クラウド型WAFのメリット、デメリットとは

 2016.12.01  Secure Enterprise編集部

ここ数年で企業のWebサイト保有率は劇的に増加し、それに伴いWebアプリケーションの脆弱性を狙ったサイバー攻撃も急増しています。 

2015年度前四半期(20154月~20163)を通したWebサイト改ざんのインシデント件数は3,335

一方、2016年度第2四半期(20164月~9)までのインシデント件数は1,619であり、このままの推移で発生し続けると前年度と同様か、あるいはそれ以上のインシデント件数となる見込みです。

こうした日々深刻化するWebサイト・Webサービスへの脅威に対して、有効的な対策を取れるセキュリティ製品はWAF(Web Application Firewall)であり、IPS/IDS(不正通信防御/検知システム)やファイアウォールでは防御し切れない通信レイヤまで保護できます。

ただ、このWAFがセキュリティ製品として一般化したのは最近のことであり、まだ種類ごとの特徴を理解していないという方は多いでしょう。

そこで今回はアプライアンス型WAF”ソフトウェア型WAF”、そしてクラウド型WAF”という3つの種類に焦点を当て、それぞれのメリット、デメリットについて解説していきます。

※一般社団法人JPCERTコーディネーションセンターが発表したセキュリティインシデントに関する四半期レポートの累計値

WAFの種類

まずは各種類の特徴について解説していきます。 

アプライアンス型WAF(ハードウェア)

アプライアンス型WAFとは既存ネットワーク上に専用ハードウェアを設置し、Webサーバの台数や環境に左右されない形でWAFを構築できます。また、汎用サーバ上にインストールして利用するタイプも存在します。

ソフトウェア型WAF

既存Webサーバにインストールして構築するタイプのWAFです。専用ハードウェアや汎用サーバの設置が不要なため、アプライアンス型WAFと比較して安価に導入出来るという特徴を持ち登場しました。

クラウド型WAF

専用ハードウェアや汎用サーバの設置、あるいは既存Webサーバへのインストールも不要であり、インターネットを経由してWAFサービスとして利用することができます。他に“SaaS“ASPという呼び方もありますが、いずれも提供するサービスは同じです。

インターネット経由で利用するという特性から、アプライアンス型WAFやソフトウェア型WAFにはない多くのメリットを持ち合わせています。

それぞれのメリット

次に各種類のWAFが持つメリットを解説していきます。 

アプライアンス型WAFのメリット

アプライアンス型WAFが持つ最大のメリットは、やはりWebサーバ台数や既存環境に影響されないWAFを構築できるという点です。

例えばソフトウェア型WAFの場合、Webサーバ台数が多いとその分ソフトウェアを導入する必要があるのでコストが肥大化する傾向にあります。

また、Webサーバの性能にも大きく左右されるので、複数台のWebサーバを稼働している場合は環境にバラツキが生じてしまいます。

対してアプライアンス型はWebサーバ台数や既存環境に影響されないので、Webサーバ台数が多い場合はコストパフォーマンスが良く、かつ堅牢なWAF環境を構築可能です。

ソフトウェア型WAFのメリット

ソフトウェア型WAFは少ないWebサーバを稼働している環境でメリットを発揮します。基本的に製品自体はアプライアンス型WAFよりも安価で提供されているため、導入コストを抑えてWAF環境を構築可能です。

また、既存Webサーバにインストールするという特性からネットワーク構成を見直す必要がなく、導入期間を短縮化できるというメリットもあります。 

クラウド型WAFのメリット

クラウド型WAFには安価で導入出来る超短期間での導入、さらに運用管理が不要という3つの大きなメリットがあります。

専用ハードウェアも汎用サーバも、ソフトウェアの購入も必要なく、基本的に月額(あるいは年額)ベースでサービスが提供されるため、導入コストを大幅に抑えることができます。

導入に際し必要な作業はユーザー側でDNS設定を変更するだけなので、かなり短期間での導入が可能です。

また、システムの運用管理はベンダーが一任しているので、ユーザー側で行う業務はなく、業務効率化はもちろんそれに伴うランニングコスト削減も可能なのでトータル的に安価で利用することができます。

それぞれのデメリット

最後に、各種類のWAFが持つデメリットを解説していきます。 

アプライアンス型WAFのデメリット

専用ハードウェアや汎用サーバを設置しなければならないため、導入コストが大きく負担になるケースが少なくありません。

また、導入時のネットワーク構成見直し、年間保守費用や運用管理が発生してしまうため、導入期間が長期化しランニングコストも管理者としての負担も大きくなります。

ソフトウェア型WAFのデメリット

ソフトウェア型WAFは防御対象となるWebサーバごとに製品をインストールする必要があるため、稼働しているWebサーバ台数が多いとコストが肥大化するというデメリットがあります。

また、年間保守費用や運用管理に関してはアプライアンス型WAF同様に必要なため、ランニングコストと管理者への負担が増大します。

クラウド型WAFのデメリット

クラウド型WAFが持つデメリットとは、サービス提供者によっては十分なセキュリティ性が確保できないという点です。

WAFとしての性能はサービス提供者の運用管理や製品自体に左右されやすいので、ユーザーは十分な検討を行った上で導入することが重要になります。

ただし、セキュリティベンダーとして信頼性の高い製品であれば、独自にアプライアンス型WAFやソフトウェア型WAFを運用するよりも、堅牢なセキュリティ環境を構築できるケースがあります。

種類ごとのメリットデメリット早見表

今回解説して各種類のWAFが持つ特徴や、メリットデメリットをまとめました。 

WAFが持つ特徴や、メリットデメリット 

まとめ

いかがでしょうか?今回アプライアンス型WAF、ソフトウェア型WAF、そしてクラウド型WAFという3つのWAFが持つ特徴やメリットデメリットをそれぞれ紹介してきました。

最終的に言えることは、現代のWebアプリケーションセキュリティにおいて主流となってきているのはクラウド型WAF”だということです。

2つの種類にはないメリットを多く備えている上に、柔軟性が高いWAF環境を構築できるというのが大きなポイントでしょう。

シマンテックが提供する「シマンテック クラウド型WAF」は、こうしたクラウド型WAFが持つメリットに加え、高いセキュリティ性で皆さんのWebサイト・Webサービスを様々なサイバー攻撃から効果的に保護します。

また、安価かつ柔軟な構成が可能ですので、小規模~大規模などあらゆるWebサーバ環境に対応可能です。

WAF賢い選び方ガイド

本ブログ記事は、セキュリティに関する一般的な内容を掲載しています。シマンテック クラウド型WAF製品はウェブの情報漏えい対策に有効なソリューションですが、すべてのサイバー攻撃に対応できるものではありません。シマンテック クラウド型WAF製品についてご不明な点がございましたら、こちらのお問い合わせフォームよりご連絡ください。

RECOMMEND関連記事


RECENT POST「導入検討」の最新記事


この記事が気に入ったらいいねしよう!
WAF賢い選び方ガイド