキュリティを実現してくれます。
導入時の工事や環境変更の作業は不要。AIエンジンを搭載しており、24時間365日、自動で新しい脆弱性や攻撃手法にも素早く対応してくれます。
また、信経路上に分析エンジンを置かないため、速度遅延・サーバダウンのリスクがなく、従量課金ではなく定額制なので低コストで利用できるのも魅力です。
1ヶ月の無料トライアルも可能なので、まずは試してみるのもいいでしょう。
「SmartConnect Network & Security WAFメニュー」
エヌ・ティ・ティ・スマートコネクト株式会社
- 参考価格:【初期費用】110,000円(税込)~、【月額料金】44,000円(税込)~
- 提供形態:クラウド
- 従業員規模:全ての規模に対応
- 無料トライアル:-
- 機能:WAF、DDos、IDS・IPS、アンチウイルス
「SmartConnect Network & Security WAFメニュー」は、WEBアプリケーションなどの脆弱性を悪用した攻撃からサイトを守るクラウド型のセキュリティ対策です。
オンプレミス導入実績上位の最高クラスWAF製品をお客さまの要望に応じて設定でき、オンプレミスからの移行もスムーズに行えるのが特徴。セキュリティ専門組織※によるプロアクティブ監視に対応し、セキュリティリスクを最小化します。(付加機能)
また、お客さま環境を変えずにDNS切替だけで導入することが可能。セキュリティ専門組織※によるコンサルティングでお客さまの環境に合わせた導入・運用サポートも行います。(付加機能)
※ NTTビジネスソリューションズ株式会社が提供する運用監視センター「MC-SOC」と連携しています。
「Fortify」
株式会社スホ
- 参考価格:初期費用25,000円(他社WAF製品から乗り換える場合は免除)、月額料金は別途問い合わせ
- 提供形態:サービス / SaaS
- 従業員規模:全ての規模に対応
- 無料トライアル:あり
- 機能:WAF、脆弱性診断
「Fortify」は、SaaS型のWAFサービスです。WAFの機能だけでなく、セキュリティ管理者が直接WAFを管理するような、きめ細やかなWeb攻撃遮断サービスを提供しています。高度な論理演算検知基盤エンジンを搭載しているため、人工知能に似た働きで受信データがサイバー攻撃かどうかを判断して遮断できます。
他社では別途料金がかかることもあるレポート付のWebサイト脆弱性診断、SSL証明書、DDoS対策は全て無料です。ほかにも他社WAF製品から乗り換える場合は初期費用が免除されるなど、サービス面が充実している点も特徴の1つです。
「CyberNEO」
株式会社スカイアーチネットワークス
- 参考価格:月額50,000円(ウェブリクエスト件数1,000万件まで)~
- 提供形態:クラウド / サービス
- 従業員規模:全ての規模に対応
- 無料トライアル:あり
- 機能:WAF、IDS・IPS
「CyberNEO」は、最新のサイバー攻撃に対して常に専門家の知見を取り入れた対応を行うクラウド型のWAFサービスです。
定期的に攻撃データの傾向を見直して対策を反映しますが、反映前には必ず性能評価も実施。そのため、安定した性能を保ちつつ最新の攻撃傾向に対応し、より正確はサイバー攻撃の検知と遮断を行います。
料金体系はウェブリクエスト件数で変化する方式を採用。スタンダードはウェブリクエスト件数1,000万件まで、アドバンスは1億件までです。上限を超えた場合は追加料金がかかります。
「secuWAF」
株式会社セキュアイノベーション
- 参考価格:10GBプラン月額10,000円~、100GBプラン月額45,000円など
- 提供形態:クラウド
- 従業員規模:全ての規模に対応
- 無料トライアル:あり
- 機能:WAF、IDS・IPS
「secuWAF」は、月額10,000円から利用できるクラウド型WAF製品です。従量課金方式なので、毎月最適な料金で利用できます。Webアプリケーション診断専門のエンジニアが実施する簡易診断も無料で受けられます。
オプションでは、MALWARE CHECKERによるマルウェア検出や、詳細Webアプリケーション診断を提供。また、カスタマイズの相談も可能です。
WAFにあまりコストをかけられないが導入してみたいという場合に、他製品と比較検討してみたい製品です。
「MSS for Imperva Incapsula」
SBテクノロジー株式会社
- 参考価格:別途問い合わせ
- 提供形態:サービス / クラウド
- 従業員規模:500名以上
- 無料トライアル:なし
- 機能:WAF、IDS・IPS
「MSS for Imperva Incapsula」は、WAF製品「Imperva Incapsula」に加えて、DDoS 攻撃対策やCDN(トラフィック最適化)などのサービスも、包括的に提供するクラウド型のセキュリティサービスです。
Webアプリケーション側は何も追加修正する必要なく導入できます。さらに、セキュリティ専門アナリストが運用監視を行うため、自社リソースを割くことなく高レベルの運用監視が可能です。サイバー攻撃の一次連絡やチューニング作業も代行してもらえます。
WAFだけでなく、Webサイトに対する総合的なセキュリティ対策を一括して任せたいと考えている場合は、ぜひ検討してみてください。
「AIONCLOUD」
株式会社モニタラップ
- 参考価格:(月間トラフィック量課金の場合)初期費用0円、月額4,000円~、(帯域保証課金の場合)初期費用50,000円、月額90,000円~
- 提供形態:クラウド / サービス
- 従業員規模:全ての規模に対応
- 無料トライアル:あり
- 機能:WAF、IDS・IPS
世界レベルの脅威情報共有基盤により、新しい攻撃にもより迅速な対応ができる「AIONCLOUD」。シンプルな管理画面を備え、詳細な設定はユーザ側でも行えるクラウド型WAFです。
価格体系は、月間トラフィック量または帯域保証2種類の課金方式を提供。自社にはどちらが向いているかを検討しましょう。毎月安定したトラフィック量なら月間トラフィック量課金がおすすめです。月によってトラフィック量が大きく異なる場合は帯域保証課金を検討しましょう。
「CDN square」
アクセリア株式会社
- 参考価格:別途問い合わせ
- 提供形態:クラウド
- 従業員規模:全ての規模に対応
- 無料トライアル:あり
- 機能:WAF、IDS・IPS
「CDN square」は、CDNとしての機能にWAFなどのセキュリティ機能も備えた、高機能なクラウド型CDNサービスです。CDNサービスは3種類(マネージドCDN・ソリューションCDN・ブローカリングCDN)用意されており、ニーズに合わせて選べます。
セキュリティ機能では、WAFのほかDDoS対策、ファイアウォールなどの機能があり、SSL証明書発行も無料です。
自社環境のセキュリティ機能が弱い場合は、WAFだけでなく、他のセキュリティ機能も導入できる本製品の導入を検討してみてはいかがでしょうか。
「FortiWeb」
フォーティネットジャパン株式会社
- 参考価格:別途問い合わせ
- 提供形態:クラウド/ハードウェア
- 無料トライアル:あり
- 機能:FW、WAF、IDS・IPS
FortiWebはFW製品大手企業のフォーティネットジャパンが提供しているWAFです。AIを活用し、物理・仮想・クラウドにおける既知・未知の脆弱性を狙ったサイバー攻撃を防ぐことができます。
幅広い提供形態と製品ラインナップが整えられているため、自社の規模にあわせた製品を選択することが可能です。クラウド版であれば無料トライアルを取り扱っている販売代理店もあるため、まずは無料トライアルを試してみるのが良いでしょう。
「Barracuda Web Application Firewall」
バラクーダネットワークスジャパン株式会社
- 参考価格:別途問い合わせ
- 提供形態:クラウド / アプライアンス / オンプレミス
- 無料トライアル:なし
- 機能:WAF、IDS・IPS
Barracuda Web Application Firewallの大きな魅力はリーズナブルで豊富なモデルが用意されている点です。WAFなどのセキュリティアプライアンスは保守も含めると、規模によって年間数百・数千万円かかることも珍しくありません。
その点Barracuda Web Application Firewallであれば、初年度保守込みで最低価格128万5000円から導入可能です。WAF導入は敷居が高いと思っている企業でも検討しやすい製品と言えるでしょう。
「デジサート クラウド型WAF」
デジサート・ジャパン合同会社
- 参考価格:別途問い合わせ
- 提供形態:クラウド / SaaS / ASP
- 無料トライアル:あり
- 機能:WAF、アンチウイルス
デジサート クラウド型WAFは、SSLサーバ証明書の世界最大の認証局でもあるデジサートが提供するクラウド型のWAFです。クラウド型のサービスのため、初期導入コストを抑えることができ、簡単な手続きのみで短期間で導入できます。
導入時にサービスを停止する必要はありませんので、既存環境に導入する場合の影響を抑えることが可能です。非常に利用しやすいサービスであり、1ヶ月間の無料トライアルも用意されていますので、まずは無料トライアルを試してみるとよいでしょう。
WAF製品18選比較表
| 製品名 | 提供形態 | 参考価格 | 機能 |
|---|---|---|---|
| 攻撃遮断くん(株式会社サイバーセキュリティクラウド) | クラウド | 月額10,000円~ | WAF |
| WafCharm | クラウド | 月額5,000円~ | FW、WAF、IDS・IPS |
| Scutum | クラウド | 月額29,800円~ | WAF |
| BLUE Sphere | クラウド / SaaS / サービス | 月額45,000円~ | WAF、IPS・IDS |
| 攻撃遮断くん(株式会社 USEN ICT Solutions) | クラウド | 月額7,980円~ | WAF |
| CloudCoffer on Cloud | SaaS | 月額58,000円~ | WAF、IDS・IPS |
| クラウドブリック | クラウド | 月額28,000円~ | WAF、IDS・IPS |
| Fortify | サービス / SaaS | 別途お問合せ | WAF、脆弱性診断 |
| CyberNEO | クラウド / サービス | 月額50,000円~ | WAF、IDS・IPS |
| secuWAF | クラウド | 月額10,000円~ | WAF、IDS・IPS |
| MSS for Imperva Incapsula | サービス / クラウド | 別途お問合せ | WAF、IDS・IPS |
| AIONCLOUD | クラウド / サービス | 月額4,000円~ | WAF、IDS・IPS |
| イージス | クラウド / SaaS | 月額50,000円~ | WAF |
| SmartConnect Network & Security WAFメニュー | クラウド | 月額44,000円~ | WAF、DDos、IDS・IPS、アンチウイルス |
| CDN square | クラウド | 別途お問合せ | WAF、IDS・IPS |
| FortiWeb | クラウド /ハードウェア | 別途お問合せ | FW、WAF、IDS・IPS |
| Barracuda Web Application Firewall | クラウド/ オンプレミス / アプライアンス | 128万5000円~(初年度保守込み) | WAF、IDS・IPS |
| デジサート クラウド型WAF | クラウド / SaaS / ASP | 別途問い合わせ | WAF、アンチウイルス |
WAF製品選定のポイント3つ
WAF製品の導入を検討しているものの、どのような基準で製品を選べばよいかわからないとお困りの方も多いのではないでしょうか。ここではWAF製品選定のポイントを3点解説します。
1、セキュリティレベルと用途のバランス
セキュリティレベルが低すぎるのはもちろん問題ですが、高すぎても正常なアクセスを遮断してしまうなどの弊害が出ます。WAFなどのセキュリティアプライアンスでは、事前に攻撃パターンを登録しておくシグネチャ型で運用されることが多いですが、重要なのはシグネチャのチューニングです。異常な攻撃を遮断しつつ正常な通信を保護できるよう、セキュリティレベルにあわせたシグネチャのチューニングを行うようにしましょう。
自社が必要とするセキュリティレベルと用途のバランスについては、専門家とも相談しながら見極めつつ、製品選びの指針としてください。
2、初期コストと運用コスト
セキュリティアプライアンスの導入・運用にかかるコストは決して安価ではありません。初期・運用コストを抑えるために、自社の規模や保護したい範囲をふまえて製品を検討するようにしましょう。
ご紹介しているクラウド型WAFでは、初期費用数万円、月額数万円とだいたい似通った価格帯です。クラウド型のWAFであれば、機器の設置やネットワークの構成変更が不要な場合が多いため、初期コストを抑えることができます。
ただし、処理性能を求める場合は運用コスト(月額料金)が高くなる傾向にあります。初期費用だけに注目していて、実際に導入してみると運用コストが予想以上にかさむパターンも少なくありません。保護する規模に比べてオーバースペックにならないよう、求める処理性能とコストのバランスについても、各製品比較したいポイントです。
3、サポートやソリューションサービスの内容
WAFは、常に最新の状態にメンテナンスをするなど、専門的な知識を持った担当者の運用が欠かせません。クラウド型WAFであれば、運用面をある程度任せられますが、サポート内容の細かな部分は製品によって異なります。
また、セキュリティアプライアンスという特性上、万一機器やサービスの停止が発生した場合、その影響は大きなものになります。障害の発生時にも迅速に対応を行ってくれるサポート体制が組まれているかも重視しましょう。できる限り導入実績が多く、専門性に優れたベンダー製品を選ぶことがおすすめです。
また、WAFに関連するセキュリティ関連のソリューションサービスを展開している製品もあります。WAF機能に限らずFWやIDS・IPS、UTMなどといったアプライアンスを1つのベンダー製品にまとめることで、シナジーが利くとともに運用・管理コストを抑えることが可能です。バラバラのベンダー製品を導入し、管理が煩雑にならないよう注意することもポイントでしょう。
WAFの基本機能
WAFは、以下の機能を組み合わせることで、SQLインジェクションなど様々なサイバー攻撃からWebアプリケーションを守ります。
| 機能名 | 機能概要 |
|---|---|
| シグネチャ更新 | 攻撃パターン(シグネチャ)をチェックして攻撃遮断 |
| パラメータ検査 | ホワイトリスト(正しい仕様)に照らしてパラメータを検査 |
| クッキー暗号化 | クッキーを読み取れなくしてセッションハイジャックを防御 |
| セッション管理 | Webセッションの開始から終了までの一連の流れを管理 |
| クローキング | 検索エンジンや閲覧者に対して異なるコンテンツを表示 |
その他にも、最新技術により新たな攻撃に対応する機能が開発されています。各WAF製品は、新しい機能を取り込みながら日々進化するサイバー攻撃に対応しています。
WAFの導入手順
WAFを導入する際には、まず要件に応じて導入形態を決めましょう。WAFには以下の3種類が存在します。
- ソフトウェア型:サーバ単体にソフトウェアとして導入するWAF
- アプライアンス型:専用機器をネットワーク上に設置し、ネットワーク全体を保護するWAF
- クラウド型:ネットワーク設定を変更して利用する、ベンダーが用意したクラウド型のWAF
また、クラウド型WAFを利用する場合には、Webサーバ単体なのか、ロードバランサーなどの中間機器があるか、CDNを利用しているかなどでどの位置にWAFを適用するかの違いも生まれます。ただ、最低限どの導入形態にするかの目途をつけておけば、ベンダーに自社構成をふまえて最適な構成を相談することはできるでしょう。
導入形態を決めたら導入する製品を検討し、導入を行います。クラウド型であれば手続きのみ・DNS設定変更のみで導入できる場合がありますが、ソフトウェア型はサーバへのインストール、アプライアンス型は機器の設置が必要です。また、各種設定についてもベンダーに確認しつつ実施します。
導入後には、異常な通信がきちんと遮断できているか、正常な通信が遮断されていないかは確認しておきましょう。
WAFを運用する際の注意点2つ
WAFの導入が正常に完了した後も、運用においては2点注意が必要です。
1、定期的なシグネチャ更新
ブラックリスト方式であるシグネチャ型でもホワイトリスト方式であるアノマリ型でも、定期的にリストのチューニングが必要です。特にシグネチャ型では、チューニングを怠ると攻撃を防ぐことができなかったり、正常な通信を遮断してしまったりというリスクが発生します。
クラウド型WAFなどではベンダー側で自動でシグネチャを更新してくれますが、正常な通信が遮断されていないかはログやレポートを確認して適宜チューニングを行うことが必要でしょう。
2、運用コストの肥大化
WAFを運用していると、保護する対象が増えていくことで運用コストが肥大化していく可能性があります。特にクラウド型WAFは保護するサーバ台数によるサブスクリプション型である場合が多いため、機器が増えるほどに運用コストが増大してしまう可能性が高いです。
運用コストの肥大化を防ぐために、WAFの利用プランや導入形態を定期的に見直すことが大切です。また、自社内でセキュリティ人材を増やし、最低限の保守で運用できるよう体制を整えることも重要でしょう。
WAFを導入してサイバー攻撃に備えよう
WAFは、他のセキュリティ製品とは異なる層でサイバー攻撃を防御するソフトウェアです。他のセキュリティ製品と併用することでより高いセキュリティ対策となるため、導入の検討をおすすめします。
WAFの導入を検討する際は、以下よりWAF製品の資料を入手して、製品の比較検討などにお役立てください。
