WAFとは
WAF(Web Application Firewall)とは、ウイルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防御するセキュリティの一種です。セキュリティの中でもWAFは、Webサイトの運営側と利用者側の間でウィルスや不正アクセスを防ぐ特徴があります。
WAFは文字どおり、Webアプリケーションにおいて活躍するセキュリティです。Webアプリケーションといってもスマートフォンのアプリを指すのではなく、いわゆるWebサイトのことをいいます。Webサイトとユーザー間のぜい弱性につけこんで行われる不正なアクセスを、WAFは防ぎます。
WAFを導入する必要性
Webサイトは誰でもアクセスできるため、サイバー攻撃も受けやすいのが特徴です。なかでもWebアプリケーションのぜい弱性をついた被害は全体から見ても届出件数が多く、その一方でサイバー攻撃の手法は増加・多様化し続けているのが現状です。
また一般的なセキュリティ製品では、種類の多いWebサイトのサイバー攻撃のすべてに対応するのは難しいでしょう。そのため、これらの幅広い攻撃にも対応できるWAFの必要性が高まっています。
\ 各サービスの詳しい資料はこちら /
3つの提供形式・種類
WAF製品が提供される形態にはさまざまな種類があります。次の代表的な3つのタイプを紹介します。
- アプライアンス型
- ソフトウェア型
- クラウド型
自社に合うタイプはどれか、違いを確認しながら最適なタイプを選んでください。
アプライアンス型
アプライアンス型は、ネットワーク上に設置するタイプのWAFです。
アプライアンスとは専用のハードウェアのこと。サーバーの動作環境や台数に関わらず環境構築できる点がメリットです。大規模であれば、より高いコストパフォーマンスを得られます。
導入には機器の購入と初期設定が必要です。そのため他のタイプに比べてコストが高く、自社での運用が必須なのがデメリットです。専任の人員とセキュリティ対策に十分な予算を確保できる企業向けのWAFといえるでしょう。
ソフトウェア型
ソフトウェア型はWebサーバーにインストールするタイプのWAFです。専用機器の購入が不要で、アプライアンス型に比べるとコストを抑えられる点がメリットです。
またネットワーク構成の見直しが不要で、導入期間を短縮できます。
ただし、Webサーバーごとの導入となるため、稼動数が多い場合には不向きな点がデメリットです。運用も自社で行う必要があります。
クラウド型
クラウド型は月額または年額契約で導入可能なタイプのWAFです。
機器の購入は不要で、DNSの設定変更のみで導入できます。自社での運用も必要ないのが大きなメリットです。プランの切り替えによりトラフィック数の増減も調整できることから、将来の拡張性を担保したい場合にもおすすめです。
低コスト・短納期で導入でき、運用コストの軽減も図れることから、他のタイプからクラウド型へ切り替える企業も増えています。
ただし利用するサービスによって、他のタイプよりも性能やカスタマイズ性に劣るものもあるのがデメリットです。メリットを享受するためには、十分な事前検討が欠かせません。またクラウド型にもいくつか種類があるため、それぞれの特徴を理解したうえで比較を行うことが大切です。
共有型と占有型
共有型とは、ほかのWebサイトとリソースを共有するタイプのことで、占有型はサイトごとに専用のWAFが持てるタイプのことです。トラフィック数が少なく、安く済ませたいのであれば共有型、アクセス数が多く高速処理が必要な場合や、カスタマイズ性を高めたい場合は占有型がおすすめです。
パブリッククラウドのWAF
パブリッククラウドとは、企業が構築したクラウド環境をほかのユーザーと共同で利用できるサービスのことです。パブリッククラウドが提供するWAFとしてはAWSの「AWS WAF」、Azureの「Azure WAF」などが挙げられます。
すでにパブリッククラウドを利用していれば、パブリッククラウドが提供するWAFを比較的安い価格で利用できます。ただしWAFの環境構築が必要であるため、手間や時間、対応できる人材などは必要になるでしょう。
WAFの比較表
クラウドWAFの機能と料金の比較表を掲載しています。
【特典比較表つき】『WAFの資料5選』 はこちら⇒ 無料ダウンロード
一覧で料金・機能を比較したい方にはBOXILが作成した比較表がおすすめです。各社サービスを一覧で比較したい方は、下のリンクよりダウンロードしてください。
【特典比較表つき】『WAFの資料5選』 はこちら⇒ 無料ダウンロード
※資料数は、BOXILでの掲載状況によって増減する場合があります。
WAF製品の選び方
WAF製品を選ぶ際は、次の流れで確認しましょう。
- WAF製品の導入目的を確認する
- WAF製品の機能を確認する
- WAF製品を導入する際の注意点を確認する
- WAF製品の料金・価格相場を確認する
WAF製品の導入目的を確認する
WAF製品の導入を検討する際は、まず導入目的を明確にしましょう。主な導入目的は次のとおりです。
| 導入目的 | 詳細 |
|---|---|
| 自社のネットワーク構成を変えず手軽に導入したい | クラウド型のWAF製品がおすすめ |
| 高速性と安定性を重視したい | 自社専用で使えるアプライアンス型のWAF製品がおすすめ |
| 自社運用で小さい規模や特定のサイトに使用したい | ソフトウェアインストール型のWAF製品がおすすめ |
WAF製品の機能を確認する
WAF製品でできること、利用できる機能は次のとおりです。上記の導入目的・課題をどのように解決できるか記載しているため、必要な機能を洗い出しましょう。
【基本的な機能】
| 機能 | 詳細 |
|---|---|
| 通信監視・制御 | 常時通信を監視し、通信を通すかブロックするかを判断する機能 |
| シグネチャ自動更新 | シグネチャを自動的に更新する機能 |
| 改ざん検知 | Webサイトが改ざんされている場合に知らせる機能 |
| Cookie保護 | 攻撃者のなりすましを防ぐ機能 |
| 特定URL除外・IPアドレス拒否 | 特定のURLを除外したりIPアドレスを拒否したりできる機能 |
| ログ・レポート | 攻撃の過去のログやレポートを確認できる機能 |
【特定の課題・用途・業界に特化した機能】
| 機能 | 詳細 |
|---|---|
| ダッシュボード | セキュリティ運用のステータスを日々確認できる機能 |
| 分析 | ログ分析を行う機能 |
| 自動学習 | 通常時のアクセスパターンを自動学習し、乖離した操作があれば検知する機能 |
状況確認を効率よく行いたい場合にはダッシュボード機能がある製品がおすすめです。サイトに合わせた精度の高い検知を行いたい場合には自動学習機能がある製品がおすすめです。
WAF製品を導入する際の注意点を確認する
WAF製品を導入する際、失敗しないために次の項目も確認しておきましょう。
| 確認事項 | 詳細 |
|---|---|
| 検知方式 | 把握している攻撃パターンを定義し不正アクセスを防止するブラックリスト方式か、許可する通信だけ定義してそれ以外はすべて拒否するホワイト方式か、自社に向いているものを選びましょう。 |
| 拡張性 | 将来、サイトの規模が大きくなった場合にも使えるよう、拡張性のある製品かどうかも確認しておく必要があります。 |
| 導入実績 | 導入企業数やどのような企業が導入しているかなどを確認しておきましょう。ノウハウやナレッジが豊富な製品を選ぶと安心です。 |
| スペック | WAFによる通信の可否に時間がかかるとユーザー満足度にも影響するため余裕のあるスペックを選びましょう。 |
| 対応する攻撃 | 主な攻撃手法に対応している製品を選びましょう。 |
| セキュリティレベル | 何をどの程度防御したいのか自社の求めるセキュリティレベルを明確にしておきましょう。 |
| サポート体制 | 導入時やトラブル時にどのようなサポートをしてもらえるのかを事前に確認しておきましょう。 |
WAF製品の料金・価格相場を確認する
WAF製品の料金は、WAF製品のタイプによって異なります。必要な機能と要件が搭載されているサービスの料金を確認しましょう。
クラウド型の場合、月額固定制と月額従量課金制があり、月額固定制の場合は月10,000円〜45,000円程度と製品によって異なります。初期費用はかからないものもありますが、製品によってかかる場合もあります。
アプライアンス型、ソフトウェアインストール型は製品やライセンス数によって大きく異なります。気になる製品は公式サイトから見積もり依頼や相談の問い合わせをしましょう。
\ 料金や機能を資料で比較する /
WAF製品でセキュリティ対策の強化を
WAFは、幅広いサイバー攻撃に対応しており不正アクセスやウィルスの侵入が防げるため、Webサイトのセキュリティを強化したい方におすすめのサービスです。選定の際は次のポイントに注意して選ぶのをおすすめします。
- 初期費用と運用コスト
- 導入後の拡張性
- サポート体制の充実度
- 導入実績(導入数と企業)
- セキュリティレベルと用途のバランス
- WAFのスペックに余裕を持たせる
- 対応できる攻撃の種類
各サービスの導入実績や特徴、よくある質問がまとまった資料は下記ボタンから無料でダウンロードできます。導入前の下調べにぜひお役立てください。
\ 稟議や社内提案にも使える!/
-1024x341.png)