Webサイトのセキュリティ対策を強化するための対策は数多く、運用者はそれらの中から適切な対策を選定し、サイバー攻撃による情報漏えいやサイト改ざんなどを防がなければいけません。
Webアプリケーションへのサイバー攻撃を効果的に防ぐセキュリティ製品に「WAF(Web Application Firewall)」があります。一般的なファイアウォールのWebサイト版とイメージすると分かりやすいかもしれません。
仕組みを簡単に説明します。クライアントとWebサイトの間に介在し、HTTP/HTTPSでやり取りされる通信内容を1つ1つ確認することで、不正通信や脆弱性を悪用する攻撃が無いかを監視します。危険があれば即座にアクセスを遮断・ブロックし、管理者に通知することもできます。
WAFの導入形態として「クラウド型」と「ホスト型」が比較されることがあります。本稿ではこれからWAFを導入しようと検討段階にある方に向けて、どちらのタイプが最適なのか?のヒントを提示していきたいと思います。
クラウド型WAFとホスト型WAFの違い
クラウド型WAF
クラウドサービスとして提供されるWAFです。WAFを導入するにあたり「新たにインフラを整備する必要がない」のが特徴です。
WAFサービスはインターネット経由で提供され、DNSの設定変更によって導入できます。ソフトウェアをインストールしたり、ハードウェアを新たに設置するような作業は不要で、サービス契約後からすぐに利用できます。
さらに、クラウド型は複雑な設定が不要なものが多く、ほぼノータッチでWebサイトセキュリティを強化することも可能です。
クラウド型WAFは、機器の購入にかかる費用が不要なことや、月々数万円から始められるサービスもあり導入コストが低いことのほかにも、WAFの運用管理をサービス事業者に任せることができるため、専任の技術者を配置する必要がないことがメリットです。
一方でWebサイトの数や通信量などによってコストが変動する場合があることのほか、ネットワーク構成が変更すること、サービス提供側で障害が発生した場合、障害の影響を受ける可能性があること、組織外(自社環境以外)のシステムを経由することによる情報の取り扱いといった点について注意しておく必要があります。
ホスト型WAF
WebサーバーにソフトウェアとしてWAFをインストールする構成をホスト型WAFと呼びます。新たなハードウェアの設置やネットワーク構成の変更が不要で、シンプルな構成で導入できます。
インストール作業やその後の運用管理が必要となりますので、クラウド型WAFに比べると一般的に運用負荷は高くなりますが、製品仕様の範囲でユーザー自身が自由に設定することができるようになっているため、個々のWebサイトに合わせたポリシー設計、セキュリティ対策を実施できるのが魅力です。
なお、ホスト型WAFはApacheやNginx、IISといったWebサーバーのモジュールとして動作するため、Webサーバーの負荷が課題(昨今のハードウェア性能の向上もあり、影響は少なくなっています。)になることがあるほか、複数のWebサーバーに導入する場合の管理が課題となります。
どちらのWAFが最適か?
クラウド型WAFもホスト型WAFも、どちらも一長一短があるため一概にこちらとは言えないのが実情です。そこで大切になるのは「どのようなWebサイトを保護し、何に比重を置くのか?」「Webサイトの特性と運用方針」を明確にすることです。
たとえば、Webサーバーの台数、通信量ともにそれほど多くないが、専任の管理者不在のため運用管理の手間を低減したいという場合は、初期費用やランニングコストの面からクラウド型WAFが最初の選択肢になると考えられます。
会員向けWebサイトなど多数のサイトが稼働しているWebサーバーで、繁忙期には通信量が増大するという場合には、サイト数や通信量によるコストの変動がなく、サイト毎に柔軟な設定ができるホストWAF型がおすすめです。定期的にチューニングを実施することで、セキュリティ状況を常に最適なものに保ち、効果的にWebサイトを保護できます。
運用方針についても考えてみましょう。「インストールしたり、新たな環境を用意したくない」「とにかく運用管理の負担を無くしたい」という場合はクラウド型WAFがおすすめですし、「管理を内製化したい」「通信データ等の情報を外部に出すことはできない」という場合はホスト型WAFがおすすめです。
現時点の環境や運用状況、Webサイトセキュリティに何を求めるかによって導入すべきWAFのタイプが異なりますので、慎重に検討していきましょう。
おすすめのWAF「SiteGuardシリーズ」
EGセキュアソリューションズ株式会社が開発、販売する「SiteGuardシリーズ」は、クラウド型「SiteGuard Cloud Edition」、ホスト型「SiteGuard Server Edition」、ゲートウェイ型「SiteGuard Proxy Edition」の全タイプに対応し、様々な要件や課題のあるWebサイトへの導入に応えます。
「SiteGuardシリーズ」は、URLやIPアドレスに許可リストの登録だけでなく、要求メソッドやパラメータの名前・パラメータの値など、様々な条件を組み合わせた検査ポリシーを作成することができます。特定の入力値に限定したい場合やURL・パラメータの値が変動するときも詳細な設定ができます。「SiteGuardシリーズ」であれば、Webサイトの特性に合った柔軟な導入と運用が可能です。
クラウド型WAF「SiteGuard Cloud Edition」
セキュリティの専任エンジニアがいない
クラウド型WAF「SiteGuard Cloud Edition」は、マネージドサービスとして提供します。
そのため、セキュリティの専任エンジニアの人材不足であっても、日々の運用は当社エンジニアの伴走により安心して運用ができます。
手軽にWAFを導入したい
新たな機器の設置や、ソフトウェアのインストールが不要で、DNSの設定変更だけでWAFを導入することができます。
また、低価格のプランも用意していますので、初期費用を抑えてウェブアプリケーションのセキュリティを高めることができます。
ホスト型WAF「SiteGuard Server Edition」
保護対象のFQDNの数や通信量を気にしたくない
ホスト型WAF「SiteGuard Server Edition」は、インストールするサーバーの数でライセンスをカウントします。
そのため、バーチャルホストで多数のサイトを運用している場合であっても必要なライセンス数が増えることはありません。
Webサイトの拡張によりFQDN数の増加が見込まれる場合であっても安心してご利用いただけます。また、通信量による課金や制限もありませんので、ピーク時だけでなく大きなサイズのファイルダウンロードやアップロードが必要な環境でも安心です。
リクエストの情報(ログ)などを外部に出すことができない
Webサイトへのアクセス情報や検出情報をインストールしたサーバー上にログとして記録します。ログにはアクセスしたURLや接続元のIPアドレス、パラメータの内容など、様々な情報が記録されます。
WAFによるセキュリティ対策では様々な情報が必要となり、検査の結果が記録されていきますが、要件によっては、これらの情報が組織外に蓄積されることがセキュリティポリシー違反となり、クラウド型WAFの利用が適さない場合があります。
ホスト型WAFの場合、ログ管理を含めて自社内でコントロールすることができます。
おわりに:
現在、Webサイトセキュリティを強化するためのWAFは多数提供されていますが、様々なニーズに対応し、高度に保護できる製品は限られています。
WAFを検討する際は、ぜひ「SiteGuard」シリーズをピックアップし、そのメリットに触れていただきたいと思います。
- カテゴリ:
- 製品情報
この記事に関する製品のご紹介
ホスト型WAF「SiteGuard Server Edition」
SiteGuard Server Editionは、ウェブサーバーのモジュールとして動作するホスト型WAF製品です。Webサーバー自体にインストールするため、専用ハードウェアが必要ありません。ネットワーク構成を変更せず、できるだけシンプルに導入したいお客様に最適な製品です。
詳細はこちら