IPA「Web Application Firewallの導入に向けた検討項目」の解説

 2019.11.20  株式会社ジェイピー・セキュア

Webサイトのセキュリティを強化するための一つの対策として、WAFが注目されています。

本稿では、情報処理推進機構(IPA)が公開している『Web Application Firewall 読本』(以降、WAF読本)の補足資料として公開された『Web Application Firewallの導入に向けた検討項目』(以降、WAFの導入に向けた検討項目)をもとに、WAF選定のポイントや導入時の検討項目について解説します。

WAF読本について

WAFを正しく理解し、導入時の検討項目を整理することは、WAF導入後の運用を円滑に進めるためにとても重要なことです。コストやスペックだけに着目し、製品・サービスの仕様を把握せずに導入してしまうと、運用を開始してから後悔することになる可能性もあります。

そこで、WAFの理解を手助けすることを目的として、IPAから『WAF 読本』が公開されています。『WAF 読本』では、WAFの概要や機能、導入のポイントなど「WAF」の基本について網羅的に解説されています。

また、補足資料として公開された『WAFの導入に向けた検討項目』では、提供形態からみた各WAF製品・サービスのメリットやデメリット、選択基準などが解説されており、ページ数はそれほど多くありませんが、WAFの導入を検討している場合や運用の見直しを検討する場合に役立つ内容となっています。

関連記事:WAF導入のポイント IPAの「Web Application Firewall 読本」を読み解く

WAFの種類

『WAFの導入に向けた検討項目』では、WAFを以下の3種類に大別し、それぞれの特徴が説明されています。

アプライアンス型

各組織のネットワーク内に専用の機器としてWAFを設置し、ウェブサーバへの通信をWAFに通過させることで検査する。仮想基盤向けの仮想アプライアンスとして提供される場合もある。

ソフトウェア型

各組織が運営するウェブサイトのウェブサーバに、ソフトウェアとしてWAFをインストールし、ウェブサーバへの通信内容を検査する。

サービス型

組織外に存在するWAFサービス提供者のサービスサーバを経由することで検査を行い、組織内のウェブサーバへ通信を中継する。組織内のウェブサーバにエージェントとなるソフトウェアをインストールし、組織外のWAFベンダのサービスサーバと連携して検査する方式も存在する。

引用:『Web Application Firewallの導入に向けた検討項目』(1.WAFの製品・サービスについて)

 

SQLインジェクション攻撃という言葉が知られるようになった2000年代半ば頃のWAFといえばアプライアンス型でしたが、オンプレや仮想基盤などの環境を問わず対応できることに加え、ホスティング事業者におけるWAFのニーズの高まりからソフトウェア型のWAFも広く採用されるようになりました。そして現在では、運用管理を含めたサービスとしてWAFを利用することができるサービス型があり、WAFの利用者は複数の製品・サービスから自組織に合ったWAFを選択できるようになっています。大切なのは製品・サービスの機能だけでなく、Webサイトの環境や運用方針に合ったWAFを選択することです。

WAFの選択基準

『WAFの導入に向けた検討項目』では、WAFの選択基準を以下の3つに分け、導入までにかかるコストや運用開始後のコスト、設定の柔軟性について、それぞれのメリット・デメリットに着目しながら解説されています。

①運用開始までの期間と導入に必要な費用

②WAFの設定自由度

③導入後の運用業務

以下に各選択基準で比較されているポイントを示します。

①運用開始までの期間と導入に必要な費用

WAFの導入に際し生じる費用、WAFの導入に向けて実施する作業についての比較です。

  • 初期費用や構築にかかるコストについては、一般的に専用ハードウェが必要となるアプライアンス型が高価となる傾向がある。
  • 保護対象のWebサーバーの台数や通信量などによって、ソフトウェア型、サービス型の費用も変動する。
  • サービス型が安価であり、ソフトウェア型、アプライアンス型の順にコストが高くなっていくと考えられるが、費用が変動する要素があるため一概に高低を論じることはできない。

②WAFの設定自由度

WAFをネットワーク上のどこに設置できるか、検査対象や遮断対象とする通信の選択・設定の自由度に関する比較です。

  • WAFの設置場所の自由度については、サービス型が低いとされているが、各製品・サービスの提供形態によるものである。
  • サービス型のWAFの設定自由度は、サービス仕様に依存する。
  • WAFの設定自由度は、利用者による独自設定を可能とした設計になっているソフトウェア型とアプライアンス型の方が高い。

③導入後の運用業務

日々の動作確認や障害対応など、WAFの運用開始後に実施する作業についての比較です。

  • 日々の検出状況の確認や障害時の対応など、利用者自ら対応することが前提となっているアプライアンス型、ソフトウェア型の負荷が高い。
  • サービス型の場合、故障時などの対応を含めてWAF提供事業者の範囲で実施されるため負荷が低い。ただし、サービス提供事業者の通信障害など、利用者では対処できない障害の影響を受ける可能性がある。
  • 運用負荷の軽減を図る場合の選択肢として、運用のアウトソーシング(ソフトウェア型、アプライアンス型の場合)がある。

いかがでしょうか?いくつかの要点を整理するだけでもWAF選択のポイントが見えてくると思います。

  • 専任の管理者が不在のため、設定や運用管理を全て任せたい -->サービス型
  • Webサーバーの台数は少ないが通信量が多く、バーチャルホストで設定したサイト毎に柔軟な設定を行う必要がある ーー>ソフトウェア型

一例となりますが、上記のようにWebサイトの特性や運用に合ったWAFを選択することができます。WAFに関する理解を深めたい、導入時の検討項目を整理したいとお考えの方は、ぜひ『WAF読本』と『WAFの導入に向けた検討項目』の内容を参考にしてください。

WAFとは ~ SiteGuardシリーズが選ばれる理由 ~

SITEGUARD
ジェイピー・セキュアソフトウェアライセンス価格表

RELATED POST関連記事


RECENT POST「技術動向」の最新記事


IPA「Web Application Firewallの導入に向けた検討項目」の解説
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング

TOPIC トピック一覧