サイバー犯罪から身を守ってくれるWAFの概要
インターネット・デジタル上に存在する個人情報やデータを狙うサイバー犯罪は年々その数を増してきており、手口も多様化しつつあります。
同時にサイバーセキュリティへの意識や技術も日ごとに向上しており、悪質化するサイバー犯罪にも未然に防げるテクノロジーが身近になってきています。
これから紹介するWAFもそんなサイバーセキュリティ技術の一環で、これまでのファイアーウォールよりも優れたセキュリティ能力を発揮するということで注目が集まっています。加えて最近ではクラウドコンピューティングを活用した導入もできるということで、大企業だけでなく中小企業や個人でもレベルの高いセキュリティシステムを採用できるほど身近になっていることも無視できません。
今回はそんなWAFについての概要や、これまでのセキュリティとの違い、そして主要なWAFのサービスについてご紹介します。
ファイアウォールの設置場所にもいくつか種類があります。
中でも3番目の方法が現在最もポピュラーな手段です。
しかし従来のファイアウォールを用いたこういった施策には限界があり、一見すると通常のアクセスを装っている悪意のあるアクセスには対応できないといった問題も抱えていました。
いわゆるWebアプリケーションの情報のやり取りは、たとえ中身にどれだけ問題があったとしてもそれを感知することはできなかったのです。
WAFはそういったWebアプリケーションに対する脆弱性を補強したファイアウォールで、それらのアプリケーションも監視することを可能にし、不正アクセスを未然に防ぐことができるというソフトなのです。
接続方法で良し悪しを判断していたのが、やり取りするデータの良し悪しで判断できるようになったセキュリティソフトがWAFというわけです。
メリットとしては、ネットワーク内のWebサーバーの数や性能に依存することなく安全性を確保することができるという点です。アプライアンス型は独立したハードウェアでWAFを動作させるので、Webサーバーの性能に依存することなく高いパフォーマンスのWAF環境を整えることができます。
Webサーバーに依存しない性格は、比較的規模の大きな企業に適した特性と言えそうです。
一方でデメリットとなるのはそのコストです。
ハードウェアごとWAFを用意するとなると、まずは導入のためのコストがかかってくるため、初期費用は高額になってしまいがちです。
加えて維持のためのコストも決して安くはなく、システム保守のための人員コストは免れない点と言えます。
WAFは大企業向きと言われていたのはコスト面でのハードルが主な原因で、初期に登場したのがこのアプライアンス型の導入方法しか存在しなかったためです。
現在では他にもサービスが存在するため、アプライアンス型のような高コストを避けることができるようになりました。
特徴としてはアプライアンス型とは違い、Webサーバーに直接WAFをインストールする点で、ハードウェアを新しく用意する必要がないため導入コストははるかに小さく抑えることが可能になります。
また、ネットワーク構成に与える影響も少ないため、アプライアンス型と比べて短期間での導入が行いやすいというのもメリットです。
デメリットとしてはWebサーバーへの負荷が大きくなること。そして規模の大きな環境となるとアプライアンス型を上回るコストが発生する可能性があるということです。
Webサーバー一台一台にWAFを導入すればそれだけ手間はかかりますから、リソースも含めてコスト面を気にする必要があると言えます。
ちなみに維持のためのコストに関してはアプライアンス型と変わらないことが多いようですので、ソフトウェア型は導入コストのみが大きく抑えられると考えておくのが良いでしょう。
クラウド型のメリットは何と言っても導入までの期間の短さと、導入コスト・維持コストの両方がはるかに小さく抑えられるという点です。
導入はプロバイダーからライセンスを購入し、DNSの設定を行うだけで完了というシンプルなものであるため、利用者はハードウェアやソフトウェアを購入したりといった手間を必要としません。
加えて維持のためのコストも基本的にはサービス提供者が行うため、利用者側で保守人員を用意する必要もなく、はるかに無駄の少ない業務を実現することができるサービスと言えます。
デメリットを挙げるとすれば、WAFのセキュリティ能力は完全に提供者側の裁量に委ねられてしまうことと、ライセンス料を支払い続けなければいけないために維持のためのコストが他のタイプよりも高くなってしまう可能性もあるということです。
しかしそれでも導入コストの安さやランニングコストを支払うだけでシステムを維持することができるということを踏まえれば、こういったデメリットはメリットに比べて小さいものとして考えることもできるでしょう。
こういった特性から、クラウド型は小規模事業に適したWAFと言えそうです。
同時にサイバーセキュリティへの意識や技術も日ごとに向上しており、悪質化するサイバー犯罪にも未然に防げるテクノロジーが身近になってきています。
これから紹介するWAFもそんなサイバーセキュリティ技術の一環で、これまでのファイアーウォールよりも優れたセキュリティ能力を発揮するということで注目が集まっています。加えて最近ではクラウドコンピューティングを活用した導入もできるということで、大企業だけでなく中小企業や個人でもレベルの高いセキュリティシステムを採用できるほど身近になっていることも無視できません。
今回はそんなWAFについての概要や、これまでのセキュリティとの違い、そして主要なWAFのサービスについてご紹介します。
- 従来のファイアウォールとの違い
- 三種類のWAF
- クラウド型WAFがポピュラーに
WAFとは
WAF(読み方はワフ)とはWeb Application Firewallの略称で、外部からの信頼性に問題のあるネットワークの接続を遮断するためのソフトウェアです。
従来のファイアウォールとの違い
WAFは名称にも含まれている通り、カテゴリとしてはファイアウォールの一種です。 ファイアウォールは信頼できるネットワークとそうでないネットワーク(第三者のネットワーク)とのパケットのやり取りを管理し、ユーザーが独自に設定したルールに基づいてパケットを判別して不正アクセスを取り締まります。ファイアウォールの設置場所にもいくつか種類があります。
- 公開サーバーと信頼できるネットワークを全て内側に設置するもの
- 信頼できるネットワークのみを内側に置くもの
- ファイアウォールを公開サーバーと信頼できるネットワークの中間に設置し、それぞれを別個に外部の不正アクセスから守る手段
中でも3番目の方法が現在最もポピュラーな手段です。
しかし従来のファイアウォールを用いたこういった施策には限界があり、一見すると通常のアクセスを装っている悪意のあるアクセスには対応できないといった問題も抱えていました。
いわゆるWebアプリケーションの情報のやり取りは、たとえ中身にどれだけ問題があったとしてもそれを感知することはできなかったのです。
WAFはそういったWebアプリケーションに対する脆弱性を補強したファイアウォールで、それらのアプリケーションも監視することを可能にし、不正アクセスを未然に防ぐことができるというソフトなのです。
詳細な判断が可能になったファイアウォール
Webアプリケーションもまたセキュリティ対策をきちんと行なっていなければ、悪意のあるユーザーによって不正に改ざんされ、運営側の知らない間に不正アクセスに加担してしまうケースもありましたが、WAFはこのようなトリッキーな自体にも対応できるようになりました。 そのため、たとえWebアプリケーション自体にセキュリティ上の問題があったとしても、WAFが問題のあるアプリケーションは全て未然に弾いてくれるようになったのです。接続方法で良し悪しを判断していたのが、やり取りするデータの良し悪しで判断できるようになったセキュリティソフトがWAFというわけです。
WAFの種類について
WAFにもいくつか種類があり、それぞれ異なる特徴を持っています。アプライアンス型WAF
一つ目はアプライアンス型と呼ばれるWAFです。ハードウェア型とも言われるこのタイプは、WAFがインストールされた専用のハードウェアや、サーバーにインストールしてWAFをネットワーク上に設けます。メリットとしては、ネットワーク内のWebサーバーの数や性能に依存することなく安全性を確保することができるという点です。アプライアンス型は独立したハードウェアでWAFを動作させるので、Webサーバーの性能に依存することなく高いパフォーマンスのWAF環境を整えることができます。
Webサーバーに依存しない性格は、比較的規模の大きな企業に適した特性と言えそうです。一方でデメリットとなるのはそのコストです。
ハードウェアごとWAFを用意するとなると、まずは導入のためのコストがかかってくるため、初期費用は高額になってしまいがちです。
加えて維持のためのコストも決して安くはなく、システム保守のための人員コストは免れない点と言えます。
WAFは大企業向きと言われていたのはコスト面でのハードルが主な原因で、初期に登場したのがこのアプライアンス型の導入方法しか存在しなかったためです。
現在では他にもサービスが存在するため、アプライアンス型のような高コストを避けることができるようになりました。
ソフトウェア型WAF
アプライアンス型より小規模・低コストで導入できるということで次に注目を集めたのがこのソフトウェア型です。特徴としてはアプライアンス型とは違い、Webサーバーに直接WAFをインストールする点で、ハードウェアを新しく用意する必要がないため導入コストははるかに小さく抑えることが可能になります。
また、ネットワーク構成に与える影響も少ないため、アプライアンス型と比べて短期間での導入が行いやすいというのもメリットです。
デメリットとしてはWebサーバーへの負荷が大きくなること。そして規模の大きな環境となるとアプライアンス型を上回るコストが発生する可能性があるということです。Webサーバー一台一台にWAFを導入すればそれだけ手間はかかりますから、リソースも含めてコスト面を気にする必要があると言えます。
ちなみに維持のためのコストに関してはアプライアンス型と変わらないことが多いようですので、ソフトウェア型は導入コストのみが大きく抑えられると考えておくのが良いでしょう。
クラウド型WAF
3つ目がクラウド型WAFと呼ばれるタイプで、文字通りクラウドコンピューティングを活用したWAFの導入です。クラウド型のメリットは何と言っても導入までの期間の短さと、導入コスト・維持コストの両方がはるかに小さく抑えられるという点です。
導入はプロバイダーからライセンスを購入し、DNSの設定を行うだけで完了というシンプルなものであるため、利用者はハードウェアやソフトウェアを購入したりといった手間を必要としません。加えて維持のためのコストも基本的にはサービス提供者が行うため、利用者側で保守人員を用意する必要もなく、はるかに無駄の少ない業務を実現することができるサービスと言えます。
デメリットを挙げるとすれば、WAFのセキュリティ能力は完全に提供者側の裁量に委ねられてしまうことと、ライセンス料を支払い続けなければいけないために維持のためのコストが他のタイプよりも高くなってしまう可能性もあるということです。
しかしそれでも導入コストの安さやランニングコストを支払うだけでシステムを維持することができるということを踏まえれば、こういったデメリットはメリットに比べて小さいものとして考えることもできるでしょう。
こういった特性から、クラウド型は小規模事業に適したWAFと言えそうです。
主要なクラウド型WAFサービスについて
クラウド型WAFは個人レベルでも使うことのできるWAFということで注目を集めており、様々な企業からサービスが提供されています。シマンテック
ポピュラーなクラウド型WAFの一つで、DDoS攻撃などを含む24種以上の攻撃からネットワークを守ってくれる、頼れるクラウドサービスです。
公式サイト:https://www.symantec.com/ja/jp/page.jsp?id=waf-information-center
スキュータム
こちらはSaaS(クラウド)型WAFの中ではシェア率ナンバーワンを誇るというユーザーの多さが光るサービスで、その経験値の高さが魅力的です。
公式サイト:https://www.scutum.jp/
攻撃遮断君
攻撃遮断君は業界初となるサイバー攻撃補償を導入しているクラウドサービスです。万が一にファイアウォールを突破されても、データ損害分は補償してくれるのがポイントです。
公式サイト:https://www.shadan-kun.com/
まとめ
このように、WAFにもたくさんの種類がありますが、導入を検討している際は「導入理由」「導入の目的」を明確にしておくと、スムーズで失敗しないWAF選びを行うことができるでしょう。PR:ECサイト構築パッケージ「Orange EC」ではお客様にECサイト運営のノウハウをお伝えしています
