Edgio Blog

クラウド型WAFとは?そのメリットと、他のタイプとの比較を説明

近年ウェブサイトやウェブアプリを利用する機会が増え、それと同時に脆弱性を利用したサイバー攻撃も日々増えています。それに対応すべくWAF(Web Application Firewall)の導入を検討している企業も少なくありません。WAFの運用にはこれまで高価なハードウェアやソフトウェアとセキュリティに関する専門的な知識が必要でしたが、近年「クラウド型WAF」というサービスが登場しました。クラウド型WAFのメリットとはいったい何でしょうか。  

WAF(Web Application Firewall)とは

WAFのイメージ図 WAFとは、ウェブサイトやウェブアプリが持っている脆弱性に対する攻撃(クロスサイトスクリプティング、SQLインジェクション、ディレクトリトラバーサルなど)を検知できるセキュリティ対策サービスの1つで、おもにシグネチャ(不正な通信や攻撃のパターンをまとめたもの)をもとに不審な通信を検知・分析し、攻撃とみなせばすぐにその通信を遮断します。 サイバー攻撃への対策ソリューションとしては以前からIDS(Intrusion Detection System、侵入検知システム)やIPS(Intrusion Prevention System、侵入防御システム)、FW(ファイアウォール)がありますが、WAFはそれらとは異なるレイヤへの攻撃に対応するソリューションです。  

WAFには3つのタイプ、クラウド型WAFのメリットとは

WAFには「クラウド型」「アプライアンス型」「ソフトウェア型」の3つのタイプがあります。現在主流となっているクラウド型WAFは、以下の4つのメリットがあります。現在ではWAF単体のサービスだけでなく、パブリッククラウドサービスのメニューの1つとしてWAFが提供されることもあります。その場合も、メリットはクラウド型のWAFと同じです。  

初期費用を抑えられる

クラウド型WAFは新たにハードウェアやソフトウェアを購入する必要がなく、導入の際の初期費用を大幅に抑えることができます。また、サービスを利用しているだけですので、IT資産として管理する必要もありません。  

短期間で導入できる

クラウド型WAFは、利用開始までに時間を要しません。契約して設定を済ませてしまえば、すぐにWAFの機能を活用できます。  

運用管理にかかるリソースが不要

クラウド型WAF では、サービスのアップデートやシグネチャの更新など日々の運用管理を、WAFを提供するサービス事業者・セキュリティベンダーが担当します。そのため、社内にセキュリティ専門家のような人的リソースを必要としません。  

必要に応じて利用

クラウド型WAFは、Webサイトの増減に合わせて契約内容を変更したり、キャンペーン用特設Webサイトを運用している期間だけ利用したりなど、柔軟な選択が可能です。  

その他のWAFのメリット・デメリットとは

WAFには、クラウド型以外にも「アプライアンス型」「ソフトウェア型」の2つがあります。どちらもクラウド型WAFが登場する前から存在する製品で、導入や運用にはセキュリティに関する高い専門知識を必要とします。  

アプライアンス型WAF

アプライアンス型WAFは、外部ネットワークとウェブサーバーの間に配置するハードウェア機器です。アプライアンス型WAFは自社で管理できることがメリットとなります。すでに自社で大規模なサーバーリソースを運用管理しているのであれば、アプライアンス型の方が結果的に低コストになることもあります。 一方で、比較的高額な製品が多いこと、購入だけでなく保守契約が必要なこと、セキュリティ専門家のような高い専門性を持つ管理者が必要になること、レンタルサーバーなど他社のサービスを使用している場合には使えないことがデメリットです。  

ソフトウェア型WAF

ウェブサーバーにインストールして使用するタイプのWAFです。既存のハードウェア・ネットワーク構成を変更せずに利用できること、アプライアンス型WAFと同様自社で管理できることがメリットとなります。また、クラウド型ほどではありませんが、アプライアンス型WAFと比較すると安価に導入できます。 一方で、ウェブサーバーのリソースを使うことになるので、負荷が高くなるとウェブサイトやウェブアプリのパフォーマンスに影響を及ぼすことがあります。また、アプライアンス型と同様セキュリティ専門家のような高い専門性を持つ管理者が必要になります。  

まとめ

今回はクラウド型WAFのメリットについて説明しました。ウェブサイトやウェブアプリを利用する機会が増えている今、それらへの攻撃を防御するWAFの導入はもはや必須と言ってもよいでしょう。中でもクラウド型WAFは導入・運用の負荷が他の2つのタイプよりも格段に低く、高い柔軟性を備えています。 ただし、クラウド型WAFは運用管理を外部に任せてしまえる反面、その対応はWAFを提供するサービス事業者・セキュリティベンダーの質に依存することになります。また、サービスメニューの内容やそれにかかる料金(初期費用および月々の運用費用)はサービス事業者・セキュリティベンダーによってさまざまなので、不要なサービスを選択して無駄なコストがかかってしまうこともあります。導入を検討するときには、自社に必要なサービスの内容を事前にしっかり把握しておくと同時に、信頼のおけるサービス事業者・セキュリティベンダーを選択しましょう。