クラウド型?サーバー(ホスト)型?タイプで選ぶWAF

 2019.12.18  株式会社ジェイピー・セキュア

JPCERT/CC(JPCERTコーディネーションセンター)が2019年10月17日に発表した『インシデント報告対応レポート
によると、7月~9月にかけて同機関に寄せられたセキュリティインシデントの件数は4,618件となっています。前年同時期と比較すると約600件増となっており、企業を取り巻くセキュリティ情勢は依然として深刻です。

メディアでは日夜情報漏えいなどのセキュリティ事件が報道されており、情報セキュリティとサイバー犯罪者の「いたちごっこ」が繰り広げられているようにも感じます。

そんな中、多くのサイバー犯罪者の標的になっているのが企業のWebサイトです。脆弱性を抱えているWebサイトは非常に多いといわれており、かつデータベースに機密情報が格納されているなど、標的になりやすい傾向にあります。

そうしたサイバー攻撃を効果的に防ぐセキュリティ製品が「WAF(Web Application Firewall)」です。一般的なファイアウォールのWebサイト版とイメージすると分かりやすいかもしれません。

仕組みを簡単に説明します。クライアントとWebサイトの間に介在し、HTTP/HTTPSでやり取りされる通信内容を1つ1つ確認することで、不正通信や脆弱性を悪用する攻撃が無いかを監視します。危険があれば即座にアクセスを遮断・ブロックし、管理者に通知することもできます。

WAFの導入形態として「クラウド型」と「サーバー(ホスト)型」が比較されることがありますので、本稿ではこれからWAFを導入しようと検討段階にある方に向けて、どちらのタイプが最適なのか?のヒントを提示していきたいと思います。

クラウド型とサーバー(ホスト)型の違い

クラウド型WAF

クラウドサービスとして提供されるWAFです。WAFを導入するにあたり「新たにインフラを整備する必要がない」のが特徴です。サービスはインターネット経由で提供されるため、ソフトウェアをインストールしたり、ハードウェアを新たに設置するような作業は不要で、サービス契約後からすぐに利用できます。同時にサーバーメンテナンスも不要なので、一定の運用負荷軽減効果があります。

クラウド型は複雑な設定が不要なものが多く、サービス事業者によって定義されたシグネチャ(攻撃パターンを定義したルール)との照合で不正通信を遮断します。シグネチャの更新も自動的に行われるので、ほぼノータッチでWebサイトセキュリティを強化することも可能です。

一方でWebサイトの数や通信量などによってコストが変動する場合があります。

サーバー(ホスト)型WAF

WebサーバーにソフトウェアのWAFをインストールする構成をサーバー(ホスト)型と呼びます。インストール作業やその後の運用管理が必要となりますので、クラウド型に比べると一般的に運用負荷は高くなりますが、製品仕様の範囲でユーザー自身が自由に設定することができるようになっているため、個々のWebサイトに合わせたポリシー設計、セキュリティ対策を実施できるのが魅力です。

また、ライセンス数はインストールするサーバーの台数とイコールになることが一般的で、バーチャルホスト等によって多数のWebサイトを運用していたり、通信量が多い場合であってもコストの変動はなく、環境によってはクラウド型よりも低いコストでWebサイトセキュリティを実施できることがあります。

 

どちらのWAFが最適か?

クラウド型もサーバー(ホスト)型も、どちらも一長一短があるため一概にこちらとは言えないのが実情です。そこで大切になるのは「どのようなWebサイトを保護し、何に比重を置くのか?」「Webサイトの特性と運用方針」を明確にすることです。

たとえば、Webサーバーの台数、通信量ともにそれほど多くないが、専任の管理者不在のため運用管理の手間を低減したいという場合は、初期費用やランニングコストの面からクラウド型が最初の選択肢になると考えられます。

会員向けWebサイトなど多数のサイトが稼働しているWebサーバーで、繁忙期には通信量が増大するという場合には、サイト数や通信量によるコストの変動がなく、サイト毎に柔軟な設定ができるサーバー(ホスト)型がおすすめです。定期的にチューニングを実施することで、セキュリティ状況を常に最適なものに保ち、効果的にWebサイトを保護できます。

運用方針についても考えてみましょう。「インストールしたり、新たな環境を用意したくない」「とにかく運用管理の負担を無くしたい」という場合はクラウド型がおすすめですし、「管理を内製化したい」「通信データ等の情報を外部に出すことはできない」という場合はサーバー(ホスト)型がおすすめです。

現時点の環境や運用状況、Webサイトセキュリティに何を求めるかによって導入すべきWAFのタイプが異なりますので、慎重に検討していきましょう。

導入形態が選べる「SiteGuard」

JP-Secureが開発/提供するWAF「SiteGuard(サイトガード)」は、ホスト型とゲートウェイ型、2つの導入形態が選べるソフトウェアWAF製品です。ホスト型は前述のとおり、WebサーバーにインストールするタイプのWAFです。ゲートウェイ型は、クライアントとWebサーバー間の通信経路上にリバースプロキシとして設置するタイプのWAFです。

SiteGuard」のトラステッド・シグネチャ(定義済みのシグネチャ)はプロのセキュリティアナリストによりチューニングが実施されており、導入後すぐにWebサイトを効果的に保護してくれます。もちろん、任意の独自シグネチャを作成することも可能であり、個別の除外ルールやホワイトリストを柔軟に設定することも可能です。

現在、Webサイトセキュリティを強化するためのWAFは多数提供されていますが、高度に保護できる製品は限られています。WAFを検討する際は、ぜひ「SiteGuard」をピックアップし、そのメリットに触れていただきたいと思います。

なお、JP-Secureでは「SiteGuard」をセンサーとして収集した検出ログをもとに、ウェブサイトに対する攻撃傾向を分析したレポート「JP-Secure Labs Report」を公開しています。人気のWordPressに対する攻撃の傾向やプラグインの脆弱性を悪用する攻撃、セキュリティプラグインの活用など、今すぐできる対策についても解説しています。Webサイトの運営に欠かせない基本的な対策、考え方などについての情報を公開していますので、ぜひご確認ください。
https://siteguard.jp-secure.com/tech/jpsecure-labs/

関連情報:JP-Secure Labs Report

信頼の純国産ソフトウェア型WAF SiteGuardシリーズ製品概要

SITEGUARD
ジェイピー・セキュアソフトウェアライセンス価格表

RELATED POST関連記事


RECENT POST「製品情報」の最新記事


クラウド型?サーバー(ホスト)型?タイプで選ぶWAF
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング

TOPIC トピック一覧