企業のウェブアプリ担当者必見!クラウド型WAFのメリットとは?

 2020.11.05  株式会社ジェイピー・セキュア

昨今、サイバー攻撃が多発し、ウェブサイトからのクレジットカード情報漏洩による被害額やウェブサイトの改ざん件数は年々増加しています。また、新型コロナウイルスの感染拡大による影響で私たちの生活は一変し、ECなどのウェブを通じたサービスの需要が増しました。それに伴い、サイバー攻撃も増加し、ウェブサイトのセキュリティ対策がこれまで以上に重要になっています。

本稿では、ウェブサイトのセキュリティ対策に有効なWAFについて紹介するとともに、クラウド型WAFのメリットについて解説します。

WAFとは

WAFとは、ウェブアプリケーションファイアウォール(Web Application Firewall)の略称です。

WAFを導入することで、ウェブサイトに対するHTTP/HTTPSのアクセスを検査し、不正アクセスを検出・防御することができます。WAFは、SQLインジェクションクロスサイトスクリプティング(XSS)といったウェブアプリケーションの脆弱性を悪用した攻撃の防御に優れています。

ウェブサイトに対する攻撃では、ウェブアプリケーションの脆弱性を悪用されることが多く、ウェブサイトの改ざんや大規模な個人情報の漏洩など、様々な被害を受ける恐れがあります。セキュアなサイト構築、アプリケーションの開発を徹底することができ、常に安全な状態でウェブサイトを運営することができれば問題ありませんが、OSやソフトウェアなどの不具合がゼロにならないことと同じで、脆弱性ゼロは現実的ではないと言われています。

セキュアなサイト構築やアプリケーション開発を基本としつつ、WAFを有効活用することで、ウェブサイトのセキュリティレベルをさらに向上させることができるのです。

WAF

WAFの基本的な機能として、シグネチャによる検査があります。攻撃パターンや禁止したいアクセスをシグネチャとして定義しておき、リクエストがシグネチャとマッチした場合に攻撃とみなし、通信をブロックするなどの防御処理を行います。

シグネチャ検査

その逆で、許可すべきパターンを定義しておき、リクエストの内容がマッチしない場合に通信をブロックするという対応も可能です。

このほか、ブラウザとウェブサイトの間でやり取りされるCookieの保護やセッションの管理、応答ヘッダの追加・削除に対応しているWAFもあります。AIの活用やDDoS対策に有効な機能が実装されているケースもあり、WAFの機能は進化を続けています。

New call-to-action
ジェイピー・セキュアソフトウェアライセンス価格表

WAFの種類

WAFは設置形態により、以下の3種類に分類することができます。

ゲートウェイ型WAF

ウェブサーバーの前段で独立した機器として利用するWAFです。※

ゲートウェイ型WAF
リバースプロキシのほか、インライン(ブリッジ)構成で設置されることが多く、複数のウェブサーバーを一元的に保護することができます。リバースプロキシはサイトの成長に合わせて拡張しやすく、インライン構成は導入しやすい点が特長です。ソフトウェアもしくはアプライアンスがあり、アプライアンスの場合は仮想アプライアンスとして提供されることもあります。専用機としてのハードウェアの購入費やネットワークの構成変更が必要となります。

※後述のクラウド型もリバースプロキシでの形態がありますが、ここでは専用機として動作するWAFをゲートウェイ型に分類し、クラウド型とは分けて記述しています。

ホスト型WAF

ウェブサーバーにインストールして利用するWAFです。

ホスト型WAF
ソフトウェアで提供され、ウェブサーバーのモジュールとして動作するタイプを指すことが一般的です。ウェブサーバーごとにWAFをインストールする必要があり、導入要件がウェブサーバーの環境に依存しますが、最もシンプルな構成で専用ハードウェアを必要とせず、ネットワーク構成に影響を与えないことが主な利点となります。新たにハードウェアを設置したり、ネットワークの変更がないため、アクセス遅延の影響が少ないこともメリットです。以前はウェブサーバーの負荷が課題になることもありましたが、昨今のハードウェア性能の向上もあり、影響は少なくなっています。

クラウド型WAF

SaaSとして提供されるWAFです。ゲートウェイ型WAFをクラウド上のサービスとして提供します。※

クラウド型WAF
専用ハードウェアを用意したり、物理的なネットワークを変更する必要がなく、サービスの提供事業者にWAFの運用を任せることができるという利点があります。一般的にFQDNの数や通信量によってサービス料金が上がることのほか、通信経路が増えることによるアクセス遅延の考慮が必要であったり、組織外(自社環境以外)の通信障害の影響を受ける可能性があるといった課題があります。

単にクラウドWAFと呼んだり、SaaS型WAFと呼ぶこともあります。

※ここでは、DNSの設定変更により、WAFサービス提供事業者のネットワークを経由するようにして検査・防御するWAFを例にしています。

Saasとは

クラウド型WAFは、SaaSとして提供するWAFであると説明しました。
では、SaaSとは何でしょうか?SaaSは「Software as a Service」の略称であり、「サービスとして提供されるソフトウェア」のことを指します。

ウェブ上で操作し、ウェブ上で完結し、インターネットに接続できる環境さえあれば、場所を選ばずに契約してすぐに使い始められる手軽さが魅力的です。

SaaSの具体例としては以下のようなサービスがあります。

  • GmailやGoogleドライブなどのGoogleアプリケーション
  • はてなブログやアメーバブログなどのブログサービス
  • DropboxやMicrosoft OneDriveをはじめとするオンラインストレージサービス

こうしてみると、普段SaaSだと意識していなくとも使っているサービスが多いのではないでしょうか。

クラウド型WAFのメリット

さて、クラウド型WAFの話に戻ります。前述のとおり、クラウド上のサービスとして提供されますので、比較的に導入しやすく、手軽に利用できる点がクラウド型WAFのメリットの一つです。

また、サービスとして利用できるクラウド型WAFの場合、WAFの運用管理をサービス提供事業者に任せることができるため、自社に専任の技術者を配置する必要がありません。そのため、人材不足で諦めていた企業にとっても手軽に導入できるようになりました。クラウド型WAFは、月単位による短期間のスポット契約ができるタイプが多いこともメリットとなり、利用者にとってはWAF導入の選択肢が増えることにつながりました。

システム構成を変えたり停止することなく導入・解除が可能で、導入にかかるコスト自体が低いこともクラウド型WAFのメリットです。SaaSという特性上、導入に機器を購入する必要もないため、他の導入形態に比べて初期費用が少ない傾向にあり、月々数万円から始められるサービスもあります。

WAFの選び方

本稿では、WAFとは何か、Saasとは何か、クラウド型WAFのメリットについてご紹介しました。一言でWAFといってもいくつかの種類があり、それぞれに特徴があります。今回ご紹介したクラウド型WAFが必ずしも適しているとはかぎらず、ランニングコストのほか、組織外へ情報を出すことができないなど、管理面の理由によりクラウド型が適さないケースもあります。それぞれの特徴を把握した上で、Webサイトの特性や運用方針に合わせて選定しましょう。

WAFの選定では、実績と製品・サービスの品質も重要です。
ジェイピー・セキュアは、イー・ガーディアングループの一員として、ゲートウェイ型とホスト型に対応した国産ソフトウェアWAF「SiteGuardシリーズ」を提供しています。販売開始から12年、業種・業態を問わず数多くの導入実績をもち、レンタルサーバー事業者での標準採用もあって、保護対象サイト数は100万を超えています。また、同じグループの一員であるグレスアベイルより、DDoS対策も可能な国産クラウド型WAF「GUARDIAX」が提供されています。国産製品・サービスの場合、管理インタフェースやマニュアルの日本語対応はもちろんのこと、開発から販売、テクニカルサポートまで、お客様の安心感と満足感につながる国内クローズの対応が可能です。

イー・ガーディアングループでは、サイバー攻撃に対するソリューションのひとつであるWAFについて、様々なウェブサイトの環境に適合できるソリューションを提供しています。

ワンランク上のウェブサイトのセキュリティ対策に、ぜひWAFの導入を検討してみてください。

※株式会社ジェイピー・セキュア、株式会社グレスアベイルは、イーガーディアン株式会社のグループ企業です。

WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~

RECENT POST「WAF」の最新記事


企業のウェブアプリ担当者必見!クラウド型WAFのメリットとは?
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング