クラウド型WAFとは?メリットや従来型との違いについて解説

 2020.07.28  2022.09.12

最近ではネットサービスが急速に増え、利用者が多くなる一方で、サイバー攻撃の被害も増えています。そこでサイバー攻撃への対策として生まれたのがWAF(ワフ)です。WAFとは、インターネットを安全かつ快適に利用するために、今や必要不可欠な存在です。現在はクラウドサービスの1つとして利用することが可能で、セキュリティ対策として気軽に導入できるようになりました。

ここではクラウド型WAFのメリットや、従来型のWAFとの違いについて詳しく解説します。

WAFの概要について

そもそもWAFとはどのようなものなのでしょうか?はじめに WAFの仕組みや概要について詳しく解説します。

WAFとは?

WAF(ワフ)とは、「Web Application Firewall」の略で、Webサイトをサイバー攻撃から保護するセキュリティ対策のことです。主に個人情報や端末への不正ログインを防ぐ役割で使用されています。

攻撃者はWebサイトやWebアプリケーションの脆弱性を利用したサイバー攻撃を行います。これに対し、ユーザーとWebサーバーの間にWAFを設置することで、Webサイトに対する通信を解析・検査し、不正な文字列が含まれているかを判断します。正常なリクエストのみが送信、不正があればただちにブロックされ、サイバー攻撃からWebサイトを保護するという仕組みです。

いくつかのセキュリティ対策サービスがある中、現在はWAFが主流となりつつあります。ただし、セキュリティ対策サービスによってそれぞれ役割が異なるため注意が必要です。

WAFの必要性

現代では、ショッピングやゲーム、SNSなど、ネットを利用したサービスが充実しています。しかしWebが、誰もがアクセスできる便利なツールであるということは、同時に攻撃者もアクセスできることを意味しているため、誰もがサイバー攻撃を受けてしまう対象となっているのです。

現にサイバー攻撃の事例も年々増えており、ECサイトから利用者のクレジットカード情報が漏洩する、複数のコンピュータから大量のリクエストが届いてサービスが運営できなくなる、パラメータにOSコマンドを挿入されPCが遠隔操作される、といった事例も発表されています。

こういった悪質なサイバー攻撃から保護するものとして、WAFが注目されています。

Webアプリケーションの脆弱性をなくすことが一番ですが、さまざまなWebアプリケーションは人の手で作られている上、定期的な更新や改修により新たな脆弱性が発生することもあるため、脆弱性自体を完全になくすというのは非常に難しいでしょう。だからこそWAFのように通信を監視し、解析・対応するセキュリティサービスが必要となるのです。

最近はクラウド型WAFが主流

WAFでは、もともとハードウェアを用意しなければいけないアプライアンス型WAFやソフトウェア型WAFが主流でした。しかし、現在ではクラウド上で同じ機能を使用できるクラウド型WAFが主流となっています。

従来のWAFでは複雑な作業をこなす必要があり、WAFの導入により作業負荷が増えてしまうといったリスクがありました。また、機器購入の必要もあり、WAFの導入を検討しなくなった企業が増える中、より手軽にWAFを利用できるようにと誕生したのがクラウド型のWAFでした。

クラウド型のWAFは導入・使用へのハードルも低く扱いやすいため、これからWebセキュリティ対策を行う企業にとっても導入しやすいでしょう。

企業が今取り組むべき"ゼロトラスト"のはじめかた
できることから考える-PPAPの現状と代替案について-

従来型WAFの問題点

アプライアンス型WAFやソフトウェア型WAFといった従来のWAFにはさまざまな問題点が挙げられていました。どのようなことが問題であったのかを詳しくご紹介します。

導入費用が高い

従来のWAFは導入するためにハードウェアを用意する必要がありました。さらに年間のサポート費用がかかるため、初期費用と合わせると数百万円以上かかることもありました。

また、WAFの導入作業は極めて難しく、エンジニアによる運用が必要となるため、企業にエンジニアが在籍していない場合はエンジニアを起用しなければならず、新たな人的コストが発生してしまいます。

このような導入費用の高さから、WAFの導入を見送った企業はかなり多いでしょう。

導入や撤去の際に時間がかかる

WAFを導入または撤去するにはサーバーやネットワーク設定といった複雑な作業が必要なため、時間がかかっていました。また、導入・撤去作業中はWebサイトが提供するサービスを停止することになり、作業時間が長引くにつれサービス停止時間も増えるため、Webサービスを主流とした企業にとっては大きなダメージを受けてしまう可能性がありました。

このようにWAFの導入・撤去作業はスピーディーな対応が難しく、短期間の利用が検討しづらいことから、WAFの必要性は理解していても気軽に導入ができないものとして認識されていました。

専属のセキュリティエンジニアが必要

従来のWAFを導入する際には、初期設定や設定変更、またホワイトリスト型防御機能を使用する際の作業が発生するため、WAFに対応した専属のエンジニアが必要でした。

また、ホワイトリスト型の防御機能を使用する際や、アプリケーションの改修を行うたびに高度なチューニング作業が必要とされました。問題点を意識した上で安定した運用を行うためにも、専属のセキュリティエンジニアの存在は欠かせません。

こういったことから、企業内に専属のエンジニアがいない場合は、WAFの導入が極めて難しかったと考えられます。

クラウド型WAFのメリット

従来のWAFに対し、クラウド型は利便性の高さが注目されています。続いてはクラウド型WAFのメリットについて解説します。

社内の労力や費用負担が少ない

クラウド型WAFの場合、WAFの運用はベンダー側が行うため、企業側で専門のエンジニアを用意する必要がなく、WAFに関する特殊な知識を習得しなくてもWAFが導入できます。これによりエンジニアにとっての作業負荷もなく、社内の労力を大幅に抑えることができるでしょう。

また、従来のWAFでは初期費用の高さが懸念されていましたが、クラウド型WAFではインフラ調達が不要となるため初期費用も抑えやすく、選定するWAFによっては数万円代から導入可能です。

さらに専門エンジニアが不要となるため、人件費もカットでき、従来のWAFを利用するよりも大幅に費用負担が少なくなります。費用面やエンジニア不足からWAFの導入を検討しなかった企業にとって、こういったメリットは大きな魅力でしょう。

導入や運営上の対応がスピーディー

従来のWAFでは機器購入からネットワーク構築まで複雑な作業が必要となり、時間がかかる上、プログラミングの知識やエンジニアの導入が必要不可欠でした。一方、クラウド型のWAFではインフラの用意が必要ないため、申し込みから最短3日程度で導入作業が完了します。また、サイバー攻撃にもスピーディーに対応でき、自らWAFを運用するよりも安全かつ簡単に利用できます。

なお、クラウド型WAFの中には月単位で契約できるものもあり、短期間の導入を目的としたスポット利用も可能になるなど、運営方法に合わせてWAFを導入でき、従来のWAFよりもスピーディーかつ気軽にWAFを利用できます。

ゼロトラストネットワークの起点となるアクセス管理と現実解としての「IDaaS」とは

社外ネットワークを考慮したゼロトラストが注目されている中でID管理をクラウド上で行うIDaaSが脚光を浴びています。セキュリティ面や利便性向上にも寄与するIDaaSについての基礎知識を紹介しています。

ゼロトラストネットワークの起点となるアクセス管理と現実解としての「IDaaS」とは

ブログ記事を見る

まとめ

ネットサービスがさらなる発展を続けていく中、Webアプリケーションの脆弱性を利用したサイバー攻撃が増える可能性も大きく、今後のネットサービスにおいて、WAFの導入は必要不可欠といえるでしょう。

また、万が一脆弱性を攻撃された場合でも企業が抱える大切な機密情報や個人情報を守るべく、二要素認証によって不正アクセスを防ぐ企業が増加しています。HENNGE Oneを始めとするIAM(アイデンティティ&アクセス管理)サービスはデバイス証明書やワンタイムパスワードなど豊富な二要素認証機能を備えています。クラウド型のWAFを利用する際のさらなるセキュリティ対策として、活用してみてはいかがでしょうか。

HENNGE One 導入事例

RECENT POST「セキュリティ動向」の最新記事


セキュリティ動向

Azure ADで利用できる”セキュリティの規定値群(セキュリティデフォルト)”とは〜IDaaSとの差異を解説〜

セキュリティ動向

Google Workspace(旧 G Suite)のセキュリティ対策とは?

セキュリティ動向

Microsoft Teamsの利用で考慮すべきセキュリティ対策とは?

セキュリティ動向

VPNでセキュリティ対策は万全か?その役割と弱点とは?

クラウド型WAFとは?メリットや従来型との違いについて解説
CTA

RECENT POST 最新記事

CTA

RANKING人気記事ランキング