コピー完了

記事TOP

WAFの導入事例!サイバー攻撃を無害化するWAF活用術

最終更新日:(記事の情報は現在から1146日前のものです)
Webアプリケーションのぜい弱性を狙った悪質なサイバー攻撃が後を絶たない中、効果的な対策としてWAFが注目されています。SaaS/クラウド型の登場によって導入しやすくなったWAFについて、導入事例の紹介を交えて解説します。

【厳選】おすすめのWAFをまとめてチェック!

WAFの各サービス資料を厳選。無料でダウンロード可能です。

WAFとは

WAF(Web Application Firewall)とは、悪意ある攻撃からWebアプリケーションを保護するセキュリティ対策のことです。ファイアウォールなどでは対応できない攻撃を検知し、遮断できます。

Webアプリケーションにぜい弱性がある場合でもWAFは有効に機能するため、クラウド型の登場と普及が進んだ現在では、手軽で有効なWebサイト防御手段となり、注目を集めています。

WAFの詳しい特徴やファイアウォールなどとの違いはこちらで解説しています。

WAFとは?仕組みとファイアウォール・IPS/IDSとの違い、種類
WAFとは、ウィルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防ぐセキュリティの一種です。WAFの仕...
詳細を見る

WAFの役割

WAFは通常Webサーバの前面に配置され、ユーザーからの入力やリクエストに対して、動的なページを生成するようなWebアプリケーションを防御する役割を果たします。

不正アクセスがWebサーバに到達する前に、データの中身をアプリケーションレベルで解析して無害化するため、ファイアウォールの外(DMZ)に配置されるような企業Webサーバでもアプリケーション/ソフトウェア/OSレベルで防御できるのです。

WAF、IPS、IDS、FWの違い

WAFとは別に、ネットワークやWebサイトに関連するセキュリティ手法でよく利用されるものに、IPS/IDS、FW(ファイアウォール)がありますが、それぞれ防御可能な通信レイヤーに違いがあります。

主にパターンマッチングという方法によって、ネットワークレベルでの攻撃を検出するファイアウォールでは、サーバOSやWebソフトウェア/アプリケーションは保護できません。また、IPS/IDSの場合はサーバOSまで保護可能ですが、Webソフトウェア/アプリケーションは保護できないのです。

WAFはこれらのセキュリティ対策を補間し、Webソフトウェア/アプリケーションレベルまでを保護します。さらに詳しくIPS/IDSについて知りたい方はこちらの記事をお読みください。

IDS・IPSとは?不正侵入検知・防御の仕組み | 違いやシステムを紹介
IDS・IPSは、不正な通信を検知・ブロックするためのシステムです。IDSとIPSの違い、WAFやファイアーウォー...
詳細を見る

WAFの特徴と種類

WAFには、大きく分けてオンプレミス型(アプライアンス型)とソフトウェア型、クラウド型の3種類があります。

オンプレミス(アプライアンス)型WAF

オンプレミス型WAFとは、専用のハードウェアをネットワークのゲートウェイに設置する方法です。WAFの専用機器なので高性能で、アクセス数によって最適な機器を選択できます。

ハードウェアが高価なため初期費用の負担が大きく、設定やチューニングも自社で行う必要がありますが、状況に合わせて柔軟にカスタマイズ可能です。

自社のシステムに合わせた柔軟なWAFを導入したい場合には、オンプレミス型があっているといえるでしょう。導入の際にはコストが見合っているか、WAF対応についてシュミレーションをしてみることが大切です。

ソフトウェア型WAF

サーバ構築時に専用のソフトウェアを組み込む方法です。初期費用が大きいこと、設定やチューニングが必要になるのはオンプレミス型同様です。提供会社のサポートが受けられる商用のソフトウェアWAFと、ライセンスの範囲内の使用であれば無料となるオープンソースソフトウェアがあります。

自社のWebサーバーにインストールするため、他のサーバーや端末には影響しないので、環境に応じた自由な設定が可能なのが特徴です。

オンプレミス型よりコストが安く済むこともあるので、自社にあっているかよく検討することが重要になります。

クラウド型WAF

クラウド上の仮想WAFを利用する方法です。ネットワークの設定変更だけで導入できる手軽さと、コストを抑えた運用が可能です。

サービス提供者が運用しているWAFを利用する形態なので、オンプレミス型やソフトウェア型のように自由度は高くありませんが、低予算で導入できるので手軽にセキュリティを構築したい企業におすすめです。

クラウド型WAFの特徴

WAFはWebアプリケーションの保護に有効なため、以前からセキュリティ意識の高い企業では積極的に導入されていました。

しかし、オンプレミス型が主流であったため、規模が小さく予算が厳しい企業にはハードルの高いセキュリティ対策だったといえます。これを解決するために登場したのがクラウド型WAFです。

従来型WAFの問題点

オンプレミス型が主流であった従来型のWAFには、数百万単位で発生する導入費用、自社によるチューニングが必要というほかに、専門的な理由からこのような問題がありました。

  • 導入/撤去/チューニングの際にサービス停止時間が生じる
  • アプリケーション改修が発生するたびに高コストのチューニングが必要になる
  • セキュリティエンジニアの配置が必須

非常に優れたセキュリティ対策であるオンプレミス型WAFの導入が進まなかったのは、上記のような理由によるところが大きいです。

クラウド型WAFのメリット

オンプレミス型に対するクラウド型WAFのメリットには、以下の点が挙げられます。

  • 低コスト運用
  • 短期間での導入
  • システム構成変更の必要なし
  • サービス停止の必要なし
  • 常に最新のセキュリティパッチが適用
  • 短期間のみの利用が可能

それぞれ簡単に説明します。

低コスト運用

クラウド型WAFは導入にまとまった費用が必要なく、低コストで運用ができるのが大きなメリットです。オンプレミス(アプライアンス)型のWAFは導入に数百万円を要するケースは少なくありませんが、クラウド型は導入作業が不要なため初期費用がほとんどかからず、サブスクリプション(継続課金)費用のみで利用可能です。

コスト面のハードルが下がるとWAFはかなり導入しやすくなりました。WAFのシェアが広まったのは、クラウド型WAFの登場が要因のひとつといえるでしょう。

短期間での導入

専用機器を導入する必要がないため、短時間で導入・利用できるようになります。サービス提供会社と契約し、ネットワーク設定を行うだけで即日利用できるものも多いです。

システム構成変更の必要なし

既存のシステム構成を変更することなく導入・運用ができるのもメリットです。WAFの運用はサービス提供会社に任せられ、攻撃があった場合の把握と対応、更新もベンダーが行ってくれるので、自社で専任のスタッフを雇う必要はありません。

サービス停止の必要なし

稼働中のサーバーを停止させることなくWAFの導入が可能です。自社のサービスを止めずに手軽にセキュリティの強化ができるわけです。

常に最新のセキュリティパッチが適用

新しいセキュリティパッチがリリースされた場合も、ベンダーが実装してくれるので自社でパッチを適用する必要はありません。常に最新バージョンでの運用が可能になります。

WAFは定期的なアップデートをしなければ、セキュリティの質を維持できません。ベンダー側でアップデートしてくれれば、手間をかけずにセキュリティ対策ができます。こちらもクラウド型の大きなメリットと言えます。

短期間のみの利用が可能

必要な期間だけ利用できる点もメリットです。不要になったらいつでも解約可能なので、自社のメインサーバーのみならず、一時的なプロジェクトやキャンペーンのためのサイトのセキュリティ強化にも利用できます。

セキュリティの強固さという点ではオンプレミス型に一歩譲りますが、その分導入へのハードルが大幅に下がり、運用への道が大きく開かれているのがクラウド型WAFの特徴です。

クラウド型WAFのデメリット

続いて、クラウド型WAFのデメリットについても触れておきます。

  • WAFの性能がベンダーに依存してしまう
  • 十分なセキュリティ環境を維持できない可能性がある
  • アクシデントが発生するとサービスが停止するおそれがある

それぞれみていきましょう。

WAFの性能がベンダーに依存してしまう

クラウド型WAFはサービス提供会社(サービスベンダー)が運用を行い、更新管理もベンダーが行います。そのため自社で自由にカスタマイズするのは難しく、自社環境に合ったセキュリティを構築できるかどうかはサービスの質に依存してしまいます。導入の段階で自社に合ったサービスを慎重に選定することが重要です。

十分なセキュリティ環境を維持できない可能性がある

上述のように、サービスの選択によっては自社にとって十分なセキュリティ環境を維持できない可能性も出てきます。自社環境に合わないと感じたら、解約して別のサービスの導入を検討する必要があるでしょう。

アクシデントが発生するとサービスが停止するおそれがある

ベンダー側に何らかの問題が発生した場合、サービスの提供が停止されてしまうおそれもあります。滅多に起こることはありませんが、WAFが停止してしまって一時的にセキュリティがぜい弱になってしまう可能性もゼロではありません。

上記のメリット・デメリットの双方を理解したうえでクラウドWAFの導入を検討してください。以下では、主にクラウド型WAF導入に成功した活用事例を紹介します。

導入事例:攻撃遮断くん

攻撃遮断くんは、最短で翌営業日からの導入が可能な国産クラウド型WAFです。

高トラフィックのWebサイトを含むあらゆるWebシステムに対応し、24時間365日体制の技術サポートで、個別のカスタマイズを柔軟に行うことも可能です。用途に応じたプランを複数用意するほか、最大1,000万円を保証するサイバー保険も付帯していて、万全の体制でWebサイトへの攻撃を遮断します。

事例1. アールオーアイ

会社名:アールオーアイ業種:IT
事業内容:モニターポータルサイト「ファンくる」の運営・開発

課題:Webサイトへの攻撃頻度確認

モニターポータルサイト「ファンくる」を運営するアールオーアイでは、自社が展開するなかにPHPで管理画面を動作させるWebサービスを持っており、ぜい弱性の問題から攻撃の頻度を把握しておく必要があった。しかし、サービスを停止できなかったため、クラウド型WAFの導入を検討していた。

効果:軽快な動作で安全性を確保

運用をはじめてからは攻撃頻度の確認ができたのはもちろん、軽快な動作のためサーバに負荷をかけない安定性を保ちながら、高い安全性を確保できていることを確認した。また、月次のレポートがそのまま社内で使用できる、正確なものであったことも採用の理由ということだ。

事例2. イオシス

会社名:イオシス業種:卸売業
事業内容:コンピューターのハードウェア並びにソフトウェアの仲介、制作、販売、保守業務、古物売買並びにその受託業務

課題:クラウド環境でのサーバ構築

従来イントラネットによって社内のみでシステム構築を行っていたイオシスだが、社外や海外を含めたアクセスが必要になってきたため、クラウド環境にシステムを構築することになった。必然的にセキュリティ強化を行うため、WAF導入が検討された。

効果:攻撃の傾向を反映した対策が可能に

イオシスのWebサイトは外部公開されていないため、ほとんど攻撃を受けることがないと考えられていたが、それでもログは検出された。
こういった攻撃の意図や理由を反映し、対策が可能となったことは大きな効果だが、それを助言してくれるサポート体制にも満足している。

事例3. 清水建設

会社名:清水建設業種:建設
事業内容:建設事業、不動産開発事業および建設資機材の販売及びリース、金融等

課題:自社サイトのセキュリティ向上と外部委託しているシステムの安全性確保

日本を代表する大手総合建設会社の清水建設では、自社の情報システム部でサーバーを設計・構築していましたが、管理するすべてのサーバーに対してセキュリティ診断やネットワーク診断をできないものの、全システムに対してセキュリティレベルを統一する必要性を感じていた。特に外部委託しているシステムの安全性の確保が急務だった。

効果:必要なWebサイトのセキュリティレベルの統一に成功

そこで「攻撃遮断くん」を導入したところ、DNSの切り替えや、サーバーのアクセス制御によるWebサイトのセキュリティレベルが統一でき、予算管理工数の削減に成功。所管部署との調整がしやすかったことが、導入の決め手となったようだ。

事例4. ファンコミュニケーションズ

会社名:ファンコミュニケーションズ業種:ASP事業
事業内容:成功報酬型アドネットワークサービス

課題:サイバー攻撃に対する効率的な防御体制の構築

ASP事業社として初の株式上場を果たしたファンコミュニケーションズでは、これまで自社サーバーに対する攻撃に対して手動でIPアドレスをブロックしていたところ、攻撃の種類や頻度が増してきたため、より効率的にサーバーを守るための方法を模索していた。

効果:サイバー攻撃の「見える化」を実現

「攻撃遮断くん」を導入したところ、サイバー攻撃が「見える化」され、エンジニア以外の人にも攻撃の状況がレポートで説明できるようになった。どれぐらいの攻撃が遮断できているかが視覚的にわかるほか、ブロックするための具体策についてもアドバイスもらえる点なども評価しているようだ。

攻撃遮断くんとは?使い方・仕組み・評判・価格・導入事例 | 注目クラウドWAFの機能
サイバーセキュリティクラウドが提供する「攻撃遮断くん」は、国内12,000企業以上に導入され、継続率約99%と高い...
詳細を見る

導入事例:Symantecクラウド型WAF

Symantecクラウド型WAFは、その名のとおり、クラウド上のWAFセンターを経由してWAF機能を提供する、クラウド型(SaaS/ASP)WAFです。

Webアプリケーションやソフトウェアにぜい弱性がある場合でも、高いセキュリティ効果を発揮するだけでなく、SSL証明書による接続の安全性も確保しています。Symantecクラウド型WAFを導入することにより、低コストでWebサイトのセキュリティを強化可能です。

事例1. はとバス

会社名:はとバス業種:運送業
事業内容:一般乗合旅客自動車運送事業、一般貸切旅客自動車運送事業

課題:Webサイト閉鎖危機

東京名所観光をはじめ、さまざまなバス旅行の企画・販売を行うはとバスでは、Webサイトからの予約申し込みが30%を超えて年々その重要性を増してきており、24時間365日稼働停止せずに運営を続けてきた。

しかし、FWでは防げないSQLインジェクション攻撃を受け、Webサイトが改ざんされてしまい、サイト閉鎖の危機に陥った。

効果:攻撃の遮断が功を奏し、攻撃自体が激減

Symantecクラウド型WAFの存在を知った同社では、急遽導入作業に入り、7日間でWebサイトを復旧。直後は1日400件以上あったブロックログも、WAFの遮断効果で日に日に減り始め、3か月経過した頃には攻撃自体の数が0.1%以下まで激減した。

事例2. エムティーアイ

会社名:エムティーアイ業種:IT
事業内容:コンテンツ配信事業

課題:スマートフォン向けのレイヤー7対応セキュリティ対策

総合音楽配信サイト「music.jp」などを運営するエムティーアイは、スマートフォンに向けたモバイルコンテンツ配信に乗り出した。

しかし、セキュリティ対策で導入済のIPSでは、レイヤー3までしかカバーせず、モバイル環境で必須となる、Webアプリケーションを保護するレイヤー7対応のセキュリティ対策が急務となった。

効果:危険性の高いセキュリティホールにも高い安全性

レイヤー7をカバーするSymantecクラウド型WAFを導入してから1年、Webサーバに大きなぜい弱性を持つセキュリティホールが発見されたこともあったが、修正が完了するまでサービスを止めることなく安心して運用できる、高い安全性が確保された。

導入事例:Scutum

Scutumは、Scutumセンター経由でサービスを提供する、クラウド型WAFです。

レイヤー7をカバーする保護機能はもちろんのこと、不正アクセス検出をモニタリングして記録するログ機能、最新のセキュリティパッチを適用するシグネチャ更新機能、特定のIPからのアクセスを制限するIPアドレス拒否/許可機能など、低コストでいながら充実したセキュリティ環境を提供します。

また、さらなるセキュリティ強化を実現するオプションも用意されています。

事例1. スカパーJSAT

会社名:スカパーJSAT業種:情報・通信業
事業内容:スカパー!を展開するメディア事業、17機の通信衛星を保有する宇宙・衛生事業

課題:社内全部署でのセキュリティレベル向上

内部統制・情報セキュリティチームを持っていたスカパーJSATだが、約50部署ある全社でみると、すべてが同レベルでのセキュリティレベルを持っているわけではなかった。すべての部署で同水準のセキュリティを確保したうえでレベルアップが必要ということから、2015年のWebセキュリティガイドラインを機に、Scutumを導入・運用開始した。

効果:気付かないうちに攻撃されていたことが明確に

WAF導入以来、定期的にログをチェック、その数や頻度をグラフにして判明したことは、現場でも気づかないうちに数多くの攻撃を受けていた可能性が高いということだった。そのログチェックも国内開発されたScutumらしく、日本語で読み取れるため汎用性を高く評価している。

事例2. タワーレコード

会社名:タワーレコード業種:小売業
事業内容:音楽ソフト、映像ソフト、書籍、雑誌、その他雑貨などの輸入・卸・販売

課題:クラウド環境でのフロントサーバ構築

タワーレコードでは、年々増加するタワーレコードオンライン利用に対応するため、従来オンプレミスで運用していたWeb用フロントサーバをクラウドへ移行することを決断、親会社であるNTTドコモのセキュリティガイドラインにしたがって、WAFの同時導入が必須の状況となった。

効果:攻撃の可視化で予算確保

ある程度予想されたことではあったが、WAF導入後のログ解析によって、キャンペーンやセール時には大量の攻撃の痕跡が発見された。現場ではセキュリティの重要性については意見の一致を見ていたが、継続した予算確保のため、経営陣を納得させるには、このログ解析が有効になっている。

導入事例:Barracuda Web Application Firewall

Barracuda Web Application Firewallは、2007年のリリースからWebアプリケーションを保護する、レベル7カバー、DDos攻撃に威力を発揮する、オンプレミス型WAFです。

ハードウェアベースながら、ブラックリスト型を採用することによって、ネットワーク接続〜電源投入で運用開始できるという柔軟性を持っています。管理画面が日本語に対応したユーザーインターフェースも使いやすく、処理能力に応じて複数のモデルが用意されるほか、仮想オンプレミスとしての使用も可能です。

事例1. ディレクターズ

会社名:ディレクターズ業種:IT
事業内容:ホスティング事業、SSL取得事業

課題:顧客のコーポレートサイト改ざん対策

ホスティング事業を展開しているディレクターズに、自社のコーポレートサイトが改ざんされたため対策してほしいという依頼があった。
調査してみるとWebアプリケーションのぜい弱性を悪用したものと断定され、WAFの導入が進められることになった。

効果:仮想オンプレミスの優位性

改ざんされたサイトの復旧と再発防止のためには、導入が迅速に行えること、設定が容易なこと、価格と機能のバランスが必要だったが、仮想オンプレミスで発注後すぐに運用できる迅速性が優先され、Barracuda WAFの採用が決定、すべての点でバランスが取れた解決策だと評価されている。

事例2. 有明工業高等専門学校

会社名:有明工業高等専門学校業種:学校法人
事業内容:教育

課題:研究所などに設置するサーバーのセキュリティ構築が各担当者に依存

本科5年間と専攻科2年間の合計7年間、工学分野の専門教育を行っている有明工業高等専門学校では、各研究所に設置するサーバーをそれぞれの担当者が構築しており、セキュリティに関しても担当者に依存している体制だった。組織として受け身の状態だったため、高いレベルでセキュリティを統一するための方法を模索していた。

効果:行内全体のサーバー状況を把握できるようになった

Barracuda WAFの導入により、行内にあるサーバー全体の様子が把握できるようになり、全体のセキュリティを高いレベルで統一できた。当初、物理アプライアンス版を導入することが困難だったが、Barracuda WAFには仮想アプライアンス版があり、コスト的にリーズナブルだったことも導入の決め手だったようだ。


本記事で紹介したサービスを含むおすすめWAFの資料はこちらから無料でダウンロードできます。各サービスの詳細を詳しく比較したい方はこちらからダウンロードしてみてください。

\ おすすめサービスをまとめて比較! /

おすすめクラウドWAFを一覧で比較したい、比較表で閲覧したい方は次の記事をご覧ください。

クラウドWAFおすすめ比較19選!価格&機能比較表あり
Webサイトを外部攻撃から守るセキュリティ対策ツール「WAF」を徹底解説。 ツールの料金や機能を比較しおすすめのサ...
詳細を見る

セキュリティ系サービスは導入前に情報収集を!

情報のデジタル化とグローバル化が進み、ネットワークの重要度が高まる中、サイバー攻撃もますます増加すると予想されます。

このような状況の中、従来のファイアウォールでは防ぎきれなかった攻撃からWebサイトを保護し、情報漏えいを防ぐWAFは、現在もっとも有効なセキュリティ対策であるともいえます。また、紹介してきたように、現在ではクラウド型の優秀なWAFも多く登場しており、導入へのハードルも低くなっています。

クラウドWAFはサービスによって料金やセキュリティの強さ、サポート体制に違いがあり、ボクシルに寄せられる評判・口コミを調べると、システム導入する前に情報収集を徹底しておけばよかったという意見は少なくありません。

システム導入時に情報収集を念入りに行った企業では導入後の満足度が高く、反対に情報収集に時間をかけなかった企業ではシステム入れ替えを検討する場合もあります。

そのため、システム導入で失敗しないためには、各サービスの情報収集を念入りに行い、料金や機能、セキュリティの強さを比較することが重要です。

ぜひ、クラウドWAFの導入を検討する際は、ボクシルの無料でダウンロードできる資料を参考に情報収集し、気になるサービスを比較してください。

\ 失敗しないシステム導入のために! /

関連記事

WAFの導入事例!サイバー攻撃を無害化するWAF活用術
Webアプリケーションのぜい弱性を狙った悪質なサイバー攻撃が後を絶たない中、効果的な対策としてWAFが注目されてい...
詳細を見る
ランサムウェアとは?有効な対策と感染経路・対処法【保存版】
ランサムウェアとは、PCやスマホ・タブレットに感染し、ロックをかけて利用不可にした後、もとに戻すことを条件に金銭な...
詳細を見る
DDos攻撃とは?対策方法・Dos攻撃との違い【図解】
DDos攻撃とは複数のコンピューターから大量の処理要求を標的のサーバーに送り、サービスを停止させる攻撃です。企業や...
詳細を見る
サイバーテロ(攻撃)とは?事例と対策、注意すべき企業のリスク
日本企業が晒されているサイバーテロ(サイバー攻撃)のリスクについての基本的な解説と、国内外のサイバーテロの現状や事...
詳細を見る
WAFとは?仕組みとファイアウォール・IPS/IDSとの違い、種類
WAFとは、ウィルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防ぐセキュリティの一種です。WAFの仕...
詳細を見る
クラウドWAFおすすめ比較19選!価格&機能比較表あり
Webサイトを外部攻撃から守るセキュリティ対策ツール「WAF」を徹底解説。 ツールの料金や機能を比較しおすすめのサ...
詳細を見る
【比較表あり】WAF製品の比較19選!選び方や種類も解説
近年急速に需要が高まり、セキュリティ対策の主幹を担うようになった「WAF」。厳選された製品を比較するとともに、選び...
詳細を見る

BOXILとは

BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員(無料)になると次の特典が受け取れます。

  • BOXIL Magazineの会員限定記事が読み放題!
  • 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
  • 約800種類のビジネステンプレートが自由に使える!

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。

BOXIL SaaSへ掲載しませんか?

  • リード獲得に強い法人向けSaaS比較・検索サイトNo.1
  • リードの従量課金で、安定的に新規顧客との接点を提供
  • 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査

WAF選び方ガイド_20240304.pptx.pdf
WAF
選び方ガイド
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
貴社のサービスを
BOXIL SaaSに掲載しませんか?
累計掲載実績1,200社超
BOXIL会員数200,000人超
※ 2024年3月時点
編集部のおすすめ記事
WAFの最近更新された記事