警察庁の「令和2年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和2年のサイバー犯罪検挙件数は過去最多となっています。こうした背景から、日々Webアプリケーションも個人情報漏洩やデータ改ざんなどの脅威にさらされています。その対策のひとつの手段として、企業間でWAFの導入が進められています。本記事では、WAFの種類や必要性、導入のポイント、注意点を解説します。WAFの導入を検討している方は、ぜひ参考にしてみてください。
WAFとは?仕組み・ファイアウォール・IPS・IDSとの違い
WAFとは「Web Application Firewall」の略で、Webアプリケーションを守るセキュリティの一種のことです。WAFは、従来のファイアウォールやIPS(侵入防御システム)、IDS(侵入検知システム)では防げない攻撃を防御できます。脆弱性を悪用したサイト改ざん、不正侵入、情報漏洩といったサイバー攻撃を検出してブロックします。また不正通信を遮断する働きを持っています。それぞれの違いについて簡単にまとめると、以下のとおりです。
| 名称 | 保護のレベル |
| ファイアウォール | ネットワークレベルの保護 |
| IPS/IDS | ミドルウェア(サーバーやOS)レベルの保護 |
| WAF | Webアプリケーションレベルの保護 |
WAF、ファイアウォール、IPSやIDSは、いずれも不正アクセスから守る働きを持っていますが、それぞれに守備範囲や得意分野があります。これらを組み合わせることで、網羅的で強固なセキュリティシステムを構築できます。
WAFの種類
WAFには大きく3つの種類があります。
クラウド型
クラウド型のWAFは、ネットワークの設定変更を行えば、簡単かつスピーディーに導入できるタイプです。サーバーの構築や専用機器の購入などは必要ありません。またメンテナンスや更新の手間がかからず、予算の見通しを立てやすいのが特長です。
アプライアンス型
アプライアンス型のWAFは、専用の機器(アプライアンス)を内部ネットワーク上に設置するタイプです。多くの場合、インターネットからWebサーバーまでの通信経路に割り込むように組み込みます。自社に合った柔軟なカスタマイズが可能ですが、初期費用や運用コストがかかります。
ホスト型
ホスト型のWAFは、ソフトウェアをサーバーにインストールするタイプです。既存のサーバーにインストールするだけなので簡単に利用できます。また専用機器の設置も必要ありません。ただしサーバーの数だけインストールが必要なため、サーバー数が多いと運用コストが膨らみます。
WAFを導入する3つのメリット
WAFを導入すると、以下のメリットがあります。
メリット1.サイバー攻撃への対策ができる
WAFを導入することで、多岐にわたるサイバー攻撃の対策が可能となります。WAFで防げるサイバー攻撃例は、以下のとおりです。
- DDoS攻撃
- バッファオーバーフロー
- SQLインジェクション
- OSコマンドインジェクション
- ディレクトリトラバーサル
- クロスサイトスクリプティング
- ブルートフォースアタック など
これらの攻撃は、ファイアウォールやIPS/IDSでは防げない攻撃も含まれます。つまり従来のセキュリティ対策だけでは不十分の可能性があることを示しています。そのため事前対策としてWAFを導入することで、万が一のリスクを低減できます。
メリット2.サイバー攻撃の被害を受けても復旧がしやすい
サイバー攻撃を受けてしまった場合、被害を拡大しないために、早急に対処しなくてはなりません。原因が解消されるまではサービスを停止する必要がありますが、サービスの停止は機会損失に直結する問題です。WAFはサイバー攻撃の被害を最小限に抑え、応急処置として利用できます。結果的に復旧につながりやすくなります。
メリット3.被害を受けたときの原因究明がしやすい
WAFは事前対策だけでなく、事後対策としても活用できます。WAFでは攻撃を受けると、迅速に検出・ブロックし、運営者にレポートを送信します。そのレポート内容から、部分的な遮断やサーバーの停止、パッチ修正など、適した対策を講じることが可能です。問題の原因究明までが早く、解決までの時間を短縮できます。
セキュリティソフトは「ウィルス対策ソフト」「アンチウィルスソフト」などとも呼ばれ、PCやスマートフォンなどのデジタル機器をウィルスやハッキングの脅威から守り、安全性を高めるソフトウェアのことです。インターネットデバイスが増加し、サイバー攻撃[…]
WAF導入時の3つの注意点
WAFを導入する際には、以下の点に注意が必要です。
注意点1.WAF以外のセキュリティ対策も必要
前述のとおり、セキュリティシステムにはさまざまな種類があり、守る対象が異なります。そのためWAFのみを導入すれば、セキュリティ対策が万全になるわけではありません。複数のシステムを組み合わせることで、総合的なセキュリティ体制を構築できます。
注意点2.導入・運用コストがかかる
WAFのタイプによっては、高額な初期費用だけでなく、ベンダーによるチューニングコストなど、導入・運用コストが発生します。大規模な利用となれば、それ相応の費用が必要となります。予算と相談しながら、自社に適した種類のWAFの導入を検討してください。
注意点3.処理速度に影響が出ることもある
WAFの種類やスペックによっては、サーバーに大きな負荷がかかる場合があります。仮にスペックが十分であったとしても、一度に多くのアクセスが集中すれば、サーバーがダウンする可能性もあります。
おすすめのWAFサービス
Barracuda WAF
Barracuda(バラクーダ)はWAFの国内販売台数シェアNo.1(※)のサービスです。Barracuda WAFは、ブラックリスト型を採用しています。このため、最新の攻撃にも素早く対応ができます。また管理画面のインターフェースに力を入れているのがBarracuda WAFの特徴で、管理画面も日本語化されています。
ポイント
- 国内販売シェアNO.1のWAFサービス
- 日本人にも使いやすいインターフェースが特徴
- 最低1,280,000円から提供
※冨士キメラ総研
バラクーダネットワークスジャパン株式会社 Barracuda WAFは、Webアプリケーションを様々なサイバー脅威から保護するサービスです。このサービスは、Webアプリケーションのセキュリティをシンプルにし、素早く簡単に導入・設定ができます。特に、ビジネスのWebアプリケーションやAPI、モバイルアプリケーションのバックエンドを保護し、OWASP Top 10やゼロデイ攻撃、データ漏洩から守ります。
BLUE Sphere
BLUE Sphere(ブルースフィア)はクラウド型の総合セキュリティサービスです。WAF/DDoS防御/改ざん検知機能などオールインワン型のサービスとなっています。BLUE Sphereは「多層防御」をサービスコンセプトにしており、WAFはセキュリティ層を追加でき、複数の防御手段を用意できます。
ポイント
- WAF、DNS監視、DDos攻撃、改ざん検知を含むオールインワン型のセキュリティサービス
- 価格は初期費用100,000円、月額45000円から
株式会社アイロバ (irob Ltd.) BLUE Sphereは、総合セキュリティ型クラウドWAFサービスです。このサービスは、Webアプリケーションへのサイバー攻撃を防ぐWAF機能を含み、DDoS防御、改ざん検知など、広範囲の脅威からウェブサイトを守ることができます。特に、ビジネスのWebサイトが日々高まるセキュリティリスクに対応するために設計されています。基本プランでは、全ての脅威に対処可能で、SSL化にも無償で対応しています。BLUE Sphereは、他社よりもリーズナブルな価格で高機能を提供し、登録できるWebサイトは無制限です。 
AWS WAF
AWS WAFは、通販大手Amazonが提供するクラウド型のWAFサービスです。Webの脆弱性を利用した攻撃からWebアプリケーションやAPIを保護してくれます。AWS側によってあらかじめ初期設定されたマネージドルールが提供されているため、特別なセキュリティシステムがすばやく利用できます。その一方で、カスタムでもセキュリティルールを作成でき、トラフィックをフィルタリングすることで、攻撃がアプリケーションレベルにまで到達するのを防ぎます。ただし対象サーバーは、AWS上のサーバーに限られます。
ポイント
- 標準提供のルール、カスタムルール、APIなどによって幅広い脅威から保護
- マネージドルールを利用できるため、環境構築の負荷が小さい
- 従量課金制で初期投資(ハードウェア・ソフトウェア・インフラなど)が不要
MSS for Imperva Incapsula
MSS for Imperva Incapsulaは、SBテクノロジー株式会社が販売管理するマネージドセキュリティサービス(MSS)です。24時間365日、顧客のクラウドWAF環境を監視します。アラートを検知すると、セキュリティ専門アナリストが内容を分析し、顧客に通知してくれます。また注意喚起などのレポーティングの提供、チューニング作業の代行なども行っています。
ポイント
- 24時間365日体制で顧客のセキュリティシステムを監視
- 専門アナリストがチューニングや設定変更を代行し、システムの最適化を図る
- 料金はクラウドWAFライセンスに応じて変動(要問い合わせ)
SBテクノロジー株式会社(エスビーテクノロジー) MSS for Imperva Incapsulaは、SBテクノロジー(SBT)が提供するマネージドセキュリティサービス(MSS)です。このサービスは、セキュリティ監視センター(SOC)から、お客様のImperva App Protectを24時間365日体制でセキュリティアナリストが監視します。Microsoft AzureなどのクラウドWAF環境も監視し、新種のサイバー攻撃から保護します。これにより、クラウドサービスや自社の公開システムを最適に運用することができます。 
AIONCLOUD
AIONCLOUDは、全世界3,500社に選ばれるクラウド型セキュリティサービスです。AIONCLOUDでは、悪性コードを探知するWMS(Website Malware Scanner)とセキュリティ対策WAFが提供されています。直感的なUIと簡単なポリシー設定によって、専門知識がなくても、簡単に導入・設定が完了します。要望に応じてカスタマイズも可能です。また自動で最新バージョンに更新してくれます。
ポイント
- 構築費用がかからず、コスト節減が可能
- 1日で簡単に導入できる
- 無料トライアル(月5GBまで)から従量課金制のサービスまで
イージス
イージスは株式会社ROCKETWORKSが運営するWAFサービスです。イージスはクラウド型の監視サービスであるため導入が容易である点と運用にもリソースを割かれない点がメリットと言えるでしょう。外部からの攻撃情報は、攻撃時の防御証明メール、及び月次レポートで確認ができます。
ポイント
- クラウド型の監視サービスのため、電話とメールで設置が完了する
- クラウド型サーバーにも導入可能
- 料金は月額50,000円から複数プランあり
secuWAF
secuWAFは株式会社セキュアイノベーションが運営するクラウド型のWAFセキュリティサービスです。secuWAFは、セキュリティリスクの最小化とWebサイトのパフォーマンスを向上させるためのCloud WAFと、マルウェア対策のMALWARE CHECKERの機能を提供します。
ポイント
- サービス利用中は最新のセキュリティ機能に自動的にアップデートされる
- サイトのトラフィックによるカウントになるためプラン内で複数サイトの運用も可能
- 価格はミニマム月額11,000円から。無料トライアルもあり
cloudbric
cloudbricはWAFをはじめ、DDos、VPSなど情報セキュリティで必要とされているソリューションを提供している総合型のセキュリティサービスです。Cloudbric WAF+(クラウドブリック・ワフ・プラス)は、論理演算検知検知エンジンとWebトラフィック特性学習AIエンジンを搭載した最上位レベルのWeb攻撃遮断機能を誇っています。
ポイント
- WAFサービス、DDoS攻撃対策サービス、SSL証明書サービス、脅威IP遮断サービス、悪性遮断サービスが入ったオールインワン型のWAFサービス
- セキュリティ・エキスパートに運用してもらうマネージドプランもあり
- 月額28,000円から利用が可能
クラウドブリック株式会社 (英文社名:Cloudbric Corp.) Cloudbricは、企業のセキュリティ課題に応えるクラウド型セキュリティサービスです。このサービスは、情報セキュリティで必要とされているすべてのソリューションを、統合されたひとつのプラットフォームで提供します。企業は、Cloudbricのソリューションを選択・導入することで、セキュアなビジネス環境を実現できます。Cloudbricは、114カ国のユーザーに最適なセキュリティサービスを提供しており、18カ国28カ所のサービスリージョンと70以上のEdge Locationを活用しています。 
WebサイトやWebアプリケーションの運営にはWAFが必須
WebサイトやWebアプリケーションを運営する企業にとって、WAFは不可欠なものとなっています。WAFの導入なくしては、これらの安全は守れないといっても過言ではありません。導入する際に重要なのは、情報収集を徹底し、後悔のない選定を行うことです。またWAFだけに頼りきらず、他のセキュリティ対策も同様に行いましょう。自社に最適なWAFを導入することで、日々拡大する脅威に対して適切な対処が可能となります。
今や企業や組織にとってセキュリティ対策は重要な経営課題のひとつです。とはいえ網羅的な対策となると、コスト面・運用面で負担が大きいものでしょう。そこで解決策として用いられるのがUTMツールです。UTMツールにはファイアウォールやWebフィルタ[…]
