WAFの種類とその特徴

 2016.12.02 Secure Enterpriseポータル

WAF(Web Application Firewall)には“アプライアンス型”“ソフトウェア型”、そして“クラウド型”といった3つの種類があり、それぞれに特徴やメリットデメリットなどが異なります。

今後WAFを導入する企業は、まずセキュリティにおける自社環境や現状課題を踏まえた上で、いずれか1つの導入形態を選ぶ必要があります。

ちなみに適切な導入形態を選択することが、Webサーバ/Webアプリケーションを様々なサイバー攻撃から保護する、堅牢なセキュリティ環境構築の“第一歩”だと言えるでしょう。

今回は3種類それぞれの特徴、メリットデメリット、そして気になる費用感まで紹介します。

専用ハードウェアを設置する“アプライアンス型”

セキュリティベンダーが提供するWAF専用ハードウェア、あるいはソフトウェアを汎用サーバにインストールしネットワーク上に設置するのがアプライアンス型です。その特徴から“ハードウェア型”“ゲートウェイ型”とも呼ばれます。

アプライアンス型のメリットデメリット

アプライアンス型のメリットは、専用ハードウェアを設置するため“Webサーバの台数や性能に依存しない”という点です。

台数に関係なくWebサーバ/Webアプリケーションを保護できるので、稼働台数が多い環境ではコストパフォーマンスが向上します。

また、Webサーバの性能に依存しないことで1台のハードウェアリソースを最大限に活用でき、可用性の高いWAF環境が構築できます。

デメリットとなるのはやはり“導入コスト/運用コストと運用管理”です。

専用ハードウェアや汎用サーバ自体非常に高価なものなので、必然的に導入コストが肥大化します。

また年間保守費用も安くはないので、運用管理にかかる人件費と合わせるとそれなりのコストがかかります。

導入時の初期設定や日々のハードウェア管理、更新対応やリスト調整などは基本的に社内管理者が行うので、業務負荷の増加は避けられません。

アプライアンス型の費用感

アプライアンス型の費用構成は主にソフトウェアライセンス費用、ハードウェア購入費、設置先費用(データセンター設置の場合)、初期設定費用、年間保守費用になります。

それぞれが高額になりがちなので、コストを押さえたとしても導入だけで数100万~1,000万円ほどはかかります。

ランニングコストに関しては年間保守費用などに加え、人件費まで計上すると100万円以上かかるのが相場です。

既存Webサーバへインストールする“ソフトウェア型”

セキュリティベンダーが提供するソフトウェアを既存Webサーバ、あるいは汎用サーバへインストールするのがソフトウェア型です。

アプライアンス型よりも低コストで導入出来るということで、導入した企業も多いかと思います。

ソフトウェア型のメリットデメリット

ソフトウェア型のメリットはアプライアンス型に比べ、“低コストかつ短期間で導入出来る”という点です。

既存Webサーバへインストールすれば新規にハードウェアを購入する必要がないので、必然的に低コストで導入できます。

また、ネットワーク構成の見直しが不要なので、比較的短期間での導入を目指すこともできます。

デメリットとしては、Webサーバを複数稼働している環境では“コストが肥大化する“という点と、“Webサーバの性能に影響される”という点でしょう。

ソフトウェア型はWebサーバごとにインストールする必要があるため、大規模な稼働環境ではアプライアンス型のコストを上回る可能性があります。

そして、既存Webサーバにインストールするため常にリソースを確認しつつ、パフォーマンスを管理することが必要です。

ソフトウェア型の費用感

ソフトウェア型の費用構成は主にソフトウェアライセンス費用、初期設定費用、年間保守費用になります。

ハードウェア購入費や設置先費用がない分導入コストを抑えることはできますが、ランニングコストに関してはアプライアンス型と“ほぼ変わらない”でしょう。

WAFをサービスとして導入する“クラウド型”

クラウド型とはWAFをサービスとして導入するタイプのWAFなので、専用ハードウェアや汎用サーバの設置も必要なければ、既存Webサーバへソフトウェアをインストールする必要もありません。

システムはWeb経由で提供されるためユーザー側で行う導入作業は“DNS設定の変更のみ”です。

クラウド型のメリットデメリット

クラウド型の主なメリットは“低コストでの導入”、“導入期間の超短期化”、 “運用管理の効率化”になります。

まず専用ハードウェアやソフトウェアの購入は必要なく、数万~十数万の初期費用のみで導入出来るので、最も低コストで導入出来るタイプです。

超短期間での導入に関しても、導入作業はDNS設定の変更のみという特徴で容易に想像できるかと思います。

そしてWAFの運用管理に関してはセキュリティベンダーが一任しているので、ユーザー側は手放しで日々WAFによるセキュリティ環境を構築できるのです。

デメリットとしては“製品性能がセキュリティベンダーに左右される“点と、“環境によってはランニングコストが割高になる”という点です。

WAF自体の性能は検知精度が良くも悪くもセキュリティベンダーに依存するため、慎重な製品選定が導入成功の鍵となります。

また、基本的にFQDN(Webサイト/Webサービス)数に応じて月額/年額ベースで料金が固定するので、環境によってはアプライアンス型やソフトウェア型のランニングコストを上回ります。

クラウド型の費用感

クラウド型の費用構成は初期費用、月額/年額使用料、その他オプション費用です。イメージしづらいという方も多いかと思いますので、以下に「シマンテック クラウド型WAF」の費用例を紹介します。

FQDN(Webサイト/Webサービス)数が3つある場合

クラウド型WAFのコスト

※「シマンテック クラウド型WAF」の料金は年額ベースで固定します 

上記の例では2年目以降、初期費用の98,000円を引いた料金が毎年のランニングコストになります。

同環境におけるアプライアンス型とソフトウェア型のランニングコストは、恐らく“ほぼ同額”だと言っていいでしょう。

ただし、“クラウド型は運用管理が不要”ですので、その分メリットが大きいという特徴があります。

月次レポートがシマンテックから提出されるという点も、クラウド型が評価されるポイントです。

参考:「シマンテック クラウド型WAF 料金体系

まとめ

いかがでしょうか?今回はWAF3つの種類における特徴やメリットデメリット、費用感を紹介しましたが、大切なのはあくまで“総合的観点から自社に最適な導入形態を選ぶこと”です。

例えばメリットの多いクラウド型ですが、デメリットにも確実に目を向けて費用対効果をしっかりと算出した上で、導入の可否を決定していただきたいと思います。

検討期間に余裕を持ち、慎重に導入プロジェクトを進めていくことで堅牢なWAFセキュリティ環境を構築していきましょう。