自社にマッチしたWAFの選び方

独立系ITコンサルティング/調査会社の株式会社アイ・ティ・アールが発表した調査結果によれば、2018年の国内WAF運用管理サービス市場は93億6,000万円の売上金額に達し、前年度比18.2％増と急成長しています。
参照：『ITRがWAF運用監視サービス市場規模推移および予測を発表』

この結果から、Webサイトセキュリティにおいて如何にWAFが必要とされているかが読みとれます。実際にWebサイトを取り巻く情報セキュリティ環境は悪化しており、いたる所で深刻なセキュリティ事件が発生しています。

WAFはWebサイトを狙ったさまざまなサイバー攻撃をブロックし、高度なセキュリティシステムを構築するのに欠かせない存在です。クレジットカード情報の保護を目的に定められたセキュリティ基準であるPCI DSSの要件においても、WAF導入に関連する項目があります。

では、いざWAFを導入しようというときに、自社にマッチしたWAFはどう選べばよいのでしょうか？本稿ではそのポイントをご紹介します。

WAFとは？

WAFは「Web Application Firewall」の略称であり、クライアントとWebサイトに介在するファイアウォールのようなもので、ウェブアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護します。ポート番号やIPアドレス、通信方向などによってアクセスを制御する一般的なファイアウォールとは異なり、HTTP/HTTPS通信でやり取りされるデータを監視しながら、シグネチャによるパターンマッチを基本としながら不正通信の有無を確かめます。

なぜWebサイトセキュリティにWAFが必要かというと、IPS/IDSやファイアウォールといったネットワークセキュリティ製品では、アプリケーション層の脆弱性を狙ったサイバー攻撃を防ぎ切れないことが主な理由です。

関連記事：WAFとファイアウォールの違いとは？

関連記事：WAFとIPSの違いとは？

SQLインジェクションやクロスサイトスクリプティングといった危険性の高い攻撃を効果的に防ぐには、ウェブアプリケーションの脆弱性を悪用する攻撃の防御に特化したWAFが必要となります。 

WAFとは

Webアプリケーションファイアウォール（WAF：Web Application Firewall）は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。

WAFの分類

正しいWAF選択をするためには、最初にWAFの分類について知ることが大切です。主な分類としては「ゲートウェイ型」「ホスト型」「クラウド型」の3タイプがあります。

1. ゲートウェイ型

Webサーバーに対して新たなネットワーク機器を用意し、専用ハードウェアとしてWAFを設置するタイプのWAFがゲートウェイ型WAFです。複数台のWebサーバーを運用している場合でも集中的にWebサイトセキュリティを適用することができます。運用環境によっては、下記2つのタイプよりもコストメリットがあり、かつ高いカスタマイズ性を有しているため柔軟な運用が可能です。

ただし、WAF導入時に新たなサーバーやネットワーク機器を設置する必要があるため、初期コストが高くなる傾向があります。

2. ホスト型

自社で運用しているWebサーバー、あるいはクラウド環境に配置されたWebサーバーにソフトウェアをインストールするタイプのWAFがホスト型WAFです。ソフトウェアをインストールするだけで導入でき、新たな機器調達も不要なので初期コストを抑えられるのがポイントです。

ただし、Webサーバー台数が多いほどソフトウェアライセンスを購入しなければいけないので、環境によってはコスト増になります。以前は、Webサーバーに与える負荷やパフォーマンス低下が指摘されることもありましたが、昨今のハードウェアスペックの向上により、その影響は小さくなってきています。

3. クラウド型

WAFをインターネットサービスとして提供する製品を指します。ソフトウェアのインストールやネットワーク機器の設置は不要で、DNSの切替等により契約後すぐに使えるのが利点です。一般的に初期コストは最も抑えられるタイプです。

ただし、WAFの運用のほとんどをサービス仕様の範囲で事業者に任せるため、各企業ごとの個別設定や柔軟な運用ができない場合があります。

WAF選びのポイント

それでは、先に説明したWAFの分類を踏まえながらWAF選びのポイントについてご紹介します。

1. 保護する範囲とWebサイトを特定する

WAFを選ぶにあたり、まずはどの範囲でどのWebサイトを保護したいのかを明確にしましょう。WAFは保護範囲やWebサイトの形態によって、最適な製品や適切な導入形態が異なります。Webサイト運営担当者とセキュリティ担当者が協力し、WAFで保護すべき範囲を特定していきましょう。

2. 導入形態を決定する

前述のように、WAFには3つの導入形態があり、それぞれに一長一短あります。導入形態を決定する際は慎重に行ってください。導入後は簡単に変更するというわけにはいきませんので、自社にとってどの導入形態が最適なのか？を関係者全員で協議しながら決定していきましょう。

3. WAF導入/運用にかかるコストを算出する

当然ながら、製品ごとにかかる導入コストと運用コストは異なります。WAFはセキュリティ製品なので費用対効果が算出しづらいため、コストを予算内に収めることが大切です。WAF導入/運用に関する予算を決定したら、各製品を導入/運用した場合のコストを算出してみましょう。必要に応じてWAFベンダーに見積もりを依頼してください。

4. 導入後の拡張性を考慮する

WAF製品を選定する際は、導入後の拡張性に考慮してください。Webサイト運営は将来にわたって一定ではなく、拡大することもあれば縮小することもあります。その際に、必要に応じてWAFを拡張/収縮できなければ、想定以上のコストが発生する可能性があります。

5. サポート体制の充実度を知る

セキュリティ製品の導入・運用に大切になるのが、製品のサポート体制です。WAFベンダーが導入及び運用をどの程度までサポートしてくれるかによって、セキュリティレベルや運用管理の質が大きく変わります。検討中のWAFが提供しているサポート体制を十分に確認しましょう。

6. 導入実績を確認する

導入実績がすべてではありませんが、1つの指標になることは確かです。自社環境に類似した企業への導入実績などを確認しましょう。

SiteGuardについて

いかがでしょうか？WAFの分類を踏まえ、以上の選定ポイントを押させることで自社にマッチしたWAFを選びやすくなります。最後に、EGセキュアソリューションズが提供するWAF「SiteGuard（サイトガード）」をご紹介します。

「SiteGuard」は製造業やIT業、官公庁などを含めさまざまな企業や団体に導入されているWAFであり、保護対象のWebサイト数は100万を超えている国産WAFです。ホスト型とゲートウェイ型から任意の導入形態を選ぶことができ、柔軟なカスタマイズによって高度なWebサイトセキュリティを実現できます。

もちろん、WAFを導入/運用するためのサポートも充実していることから、初めてWAFを導入する企業やセキュリティ技術者を有していない企業でも多数導入されています。トラステッド・シグネチャ（定義済みのシグネチャ）はプロのセキュリティアナリストによりチューニングが実施されており、導入後すぐにWebサイトを効果的に保護してくれます。もちろん、任意の独自シグネチャを作成することも可能であり、攻撃をブロックするだけでなく個別の除外ルールやホワイトリストを柔軟に設定することも可能です。WAFの導入を検討される際は、ぜひ「SiteGuard」についてご確認ください。

また、具体的にWAFの導入を検討されている方向けに、評価版をご提供しています。機能や操作性、製品サポート品質の確認に活用してください。

導入事例

WAF製品/SiteGuard（サイトガード）シリーズの導入事例をご紹介しています。