クラウド、オンプレ、自社運営、SOC、効果の高いWAF製品は?

 2017.05.18 Secure Enterpriseポータル

WAF(ウェブアプリケーションファイアウォール)の導入が益々活発化する中、導入形態に悩んでいる企業が増加しています。ただでさえ複雑化するシステム環境において、WAFによるWebサイト保護は新たな運用負担を生んでしまうためです。

しかしならが、Webサイトは現在最もサイバー攻撃を受けやすい部分でもあり、対応を急務として取り組むべき重要な課題でもあります。

ここではWAF導入の選択肢をクラウド、オンプレミス、自社運営、SOCの4つの分類して、それぞれの特徴を紹介していきます。自社環境に合わせた正しいWAF製品選択に向けて、参考にしていただければ幸いです。

クラウドとオンプレミスの違い

「クラウドかオンプレミスか?」という課題は、WAFに限らずあらゆるシステム導入において最初に発生する分岐点でしょう。

まずそれぞれの違いについて解説すると、クラウドはシステムをインターネット経由でサービスとして利用します。対してオンプレミスはサーバなどインフラを社内で整備し、自社独自に運用していくのが基本です。

WAFにおけるオンプレミスは、ゲートウェイ型とホスト型という2つのタイプが存在します。

ゲートウェイ型は専用ハードウェアやサーバをネットワーク上(Webサーバの前面)に設置し、物理的にWAF環境を構築するタイプです。一方ホスト型は既存WebサーバにWAFをインストールするタイプであり、どちらにしろ運用負担に大差ありません。

異なる点としては、ホスト型では専用ハードウェアなどが必要ない分、初期コストを抑えることができます。ただし、Webサーバ台数分WAFをインストールする必要があるので、大規模なWeb環境ではゲートウェイ型にコストメリットがあります。

そしてクラウド型で提供されているWAFは、クラウドサービスの例に漏れず低コストかつ短期間で導入できるのが特徴です。

専用ハードウェアやWebサーバへのソフトウェアインストールは不要で、最短1週間(シマンテック クラウド型WAF)でWAF環境を構築することができます。従って製品にかかるコスト、そして導入プロジェクトにかかるコストを最小化し、WAF導入の敷居を下げてくれます。

また、運用面に関する違いとしては、クラウド型WAFではセキュリティベンダーがシステム運用を行うため、企業側では運用負担が発生しません。定期的なログ確認のみで住んでいる企業も多く、人的リソースが不足しているような企業でも導入できます。

自社運営とSOCの違い

SOCという言葉を聞きなれていないという方は多いかと思います。これは「Security Operation Center(セキュリティオペレーションセンター)」の略称で、24時間365日休むことなく、ネットワークやハードウェアを監視してサイバー攻撃の検出と、対応策の提案を行う組織です。

ここ数年でSOCへの取り組みは一気に増加しました。その背景として以下のような理由が挙げられます。

従来のセキュリティ製品では多様なサイバー攻撃に耐えられない

標的型攻撃など24時間体制で警戒すべきサイバー攻撃が増加している

仮想化環境やモバイルデバイスなどの導入によりシステム環境が複雑化している

Webサイト保護などセキュリティ対象となる箇所が増加している

クラウド環境の利用など社内ネットワークが外部にまで及んでいる

 

こうした理由から、専門スタッフが常に監視を行うSOCの需要が増加しています。

では自社運営とSOC、さらに言えばクラウド型では最もメリットが高い導入形態はどれなのでしょうか?

シンプルに比較してみると、自社運営では運用の自由度が高い分負荷が大きくなります。人的リソースが不足していたり、そもそも専門知識を持ったセキュリティ技術者がいない企業では導入の選択肢から外れるでしょう。

ではSOCはどうかというと、高いセキュリティ性を維持するという面では有効的な導入形態です。しかし、ベンダーのセキュリティリテラシーによって品質が左右されることと、コストが大きくなるという課題もあります。

クラウド型WAFは運用、コストの面から見れば最もメリットの高い導入形態です。ただし、システムを運用するセキュリティベンダーによってセキュリティ性が左右されるので、サービス選定は慎重に進める必要があります。

総合的に見れば、やはりクラウド型が主流となっている理由が理解できるのではないでしょうか。多くの企業にとってイニシャルコスト、そして運用負担は最も重大な問題です。これらをカバーし高いセキュリティ性を維持できるサービスであれば、クラウド型が最もメリットの高いWAF導入形態だと言えます。

主要なWAF製品を紹介

ここでクラウド、オンプレミス、そしてSOCを提供している主要なWAF製品を3つ紹介したいと思います。

シマンテック クラウド型WAF

防御の基本はブラックリスト(予めて定義された複数の攻撃パターン)によるパターンマッチングで、シグネチャに該当する不正通信を遮断します。

ブラックリスト方式での不正通信検知では、未知の脆弱性に対してのセキュリティ性が弱いという見解もありますが、シマンテック クラウド型WAFでは年間100回以上のシグネチャ更新により、未知の脆弱性に対しても即座に対応します。

もちろん、更新は自動で行われるので、企業側で別途対応する必要はありません。

またシマンテック クラウド型WAFは、50サイトと80以上のWebサーバから成る環境へのWAF導入実績もあり、環境の規模を問わずWebサイトを総合的に保護することができるソリューションです。

SiteGuard

国産WAFとしても知られるSiteGuardは、ホスト型として既存Webサーバにインストールするタイプ、ゲートウェイ型として専用ハードウェアを設置する2つのタイプを提供しています。

基本的には自社運営でWAFを構築していきますが、オプションによってはベンダーが企業ごとにホワイトリストを作成するというサービスもあるので、運用負荷をある程度低減できるという特徴があります。

価格帯は一般的なオンプレミスWAFと同様であり、年間更新費用も発生するのでしっかりとコスト比較をした上で検討しましょう。

BIG-IP ASM

F5ネットワークスが提供するWAFであり、同時にF5 SOCパートナープログラムと呼ばれる、SOCサービスを提供しています。

同サービスを利用することでセキュリティパートナーからWAF導入に関する提案、24時間365日の監視体制といった様々な選択肢を得ることができ、WAF導入のノウハウがない企業でも選べる選択肢の一つです。

ただし、コストに関しては他のWAF製品に比べて大きくなるという特徴があるので、十分注意が必要です。また、セキュリティパートナーによって提供するサービスも異なるので、入念な確認を怠らないでください。

まとめ

WAF導入で重要なのは、全ての選択肢を総合的に判断し、自社セキュリティにマッチしたWAF製品を導入するということです。特定の導入形態のメリットばかりを見るのではなく、デメリットにもしっかりと目を向けた上で検討を行っていきましょう。

クラウド型として多くの企業に導入されている、シマンテック クラウド型WAFについて疑問やご質問はお気軽にお問い合わせください。