クラウド型WAFとは?メリットと選び方を解説

 2020.11.05  株式会社ジェイピー・セキュア

昨今、サイバー攻撃が多発し、ウェブサイトからのクレジットカード情報漏洩による被害額やウェブサイトの改ざん件数は年々増加しています。また、新型コロナウイルスの感染拡大による影響で私たちの生活は一変し、ECなどのウェブを通じたサービスの需要が増しました。それに伴い、サイバー攻撃も増加し、ウェブサイトのセキュリティ対策がこれまで以上に重要になっています。

本稿では、ウェブサイトのセキュリティ対策に有効なWAFについて紹介するとともに、クラウド型WAFのメリットについて解説します。

WAFとは

WAFとはウェブアプリケーションファイアウォール(Web Application Firewall)の略称です。

WAFを導入することで、ウェブサイトに対するHTTP/HTTPSのアクセスを検査し、不正アクセスを検出・防御することができます。WAFは、SQLインジェクションクロスサイトスクリプティング(XSS)といったウェブアプリケーションの脆弱性を悪用した攻撃の防御に優れています。

ウェブサイトに対する攻撃では、ウェブアプリケーションの脆弱性を悪用されることが多く、ウェブサイトの改ざんや大規模な個人情報の漏洩など、様々な被害を受ける恐れがあります。セキュアなサイト構築、アプリケーションの開発を徹底することができ、常に安全な状態でウェブサイトを運営することができれば問題ありませんが、OSやソフトウェアなどの不具合がゼロにならないことと同じで、脆弱性ゼロは現実的ではないと言われています。

セキュアなサイト構築やアプリケーション開発を基本としつつ、WAFを有効活用することで、ウェブサイトのセキュリティレベルをさらに向上させることができるのです。

WAF

WAFの基本的な機能として、シグネチャによる検査があります。攻撃パターンや禁止したいアクセスをシグネチャとして定義しておき、リクエストがシグネチャとマッチした場合に攻撃とみなし、通信をブロックするなどの防御処理を行います。

シグネチャ検査

その逆で、許可すべきパターンを定義しておき、リクエストの内容がマッチしない場合に通信をブロックするという対応も可能です。

このほか、ブラウザとウェブサイトの間でやり取りされるCookieの保護やセッションの管理、応答ヘッダの追加・削除に対応しているWAFもあります。AIの活用やDDoS対策に有効な機能が実装されているケースもあり、WAFの機能は進化を続けています。

WAFの種類

WAFは設置形態により、以下の3種類に分類することができます。

クラウド型WAF

SaaSとして提供されるWAFです。ゲートウェイ型WAFをクラウド上のサービスとして提供します。※

クラウド型WAF
専用ハードウェアを用意したり、物理的なネットワークを変更する必要がなく、サービスの提供事業者にWAFの運用を任せることができるという利点があります。一般的にFQDNの数や通信量によってサービス料金が上がることのほか、通信経路が増えることによるアクセス遅延の考慮が必要であったり、組織外(自社環境以外)の通信障害の影響を受ける可能性があるといった課題があります。

単にクラウドWAFと呼んだり、SaaS型WAFと呼ぶこともあります。

※ここでは、DNSの設定変更により、WAFサービス提供事業者のネットワークを経由するようにして検査・防御するWAFを例にしています。

ゲートウェイ型WAF

ウェブサーバーの前段で独立した機器として利用するWAFです。※

ゲートウェイ型WAF
リバースプロキシのほか、インライン(ブリッジ)構成で設置されることが多く、複数のウェブサーバーを一元的に保護することができます。リバースプロキシはサイトの成長に合わせて拡張しやすく、インライン構成は導入しやすい点が特長です。ソフトウェアもしくはアプライアンスがあり、アプライアンスの場合は仮想アプライアンスとして提供されることもあります。専用機としてのハードウェアの購入費やネットワークの構成変更が必要となります。

※後述のクラウド型もリバースプロキシでの形態がありますが、ここでは専用機として動作するWAFをゲートウェイ型に分類し、クラウド型とは分けて記述しています。

ホスト型WAF

ウェブサーバーにインストールして利用するWAFです。

ホスト型WAF
ソフトウェアで提供され、ウェブサーバーのモジュールとして動作するタイプを指すことが一般的です。ウェブサーバーごとにWAFをインストールする必要があり、導入要件がウェブサーバーの環境に依存しますが、最もシンプルな構成で専用ハードウェアを必要とせず、ネットワーク構成に影響を与えないことが主な利点となります。新たにハードウェアを設置したり、ネットワークの変更がないため、アクセス遅延の影響が少ないこともメリットです。以前はウェブサーバーの負荷が課題になることもありましたが、昨今のハードウェア性能の向上もあり、影響は少なくなっています。

 

New call-to-action
ジェイピー・セキュアソフトウェアライセンス価格表

クラウド型WAFの特徴とメリット

前述のとおり、クラウド上のサービス(SaaS)として提供されますので、比較的に導入しやすく、手軽に利用できる点がクラウド型WAFの特徴です。

手軽に運用できる

クラウド型WAFの場合、WAFの運用管理をサービス提供事業者に任せることができるため、自社に専任の技術者を配置する必要がありません。そのため、人材不足で諦めていた企業にとっても手軽に導入できるようになりました。

短期間利用が可能

クラウド型WAFは、月単位による短期間のスポット契約ができるタイプが多いこともメリットとなり、利用者にとってはWAF導入の選択肢が増えることにつながりました。

導入コストが低い

システム構成を変更したり、停止することなく導入・解除が可能で、導入にかかるコスト自体が低いこともクラウド型WAFのメリットです。SaaSという特性上、導入に機器を購入する必要もないため、他の導入形態に比べて初期費用が少ない傾向にあり、月々数万円から始められるサービスもあります。

 

このように、人材不足の課題解決をしつつ、キャンペーンサイトに短期でWAFを適用したり、ハードウェアやソフトウェアなどを購入する必要がないという点がクラウド側WAFのメリットといえます。

クラウド型WAFについてよくある質問

質問① どのような課金体系ですか?

FQDN数、トラフィック量に応じて課金するケースが一般的です。サービスによっては、FQDN数無制限のプランが用意されていることがあります。

質問② 導入によるレスポンス低下はありますか?

大容量ファイルの取り扱いがある場合など、環境によりレスポンス低下が生じる可能性がありますので、事前にトライアル等で確認することが推奨されます。

質問③ サービス導入時、Webサイトへの負荷などの影響はありますか?

DNSを変更して導入しますので、Webサイトに負荷がかかることはありません。

質問④ サービス導入時、注意すべきことはありますか?

アクセス制限の観点で、クラウドWAFを経由したアクセスのみを許可するように、ファイアウォールを設定変更することが推奨されています。

質問⑤ 接続元のIPアドレスはクラウドWAFのIPアドレスに変換されるのですか?

変換されます。適切なアクセス制限やログ管理のため、クラウドWAFが付与するヘッダの情報等を参照するようにしてください。

質問⑥ SSL証明書の設定は必要ですか?

暗号化されているHTTPS通信を検査するため、クラウドWAFでSSLの設定を行う必要があります。通常、サービスサイトや管理画面から簡単に設定できるようになっています。

WAFの選び方

本稿では、WAFとは何か、クラウド型WAFのメリットについてご紹介しました。一言でWAFといってもいくつかの種類があり、それぞれに特徴があります。今回ご紹介したクラウド型WAFが必ずしも適しているとはかぎらず、ランニングコストのほか、組織外へ情報を出すことができないなど、管理面の理由によりクラウド型が適さないケースもあります。それぞれの特徴を把握した上で、Webサイトの特性や運用方針に合わせて選定しましょう。

WAFの選定では、実績と製品・サービスの品質も重要です。
ジェイピー・セキュアは、イー・ガーディアングループの一員として、ゲートウェイ型とホスト型に対応した国産ソフトウェアWAF「SiteGuardシリーズ」を提供しています。販売開始から12年、業種・業態を問わず数多くの導入実績をもち、レンタルサーバー事業者での標準採用もあって、保護対象サイト数は100万を超えています。また、同じグループの一員であるグレスアベイルより、DDoS対策も可能な国産クラウド型WAF「GUARDIAX」が提供されています。国産製品・サービスの場合、管理インタフェースやマニュアルの日本語対応はもちろんのこと、開発から販売、テクニカルサポートまで、お客様の安心感と満足感につながる国内クローズの対応が可能です。

イー・ガーディアングループでは、サイバー攻撃に対するソリューションのひとつであるWAFについて、様々なウェブサイトの環境に適合できるソリューションを提供しています。

ワンランク上のウェブサイトのセキュリティ対策に、ぜひWAFの導入を検討してみてください。

※株式会社ジェイピー・セキュア、株式会社グレスアベイルは、イーガーディアン株式会社のグループ企業です。

CTA

RECENT POST「WAF」の最新記事


WAF

ウェブサイトをセキュアにするWAFの仕組み

WAF

WAFとIPSの違いとは?

WAF

WAFって何?導入のメリットとは

WAF

WAFの有効活用!ホスト型WAFのメリット

クラウド型WAFとは?メリットと選び方を解説