Webサイトのセキュリティを強化するための一つの対策として、WAFが注目されています。
本稿では、情報処理推進機構(IPA)が公開している『Web Application Firewall 読本』(以降、WAF読本)の補足資料として公開された『Web Application Firewallの導入に向けた検討項目』(以降、WAFの導入に向けた検討項目)をもとに、WAF選定のポイントや導入時の検討項目について解説します。
WAF読本について
WAFを正しく理解し、導入時の検討項目を整理することは、WAF導入後の運用を円滑に進めるためにとても重要なことです。コストやスペックだけに着目し、製品・サービスの仕様を把握せずに導入してしまうと、運用を開始してから後悔することになる可能性もあります。
そこで、WAFの理解を手助けすることを目的として、IPAから『WAF 読本』が公開されています。『WAF 読本』では、WAFの概要や機能、導入のポイントなど「WAF」の基本について網羅的に解説されています。
また、補足資料として公開された『WAFの導入に向けた検討項目』では、提供形態からみた各WAF製品・サービスのメリットやデメリット、選択基準などが解説されており、ページ数はそれほど多くありませんが、WAFの導入を検討している場合や運用の見直しを検討する場合に役立つ内容となっています。
関連記事:WAF導入のポイント IPAの「Web Application Firewall 読本」を読み解く
WAFの種類
『WAFの導入に向けた検討項目』では、WAFを以下の3種類に大別し、それぞれの特徴が説明されています。
アプライアンス型
各組織のネットワーク内に専用の機器としてWAFを設置し、ウェブサーバへの通信をWAFに通過させることで検査する。仮想基盤向けの仮想アプライアンスとして提供される場合もある。
専用ハードウェアの購入などでコスト高になりますが、複数のウェブサーバーを一元的に管理、保護することができます。
ソフトウェア型
各組織が運営するウェブサイトのウェブサーバに、ソフトウェアとしてWAFをインストールし、ウェブサーバへの通信内容を検査する。
複数のウェブサーバーに導入する場合の管理が課題となりますが、シンプルな構成でトラフィック量やサイト数に依存せず、保護することができます。
サービス型
組織外に存在するWAFサービス提供者のサービスサーバを経由することで検査を行い、組織内のウェブサーバへ通信を中継する。組織内のウェブサーバにエージェントとなるソフトウェアをインストールし、組織外のWAFベンダのサービスサーバと連携して検査する方式も存在する。
通信量やサイト数が多い場合、課金形態によってはコスト高になる場合がありますが、導入が容易でメンテナンスや管理の手間をかけず保護することができます。
引用:『Web Application Firewallの導入に向けた検討項目』(1.WAFの製品・サービスについて)
SQLインジェクション攻撃という言葉が知られるようになった2000年代半ば頃のWAFといえばアプライアンス型でしたが、オンプレや仮想基盤などの環境を問わず対応できることに加え、ホスティング事業者におけるWAFのニーズの高まりからソフトウェア型のWAFも広く採用されるようになりました。
そして現在では、運用管理を含めたサービスとしてWAFを利用することができるサービス型があり、WAFの利用者は複数の製品・サービスから自組織に合ったWAFを選択できるようになっています。大切なのは製品・サービスの機能だけでなく、Webサイトの環境や運用方針に合ったWAFを選択することです。
WAFの選択基準
『WAFの導入に向けた検討項目』では、WAFの選択基準を以下の3つに分け、導入までにかかるコストや運用開始後のコスト、設定の柔軟性について、それぞれのメリット・デメリットに着目しながら解説されています。
①運用開始までの期間と導入に必要な費用
②WAFの設定自由度
③導入後の運用業務
以下に各選択基準で比較されているポイントを示します。
①運用開始までの期間と導入に必要な費用
WAFの導入決定後から導入完了までに必要な期間の比較です。
-
専用機器の購入やネットワーク構成の変更が必要なアプライアンス型が最も期間が必要になる。
- ソフトウェアの調達、インストールが必要なソフトウェア型と、サービスの契約、ネットワーク機器の設定変更のみで利用できるサービス型は短期間で導入することができる。
WAFの導入に際して生じる費用、WAFの導入に向けて実施する作業についての比較です。
- 初期費用や構築にかかるコストについては、一般的に専用ハードウェアが必要となるアプライアンス型が高価となる傾向がある。
- 保護対象のWebサーバーの台数や通信量などによって、ソフトウェア型、サービス型の費用も変動する。
- サービス型が安価であり、ソフトウェア型、アプライアンス型の順にコストが高くなっていくと考えられるが、費用が変動する要素があるため一概に高低を論じることはできない。
②WAFの設定自由度
WAFをネットワーク上のどこに設置できるか、検査対象や遮断対象とする通信の選択・設定の自由度に関する比較です。
- WAFの設置場所の自由度については、サービス型が低いとされているが、各製品・サービスの提供形態によるものである。
- サービス型のWAFの設定自由度は、サービス仕様に依存する。
- WAFの設定自由度は、利用者による独自設定を可能とした設計になっているソフトウェア型とアプライアンス型の方が高い。
③導入後の運用業務
日々の動作確認や設定内容の見直し・修正、障害対応など、WAFの運用開始後に実施する作業についての比較です。
- 日々の検出状況の確認や障害時の対応など、利用者自ら対応することが前提となっているアプライアンス型、ソフトウェア型の負荷が高い。
- サービス型の場合、故障時などの対応を含めてWAF提供事業者の範囲で実施されるため負荷が低い。ただし、サービス提供事業者の通信障害など、利用者では対処できない障害の影響を受ける可能性がある。
- 運用負荷の軽減を図る場合の選択肢として、運用のアウトソーシング(ソフトウェア型、アプライアンス型の場合)がある。
いかがでしょうか?いくつかの要点を整理するだけでもWAF選択のポイントが見えてくると思います。
- 専任の管理者が不在のため、設定や運用管理を全て任せたい -->サービス型
- Webサーバーの台数は少ないが通信量が多く、バーチャルホストで設定したサイト毎に柔軟な設定を行う必要がある ーー>ソフトウェア型
- Webサーバーの台数が多く、一元的な管理、柔軟な設定を行う必要がある ーー>アプライアンス型
一例となりますが、上記のようにWebサイトの特性や運用に合ったWAFを選択することができます。WAFに関する理解を深めたい、導入時の検討項目を整理したいとお考えの方は、ぜひ『WAF読本』と『WAFの導入に向けた検討項目』の内容を参考にしてください。
- カテゴリ:
- WAF
- キーワード:
- WAF
この記事に関する製品のご紹介
ホスト型WAF「SiteGuard Server Edition」
SiteGuard Server Editionは、ウェブサーバーのモジュールとして動作するホスト型WAF製品です。Webサーバー自体にインストールするため、専用ハードウェアが必要ありません。ネットワーク構成を変更せず、できるだけシンプルに導入したいお客様に最適な製品です。
詳細はこちら