クラウド型WAFとは?導入のメリットと選び方を解説

 2020.11.05  2022.11.25

昨今、サイバー攻撃が多発し、Webサイトからのクレジットカード情報漏洩による被害額やWebサイトの改ざん件数は年々増加しています。また、新型コロナウイルスの感染拡大による影響で私たちの生活は一変し、ECなどのWebを通じたサービスの需要が増しました。それに伴い、サイバー攻撃も増加し、Webサイトのセキュリティ対策がこれまで以上に重要になっています。

本稿では、Webサイトのセキュリティ対策に有効なWAFについて紹介するとともに、クラウド型WAFのメリットについて解説します。

WAFとは

WAFとはウェブアプリケーションファイアウォール(Web Application Firewall)の略称です。

WAFを導入することで、Webサイトに対するHTTP/HTTPSのアクセスを検査し、不正アクセスを検出・防御することができます。WAFは、SQLインジェクションクロスサイトスクリプティング(XSS)といったWebアプリケーションの脆弱性を悪用した外部からの攻撃防御に優れています。

Webサイトに対する攻撃では、Webアプリケーションの脆弱性を悪用されることが多く、Webサイトの改ざんや大規模な個人情報の漏洩など、様々な被害を受ける恐れがあります。セキュアなサイト構築、アプリケーションの開発を徹底することができ、常に安全な状態でWebサイトを運営することができれば問題ありませんが、OSやソフトウェアなどの不具合発生がゼロにならないことと同じで、脆弱性ゼロは現実的ではないと言われています。

セキュアなサイト構築やアプリケーション開発を基本としつつ、WAFを有効活用することで、Webサイトのセキュリティレベルをさらに向上させることができるのです。

WAF

WAFの基本的な機能として、シグネチャによる検査があります。攻撃パターンや禁止したいアクセスをシグネチャとして定義しておき、リクエストがシグネチャとマッチした場合に攻撃とみなし、通信をブロックするなどの防御処理を行います。

シグネチャ検査

その逆で、許可すべきパターンを定義しておき、リクエストの内容がマッチしない場合に通信をブロックするという対応も可能です。

このほか、ブラウザとWebサイトの間でやり取りされるCookieの保護やセッションの管理、応答ヘッダの追加・削除に対応しているWAFもあります。AIの活用やDDoS対策に有効な機能が実装されているケースもあり、WAFの機能は進化を続けています。

導入事例

導入事例

WAF製品/SiteGuard(サイトガード)シリーズの導入事例をご紹介しています。

詳細はこちら

WAFの種類

WAFは設置形態により、以下の3種類に分類することができます。 

クラウド型WAF

クラウド上で提供されるWAFをサービスとして利用します。※

クラウド型WAF
DNSの設定変更だけでWAFを導入できるため、専用ハードウェアを用意したり、物理的なネットワークを変更する必要がありません。また、サービスの提供事業者にWAFの運用を任せることができるという利点もあります。一般的にFQDNの数や通信量によってサービス料金が上がることのほか、組織外(自社環境以外)のシステムを経由することによる情報の取り扱いや通信障害の影響を受ける可能性がある点について考慮が必要です。

単にクラウドWAFと呼んだり、SaaS型WAFと呼ぶこともあります。

※ここでは、DNSの設定変更により、WAFサービス提供事業者のネットワークを経由するようにして検査・防御するWAFを例にしています。

SiteGuard Cloud Editionの詳細はこちら

ゲートウェイ型WAF

Webサーバーの前段で独立した機器として利用するWAFです。※

ゲートウェイ型WAF
リバースプロキシのほか、インライン(ブリッジ)構成で設置されることが多く、複数のWebサーバーを一元的に保護することができます。リバースプロキシはサイトの成長に合わせて拡張しやすく、インライン構成は導入しやすい点が特長です。ソフトウェアもしくはアプライアンスがあり、アプライアンスの場合は仮想アプライアンスとして提供されることもあります。専用機としてのハードウェアの購入費やネットワークの構成変更が必要となります。

※前述のクラウド型もリバースプロキシ構成が一般的ですが、ここでは専用機として動作するWAFをゲートウェイ型に分類し、クラウド型とは分けて記述しています。

ホスト型WAF

Webサーバーにインストールして利用するWAFです。

ホスト型WAF
ソフトウェアで提供され、Webサーバーのモジュールとして動作するタイプを指すことが一般的です。WebサーバーごとにWAFをインストールする必要があり、導入要件がWebサーバーの環境に依存しますが、最もシンプルな構成で専用ハードウェアを必要とせず、ネットワーク構成に影響を与えないことが主な利点となります。新たにハードウェアを設置したり、ネットワークの変更がないため、アクセス遅延の影響が少ないこともメリットです。以前はWebサーバーの負荷が課題になることもありましたが、昨今のハードウェア性能の向上もあり、影響は少なくなっています。

クラウド型WAFの仕組み

一般的なクラウド型WAFは、名前解決の仕組みであるDNSの設定変更によって実現されています。

  • WAFサービス事業者からDNSの設定情報が届く
  • Webサイト宛の通信が、サービス事業者のWAFを経由するようにDNSの設定を変更する
  • サービス事業者のWAFを経由することで、クライアントからWebサイト宛の通信が検査されるようになる

このように、クラウド型WAFはDNSの切替によって導入しますが、WAFのバイパスを防ぐために、Webサイト側のネットワークでアクセスを制限することが推奨されています。

具体的には、WAFを経由したアクセスのみを許可するようファイアウォールによるアクセス制限を行います。WAFの接続元となるIPアドレスは、DNSの設定情報と一緒に、WAFサービス事業者から通知されるのが一般的です。

siteguard-cloud-edition_image-1

SiteGuard Cloud Editionの場合の導入イメージ

SiteGuard Cloud Editionの詳細はこちら

クラウド型WAF導入のメリット

クラウド型WAFは、クラウド上のサービス(SaaS)として提供されますので、比較的に導入しやすく、手軽にWebサイトのセキュリティ対策を強化できるというメリットがあります。また、WAFの運用管理は、サービス提供事業者が行いますので、運用面での人的リソースに課題がある場合にも大きな助けとなり、WAF導入の一つの選択肢となっています。

インストール作業や新たな機器の設置不要

クラウド型WAFは、DNSの設定変更で導入することができるため、ソフトウェアをインストールしたり、新たに機器を設置するなど物理的なネットワーク構成を変更する必要がありません。

手軽な導入と運用管理の負荷軽減

クラウド型WAFの場合、WAFの運用管理をサービス事業者に任せることができるため、自社に専任の技術者を配置する必要がありません。そのため、人材不足で諦めていた企業でも手軽に導入でき、サービス利用開始後の運用負荷を軽減できるようになりました。

短期間利用が可能

クラウド型WAFは、月単位による短期間のスポット契約ができるタイプが多いこともメリットとなり、利用者にとってはWAF導入の選択肢が増えることにつながりました。

導入コストが低い

システム構成を変更したり、停止することなく導入・解除が可能で、導入にかかるコスト自体が低いこともクラウド型WAFのメリットです。SaaSという特性上、導入に機器を購入する必要もないため、他の導入形態に比べて初期費用が少ない傾向にあり、月々数万円から始められるサービスもあります。

このように、人材不足の課題解決をしつつ、キャンペーンサイトに短期でWAFを適用したり、ハードウェアやソフトウェアなどを購入する必要がないという点がクラウド型WAFのメリットといえます。

クラウド型WAFについてよくある質問

質問① どのような課金体系ですか?

FQDN数、トラフィック量、データ量に応じて課金するケースが一般的です。サービスによっては、FQDN数無制限のプランが用意されていることがあります。

質問② 導入によるレスポンス低下はありますか?

大容量ファイルの取り扱いがある場合など、環境によりレスポンス低下が生じる可能性がありますので、事前にトライアル等で確認することが推奨されます。

質問③ サービス導入時、Webサイトへの負荷などの影響はありますか?

DNSを変更して導入しますので、Webサイトに負荷がかかることはありません。

質問④ サービス導入時、注意すべきことはありますか?

アクセス制限の観点で、クラウドWAFを経由したアクセスのみを許可するように、ファイアウォールを設定変更することが推奨されています。

質問⑤ 接続元のIPアドレスはクラウドWAFのIPアドレスに変換されるのですか?

変換されます。適切なアクセス制限やログ管理のため、クラウドWAFが付与するX-Forwarded-Forヘッダの情報等を参照するようにしてください。

質問⑥ SSL証明書の設定は必要ですか?

暗号化されているHTTPS通信を検査するため、クラウドWAFでSSLの設定を行う必要があります。通常、サービスサイトや管理画面から簡単に設定できるようになっています。

WAFの選び方

本稿では、WAFとは何か、クラウド型WAFのメリットについてご紹介しました。

一言でWAFといってもいくつかの種類があり、それぞれに特徴があります。今回ご紹介したクラウド型WAFは、通常マネージドサービスとして提供されるため、運用管理の負担軽減や手軽に利用できるという点でメリットがあります。一方で、サイト数が多い場合に想定以上にランニングコストがかかってしまったり、組織外へ情報を出すことができないなど、セキュリティ上の理由によりクラウド型WAFが適さないケースもあります。それぞれの特徴を把握した上で、Webサイトの特性や運用方針に合わせてWAFを選定しましょう。

EGセキュアソリューションズは、ニーズの多い国別フィルタを全プランに標準機能として実装し、かんたん導入・かんたん運用を実現する純国産のクラウド型WAF「SiteGuard Cloud Edition」を提供しています。以下の記事では、当社のWAFソリューションを紹介しながら、例をもとにWAF選定のポイントまでを解説しています。WAF導入をご検討の際は、ぜひ参考にしてみてください。

関連記事:クラウド型WAF「SiteGuard Cloud Edition」リリース

New call-to-action

RECENT POST「WAF」の最新記事


WAF

気になるWAFのコスト!価格・料金プランを徹底解説

WAF

WAF導入と運用のポイント!WAFのチューニングに必要なものとは

WAF

証明書はどうするの?WAFによるSSL通信の検査

WAF

ModSecurityのCore Rule SetからみるWAFのルールとは

クラウド型WAFとは?導入のメリットと選び方を解説
5分でまるわかり!WAFによるサイバー攻撃対策
1分でわかる「SiteGuardシリーズ」
RECENT POST 最新記事
ブログ無料購読
RANKING人気記事ランキング