警察庁の「令和2年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和2年のサイバー犯罪検挙件数は過去最多となっています。こうした背景から、日々Webアプリケーションも個人情報漏洩やデータ改ざんなどの脅威にさらされています。その対策のひとつの手段として、企業間でWAFの導入が進められています。本記事では、WAFの種類や必要性、導入のポイント、注意点を解説します。WAFの導入を検討している方は、ぜひ参考にしてみてください。
WAFとは?仕組み・ファイアウォール・IPS・IDSとの違い
WAFとは「Web Application Firewall」の略で、Webアプリケーションを守るセキュリティの一種のことです。WAFは、従来のファイアウォールやIPS(侵入防御システム)、IDS(侵入検知システム)では防げない攻撃を防御できます。脆弱性を悪用したサイト改ざん、不正侵入、情報漏洩といったサイバー攻撃を検出してブロックします。また不正通信を遮断する働きを持っています。それぞれの違いについて簡単にまとめると、以下のとおりです。
| 名称 | 保護のレベル |
| ファイアウォール | ネットワークレベルの保護 |
| IPS/IDS | ミドルウェア(サーバーやOS)レベルの保護 |
| WAF | Webアプリケーションレベルの保護 |
WAF、ファイアウォール、IPSやIDSは、いずれも不正アクセスから守る働きを持っていますが、それぞれに守備範囲や得意分野があります。これらを組み合わせることで、網羅的で強固なセキュリティシステムを構築できます。
WAFの種類
WAFには大きく3つの種類があります。
クラウド型
クラウド型のWAFは、ネットワークの設定変更を行えば、簡単かつスピーディーに導入できるタイプです。サーバーの構築や専用機器の購入などは必要ありません。またメンテナンスや更新の手間がかからず、予算の見通しを立てやすいのが特長です。
アプライアンス型
アプライアンス型のWAFは、専用の機器(アプライアンス)を内部ネットワーク上に設置するタイプです。多くの場合、インターネットからWebサーバーまでの通信経路に割り込むように組み込みます。自社に合った柔軟なカスタマイズが可能ですが、初期費用や運用コストがかかります。
ホスト型
ホスト型のWAFは、ソフトウェアをサーバーにインストールするタイプです。既存のサーバーにインストールするだけなので簡単に利用できます。また専用機器の設置も必要ありません。ただしサーバーの数だけインストールが必要なため、サーバー数が多いと運用コストが膨らみます。
WAFを導入する3つのメリット
WAFを導入すると、以下のメリットがあります。
メリット1.サイバー攻撃への対策ができる
WAFを導入することで、多岐にわたるサイバー攻撃の対策が可能となります。WAFで防げるサイバー攻撃例は、以下のとおりです。
- DDoS攻撃
- バッファオーバーフロー
- SQLインジェクション
- OSコマンドインジェクション
- ディレクトリトラバーサル
- クロスサイトスクリプティング
- ブルートフォースアタック など
これらの攻撃は、ファイアウォールやIPS/IDSでは防げない攻撃も含まれます。つまり従来のセキュリティ対策だけでは不十分の可能性があることを示しています。そのため事前対策としてWAFを導入することで、万が一のリスクを低減できます。
メリット2.サイバー攻撃の被害を受けても復旧がしやすい
サイバー攻撃を受けてしまった場合、被害を拡大しないために、早急に対処しなくてはなりません。原因が解消されるまではサービスを停止する必要がありますが、サービスの停止は機会損失に直結する問題です。WAFはサイバー攻撃の被害を最小限に抑え、応急処置として利用できます。結果的に復旧につながりやすくなります。
メリット3.被害を受けたときの原因究明がしやすい
WAFは事前対策だけでなく、事後対策としても活用できます。WAFでは攻撃を受けると、迅速に検出・ブロックし、運営者にレポートを送信します。そのレポート内容から、部分的な遮断やサーバーの停止、パッチ修正など、適した対策を講じることが可能です。問題の原因究明までが早く、解決までの時間を短縮できます。
セキュリティソフトは「ウィルス対策ソフト」「アンチウィルスソフト」などとも呼ばれ、PCやスマートフォンなどのデジタル機器をウィルスやハッキングの脅威から守り、安全性を高めるソフトウェアのことです。インターネットデバイスが増加し、サイバー攻撃[…]
WAF導入時の3つの注意点
WAFを導入する際には、以下の点に注意が必要です。
注意点1.WAF以外のセキュリティ対策も必要
前述のとおり、セキュリティシステムにはさまざまな種類があり、守る対象が異なります。そのためWAFのみを導入すれば、セキュリティ対策が万全になるわけではありません。複数のシステムを組み合わせることで、総合的なセキュリティ体制を構築できます。
注意点2.導入・運用コストがかかる
WAFのタイプによっては、高額な初期費用だけでなく、ベンダーによるチューニングコストなど、導入・運用コストが発生します。大規模な利用となれば、それ相応の費用が必要となります。予算と相談しながら、自社に適した種類のWAFの導入を検討してください。
注意点3.処理速度に影響が出ることもある
WAFの種類やスペックによっては、サーバーに大きな負荷がかかる場合があります。仮にスペックが十分であったとしても、一度に多くのアクセスが集中すれば、サーバーがダウンする可能性もあります。
おすすめのWAFサービス
Barracuda WAF
Barracuda(バラクーダ)はWAFの国内販売台数シェアNo.1(※)のサービスです。Barracuda WAFは、ブラックリスト型を採用しています。このため、最新の攻撃にも素早く対応ができます。また管理画面のインターフェースに力を入れているのがBarracuda WAFの特徴で、管理画面も日本語化されています。
ポイント
- 国内販売シェアNO.1のWAFサービス
- 日本人にも使いやすいインターフェースが特徴
- 最低1,280,000円から提供
※冨士キメラ総研
BLUE Sphere
BLUE Sphere(ブルースフィア)はクラウド型の総合セキュリティサービスです。WAF/DDoS防御/改ざん検知機能などオールインワン型のサービスとなっています。BLUE Sphereは「多層防御」をサービスコンセプトにしており、WAFはセキュリティ層を追加でき、複数の防御手段を用意できます。
ポイント
- WAF、DNS監視、DDos攻撃、改ざん検知を含むオールインワン型のセキュリティサービス
- 価格は初期費用100,000円、月額45000円から
AWS WAF
AWS WAFは、通販大手Amazonが提供するクラウド型のWAFサービスです。Webの脆弱性を利用した攻撃からWebアプリケーションやAPIを保護してくれます。AWS側によってあらかじめ初期設定されたマネージドルールが提供されているため、特別なセキュリティシステムがすばやく利用できます。その一方で、カスタムでもセキュリティルールを作成でき、トラフィックをフィルタリングすることで、攻撃がアプリケーションレベルにまで到達するのを防ぎます。ただし対象サーバーは、AWS上のサーバーに限られます。
ポイント
- 標準提供のルール、カスタムルール、APIなどによって幅広い脅威から保護
- マネージドルールを利用できるため、環境構築の負荷が小さい
- 従量課金制で初期投資(ハードウェア・ソフトウェア・インフラなど)が不要
MSS for Imperva Incapsula
MSS for Imperva Incapsulaは、SBテクノロジー株式会社が販売管理するマネージドセキュリティサービス(MSS)です。24時間365日、顧客のクラウドWAF環境を監視します。アラートを検知すると、セキュリティ専門アナリストが内容を分析し、顧客に通知してくれます。また注意喚起などのレポーティングの提供、チューニング作業の代行なども行っています。
ポイント
- 24時間365日体制で顧客のセキュリティシステムを監視
- 専門アナリストがチューニングや設定変更を代行し、システムの最適化を図る
- 料金はクラウドWAFライセンスに応じて変動(要問い合わせ)
AIONCLOUD
AIONCLOUDは、全世界3,500社に選ばれるクラウド型セキュリティサービスです。AIONCLOUDでは、悪性コードを探知するWMS(Website Malware Scanner)とセキュリティ対策WAFが提供されています。直感的なUIと簡単なポリシー設定によって、専門知識がなくても、簡単に導入・設定が完了します。要望に応じてカスタマイズも可能です。また自動で最新バージョンに更新してくれます。
ポイント
- 構築費用がかからず、コスト節減が可能
- 1日で簡単に導入できる
- 無料トライアル(月5GBまで)から従量課金制のサービスまで
イージス
イージスは株式会社ROCKETWORKSが運営するWAFサービスです。イージスはクラウド型の監視サービスであるため導入が容易である点と運用にもリソースを割かれない点がメリットと言えるでしょう。外部からの攻撃情報は、攻撃時の防御証明メール、及び月次レポートで確認ができます。
ポイント
- クラウド型の監視サービスのため、電話とメールで設置が完了する
- クラウド型サーバーにも導入可能
- 料金は月額50,000円から複数プランあり
secuWAF
secuWAFは株式会社セキュアイノベーションが運営するクラウド型のWAFセキュリティサービスです。secuWAFは、セキュリティリスクの最小化とWebサイトのパフォーマンスを向上させるためのCloud WAFと、マルウェア対策のMALWARE CHECKERの機能を提供します。
ポイント
- サービス利用中は最新のセキュリティ機能に自動的にアップデートされる
- サイトのトラフィックによるカウントになるためプラン内で複数サイトの運用も可能
- 価格はミニマム月額11,000円から。無料トライアルもあり
cloudbric
cloudbricはWAFをはじめ、DDos、VPSなど情報セキュリティで必要とされているソリューションを提供している総合型のセキュリティサービスです。Cloudbric WAF+(クラウドブリック・ワフ・プラス)は、論理演算検知検知エンジンとWebトラフィック特性学習AIエンジンを搭載した最上位レベルのWeb攻撃遮断機能を誇っています。
ポイント
- WAFサービス、DDoS攻撃対策サービス、SSL証明書サービス、脅威IP遮断サービス、悪性遮断サービスが入ったオールインワン型のWAFサービス
- セキュリティ・エキスパートに運用してもらうマネージドプランもあり
- 月額28,000円から利用が可能
WebサイトやWebアプリケーションの運営にはWAFが必須
WebサイトやWebアプリケーションを運営する企業にとって、WAFは不可欠なものとなっています。WAFの導入なくしては、これらの安全は守れないといっても過言ではありません。導入する際に重要なのは、情報収集を徹底し、後悔のない選定を行うことです。またWAFだけに頼りきらず、他のセキュリティ対策も同様に行いましょう。自社に最適なWAFを導入することで、日々拡大する脅威に対して適切な対処が可能となります。
今や企業や組織にとってセキュリティ対策は重要な経営課題のひとつです。とはいえ網羅的な対策となると、コスト面・運用面で負担が大きいものでしょう。そこで解決策として用いられるのがUTMツールです。UTMツールにはファイアウォールやWebフィルタ[…]
