自社のWebページをサイバー攻撃から守るために、WAFを利用するのが有効です。ですが、どのWAFでも同じような効果が得られるというわけではありません。WAFの分類と、選び方を解説します。
WAFの主な分類
クラウド型
クラウド型は、インターネットサービスとして提供されているタイプのWAFです。ソフトウェアをインストールしたり、専用の機器を設置する必要はなく、DNSを切り替えたりすることで契約すればすぐ使うことができます。初期費用もかなり抑えられます。
運用やサービスの仕様を事業者に任せることになるため、個別設定や柔軟な運用ができないこともあります。
ホスト型
自社のWebサーバーやクラウド環境に配置されたWebサーバーに、ソフトウェアをインストールして使うタイプがホスト型のWAFです。ソフトをインストールするだけで使える手軽さがあるため、環境が整っていれば検討したいタイプです。
Webサーバーの台数が多いほど、ソフトウェアのライセンスを購入する必要があるため、使用する環境によってはコストがかなりかかることもあります。
ゲートウェイ型
Webサーバーに新しいネットワーク機器を用意し、専用のハードウェアにWAFを設置するタイプがゲートウェイ型です。Webサーバーを複数台運用している場合でも、Webサイトのセキュリティをしっかりと行うことができます。カスタマイズ性が高いため、柔軟な運用が可能です。
導入時に新しいサーバーや機器を設置しなくてはならないため、初期費用は高くなりがちです。
WAFの選び方
提供形態
WAFには3つの導入形態があります。それぞれにメリット・デメリットがあるため、慎重に決めるようにしましょう。形態を決めてからサービスを選ぶことになるので、まずはどの導入形態にするかどうかを決めましょう。導入後は簡単に変更することができません。費用はもちろんですが、自社にとってはどれが合うのかを決めましょう。
初期費用やランニングコスト
導入形態だけではなく、サービスによって導入コスト・運用コストは全く違います。WAFhaセキュリティのシステムなので、費用対効果が算出しづらいものです。そのため、予算を決め、コストを予算内に収めるようにしましょう。予算決定後は、候補となるサービスに見積もりを依頼しましょう。
自社サイトやサービスに適合するか
1番大切なのは、WAFが自社サイトやサービスに合っているかどうかです。Webサイトの環境・特性・運用方針に合うWAFの導入が重要です。例えば費用が安いという理由だけでWAFを選んでしまうと、Webサイトの環境とサービスの仕様が合わない、拡張したらコストが想定以上にかかってしまったということになりかねません。
防げる攻撃の種類や数
実は攻撃にはいくつもの種類があり、どんな攻撃にも対応できるWAFの選定を行わなくてはなりません。ハッキングや不正ログインなどのよくある攻撃は全て検知・防御ができるWAFがおすすめです。中にはセキュリティコミュニティである「OWASP」の脆弱性リストに対応しているものもあります。
拡張性や他システムとの連携
導入後の拡張性も選定ポイントです。Webサイトの運営はずっと一定の運営をしていくというわけではありません。拡張もすれば縮小もあり得ます。変化があった時に必要に応じてWAFを拡張・縮小し、コストを合わせられるサービスを選びましょう。
サポート体制
新しいシステムを導入・運用していくために重要なのが製品のサポート体制です。ベンダーが導入・運用をどれくらいサポートするのかによりセキュリティレベルや運用管理の質が違ってきます。ある程度サービスを絞ったら、サポート体制がどうなっているのかを確認しましょう。
導入実績
導入実績は自社に合うWAF選びの1つの指標になります。自社の環境に類似した企業が導入しているかどうかを確認することで、自社に合うかどうかを確かめることができます。
それに、実績あるWAFの場合は、攻撃パターンであるシグネチャがきちんと更新されており、検知するAIの制度も高くなっています。
おすすめのWAFサービス
WAFの必要性
WEBサイトやアプリの普及
元々Webサイトは普及していましたが、新型コロナウイルスの影響によりオンラインショップやインターネットバンキングなどのWebアプリケーションを利用する場面が増えました。利用する人が増えたことから、Webアプリケーションへの攻撃による情報漏洩も増えているのです。
脆弱なWEBサイトを狙った攻撃の増加
Webアプリケーションはどんどん高度化・複雑化してきています。しかし、現在は問題なくても、他のシステムと連動することによってセキュリティが脆弱となってしまい、攻撃を受けてしまうこともあるのです。Webアプリの脆弱性の対処のためにも、WAFの導入が必要なのです。
WAFで失敗しないためには、様々な面からの比較が必要
自社に合うWAFを選び、失敗しないためには、コストや防御性、サポート体制など様々な面から比較することが重要です。ポイントをクリアしたWAFを導入し、無理のない運用を叶えましょう。