今回比較するのは、クラウド型WAF、オンプレミス型WAF、そしてSOCサービスを提供しているWAF(ウェブアプリケーションファイアウォール)の全8製品です。
Webサイトセキュリティの重要性が増すごとに需要が伸びてきたWAFですが、その導入形態は多様化しています。近年ではWAF設計から運用、監視までワンストップで行うSOCサービスも登場し、市場が活発化しています。
そこで選定が難しくなりつつあるWAFにおいて、主要製品の特長をまとめてみました。今後のWAF導入検討において、ぜひご活用ください。
クラウド型WAF
シマンテック クラウド型WAF
シマンテック クラウド型WAFは高頻度に更新されるシグネチャ(攻撃パターンが定義されたファイル)を中心に、高いセキュリティ性を維持しているWAF製品です。
シグネチャの更新頻度は年間100回以上行われ、未知の脆弱性が発生した際も迅速に対処します。
ブラックリスト方式を採用することの多いクラウド型WAFでは、既存の脆弱性を保護することはできるが未知の脆弱性に弱いという難点がありました。しかしシマンテック クラウド型WAFではこの難点をカバーし、未知の脆弱性に対しても効果を発揮します。
また、企業側はシステム運用が不要なだけでなく、脅威レポートやSSLサーバ認証など様々なサービスを受けることができ、企業のWAF運用を強力にサポートします。
Cloudbric
クレジットカード情報取扱いにおける、世界基準のPCI DSSにも対応しているWAF製品であり、クレジットカード情報を取り扱うECサイトなどで導入が進んでいます。自社サイトに対して実行されているサイバー攻撃をリアルタイムで可視化できるため、現状を把握しやすいという特徴があります。
https://www.pentasecurity.co.jp/
攻撃遮断くん
業界初のサイバー保険を提供しているWAF製品です。サイバー保険とは、攻撃遮断くんを利用している企業を対象に、サイバー攻撃により実害が発生した際に損害の一部を補償するという保険です。補償金額は最大1,000万円と厚いため、利用する価値はあります。
WAFとしては基本的な機能を備えているという印象で、目立った機能などはありません。
オンプレミス型WAF
SiteGuard
国産WAFとして広く普及しているSiteGuardは、2つの導入タイプを提供しています。
一つは専用ハードウェアをWebサーバの前面に設置するゲートウェイ型。そしてもう一つは既存Webサーバにインストールするホスト型です。
SiteGuardの特徴はCookie保護機能によりユーザーへ送信するCookie情報を暗号化、ユーザーから送付されたCookie情報を復号することで、なりすましなどのサイバー攻撃に有効的な点です。
基本は自社運営としてWAFを構築していきますが、オプションで企業の環境に合わせたホワイトリスト作成サービスを提供しているので、運用負荷をある程度低減できるというメリットがあります。
https://www.jp-secure.com/product/
SecureSphere Web Application Firewall
SecureSphere Web Application Firewall最大の特徴は「仮想パッチ」を適用できるという点です。Webアプリケーションの脆弱性を発見したものの、即座に対応できないという状況は珍しくありません。
しかし、何週間も何カ月も脆弱性を晒したまま運用するのは非常に危険であるため、仮想パッチにより暫定的な対処を取ることで余裕を持った脆弱性対応が行えます。
また、グラフィカルな脅威レポート機能を利用することで、ユーザーはセキュリティ状況を把握することができます。
www.imperva.jp/Products/WebApplicationFirewall
Barracuda WAF
環境に合わせて複数の構成を選べるWAF製品で、低価格帯で提供されていることから人気の高いWAF製品です。
もう一つの特徴は物理アプライアンスに加えて、仮想アプライアンスのWAFを提供しているという点です。仮想化環境が進む企業において高いメリットがあり、コストを抑えつつWAFを導入することができます。
www.barracuda.co.jp/products/waf
SOCを提供しているWAF
WAF管理サービス for AWS
NRIセキュアテクノロジーズによって提供されている同サービスは、SecureSphere Web Application Firewallを利用してSOCを提供しています。
WAFの設計から運用、監視までをワンストップサービスとして提供しており、システムを24時間365日監視してくれます。また、サービス名通りにAWS上で稼働するWAFを提供しているので、WebサーバとしてAWSを使用していたり、インフラ設備を持ちたくないという企業にもメリットがあります。
https://www.nri-secure.co.jp/news/2015/0205.html
BIG-IP ASM
BIG-IP ASMはF5ネットワークスが提供するWAFです。同時に、「F5 SOCパートナープログラム」と呼ばれるSOCサービスを提供しています。
SOCサービス特有の24時間365日体制でのセキュリティ監視はもちろんのこと、セキュリティパートナーからWAF導入に関する提案を受けることもできます。オンプレミスとしてWAFを導入したいが、WAF運用のノウハウを持っていないという企業におすすめできるサービスです。
https://f5.com/jp/about-us/news/press-releases/
WAFの正しい選び方
自社に最適なWAFを選ぶ上で大切なことは、まず自社Webサイトの現状を把握することです。脆弱性診断などを行いセキュリティリスクの有無を把握すれば、どのような特徴を持つWAF製品を導入すべきかが見えてきます。
また、製品ごとのセキュリティ性にこだわることも重要です。
どれほど運用が楽なWAF製品であったとしても、セキュリティ性が低くサイバー攻撃を許してしまうようであれば意味がありません。
特にクラウド型WAFはセキュリティベンダーによってセキュリティ性の高さが大きく左右されるので、十分注意した上で選定に臨みましょう。
最後はトライアルを確実に利用し、実際のセキュリティ性やシステムの使用感を確認することです。WAF製品のセキュリティ性は外見だけでは判断できないことが多いため、必ず導入前に試用してみましょう。
まとめ
いかがでしょうか?今回紹介した主要8製品にも様々なWAFやSOCサービスが存在します。自社にとって最適なWAF製品を選ぶことは容易ではありませんが、Webサイトを確実に保護していくためにも慎重な検討を行っていただきたいと思います。
本ブログ記事は、セキュリティに関する一般的な内容を掲載しています。シマンテック クラウド型WAF製品はウェブの情報漏えい対策に有効なソリューションですが、すべてのサイバー攻撃に対応できるものではありません。シマンテック クラウド型WAF製品についてご不明な点がございましたら、こちらのお問い合わせフォームよりご連絡ください。