1. HOME
  2. Blog
  3. Blog
  4. 【コラム】WAFの種類と、クラウド型WAFが選ばれる理由

Info.

お知らせ

Blog

【コラム】WAFの種類と、クラウド型WAFが選ばれる理由

Webアプリケーションの脆弱性を悪用したサイバー攻撃による情報漏えい事件が後を絶たないことから、WAF(Webアプリケーション・ファイアウォール)のニーズが高まっています。特に、クラウド型WAFを導入するケースが増えており、またアプライアンス型のWAFを対象に含めるMSS(マネージドセキュリティサービス)も増えています。WAFにはこのほか、ソフトウェア型があります。ここでは、WAFの種類と特徴について紹介します。

3種類の形態があるWAF

WAFには現在、ソフトウェア型、アプライアンス型、クラウド型の3種類があります。それぞれ、ソフトウェア、ハードウェア、サービスと言い換えることもできます。導入の観点では、ソフトウェア型とアプライアンス型は自組織に導入し、クラウド型はサービスを利用する形になります。運用においては、ソフトウェア型は基本的に自社運用、アプライアンス型は自社運用もしくはアウトソース、クラウド型はサービス提供者が行います。

IPA(独立行政法人 情報処理推進機構)セキュリティセンターが2019年3月28日に、「WAF読本補足資料『Web Application Firewallの導入に向けた検討項目』」を公開しています。この資料は、IPAが2011年に公開し改訂を続けている「Web Application Firewall 読本」の参考資料となるもので、WAFを導入する際の検討項目がまとめられています。この資料をベースに、それぞれのWAFについて詳しくみていきましょう。

サーバにインストールする「ソフトウェア型」

ソフトウェア型のWAFは、WebサーバにインストールするWAFの機能を持ったソフトウェアです。ソフトウェアには、サポートなどが利用できる有償の「商用ソフトウェア」と、ライセンスの範囲内なら無償の「オープンソースソフトウェア」があります。商用ソフトウェアはアプライアンス型よりは安価で、詳細なマニュアルが用意されていたり、サポートを利用できたりします。オープンソース版は正式なサポートが用意されていないことが多いですが、コミュニティが充実していることが多くなっています。

導入および設定においては、基本的にWebサーバにソフトウェアをインストールすることで導入できます。ネットワークの構成変更などが不要なことはメリットといえるでしょう。WAFの初期設定については、検査対象が自社のWebサーバに限定されるため、他のサーバや業務用端末などの通信に影響せず、自社の環境に合わせた設定が可能になります。一方で、検知設定には専門知識が必要となり、アップデートや誤検知への対応など運用開始後も設定の見直しが必要になります。また、検知に対する判断も運用者により確認が必要になります。

専用の物理・仮想ハードウェアを設置する「アプライアンス型」

アプライアンスとは専用の機能を持つ機器のことで、アプライアンス型WAFではWebサーバの通信経路にハードウェアを設置します。WAF専用に開発された機器ですので性能が高く、複数のラインアップが用意されているのでアクセス数に応じて機器を選ぶことができます。独立した機器のためWebサーバに負荷を与えることもありません。しかし、アプライアンス型はソフトウェア型と同様に、自社で製品を購入することになり、その価格は一般的に高価です。また、構成によっては設置の際にネットワーク構成を変更する必要がある場合もあるので、計画的な導入が求められます。

設定については、WAF専用の機器なので検知条件や検査対象に関する設定がしやすくなっています。ただし、ソフトウェア型と同様に検知設定に専門知識が必要で、アップデートや誤検知への対応など運用開始後も設定の見直しが必要になりますし、検知に対する判断が必要な場合もあります。また、海外製品の一部には設定画面やマニュアルが英語表示のままの製品もあります。この点においては、導入したSI会社がサポートしてくれることも多いようです。

Related posts