WAF製品の市場シェア

 2016.12.01 Secure Enterpriseポータル

SQLインジェクションクロスサイトスクリプティングといった、Webサイト/Webサービスに対する外部ネットワークからの脅威に対し、効果的なセキュリティ対策を講じれるのがWAF(Web Application Firewall)です

特定非営利活動法人JNSA(日本ネットワークセキュリティ協会)が取りまとめた調査によると、WAF製品は確実に市場を拡大しつつあるセキュリティ製品の一つであり、その重要性は年々高まっています。

特に、2013年~2014年にかけては前年比64.0%で成長しており、急激なニーズが見て取れます。

参考:「2014年度特定非営利活動法人

こうした市場拡大の背景には何があるのか?今回はWAF製品市場に焦点を当てつつ、主要プレイヤーの紹介などを行っていきます。

また最後には、シマンテックが提供する「シマンテック クラウド型WAF」の特徴についても紹介しますので、WAF製品導入検討にご活用ください。

WAF製品の市場価値はなぜ上がった?

データテクノロジー/企業セキュリティの最新動向を発信するWebメディア“EnterpriseZine”の一コンテンツでは、米調査会社ガートナーのWAF製品に対する評価が上がっている(約1年で辛辣な表から一変)という情報と共に、WAF製品市場が拡大している理由を以下のように推測しています。

PCI DSSなど法的規制があるので仕方なく導入したものの、実際導入してみたらセキュリティ効果が高かった

WAFの代案として挙げられている“セキュアコーディング”は、非現実的なセキュリティ対策に過ぎない

確実にセキュアなコーディングを行い管理・維持することは、WAF導入よりも多くのコストがかかる

参考:「なぜ一変?WAFに対する市場評価が大きく変わった理由とは

様々な分野でPCI DSSへの準拠が広まっている

クレジットカード情報取り扱いにおけるセキュリティ基準を体系的に規定したPCI DSSは、非取り扱い企業においても、高いセキュリティ性を証明できるグローバルスタンダードとして注目されています。

その中の要件6.6では、WAF導入によるWebアプリケーション層の脆弱性保護を明確に要求しているのです。

こうした背景や、実際に導入した企業のWAF製品に対する評価が高いことから、実用的かつ効果的なセキュリティ製品として広く認識されています。

セキュアコーディングとは何か?

セキュアコーディングは古くから提唱されるセキュリティ対策の一つであり、簡単に説明すると“脆弱性を突いた攻撃を予め想定し、たとえ攻撃を受けたとしても正常に動作するためのプログラミングを行うこと”です。

こうして言葉で説明するのは至極簡単ですが、実際にこの概念を実現するということは容易ではありません。

そもそも脆弱性は意図しない場所で発生するものであり、かつセキュアコーディングを適切に管理/維持しようとすると意外にも多額のコストがかかります。

従って、安全性の高いプログラミングに注力せず、効率化と並行して堅牢なセキュリティ環境を構築できるWAF製品が注目され出したと考えられます。

WAF製品市場における主要プレイヤー

現代のWAF製品市場において、多数の企業に導入されているWAFプレイヤーと各導入形態の特徴を紹介します。

クラウド型

クラウド型とはWebベースで提供されるWAF製品を導入することで、専用ハードウェアの設置や既存Webサーバへのソフトウェアインストールを必要としないWAF製品です。

その特徴から導入期間を短期化し、初期コストを抑えられることから小規模~大規模まであらゆる環境に導入されています。

主要プライヤーとしては「シマンテック クラウド型WAF」や「Scutum(スキュータム)」などが挙げられます。

ソフトウェア型

ソフトウェア型とは既存Webサーバにソフトウェアをインストールし、Webサーバ上で稼働させるタイプのWAF製品です。

専用ハードウェアを必要としないため比較的低コストで導入できる半面、Webサーバの性能に影響されやすいという特徴があります。

また、Webサーバごとに導入する必要があるため、稼働台数によっては導入コストが肥大化する可能性があります。

主要プレイヤーとしては「SiteGurde Lite」や「InfoCage SiteShell」などが挙げられます。

アプライアンス型

アプライアンス型とは専用ハードウェアや汎用サーバをネットワーク上(Webサーバの前面)に設置し、物理的にWAFを通過させ検知/防御を行うWAF製品です。

柔軟な構成ができるため高いセキュリティ性が魅力ですが、運用管理負荷の増大や多額の導入コストは避けられません。

ただし、Webサーバ台数や性能に依存しないので、稼働台数が多い環境ではコストパフォーマンスが向上します。

主要プレイヤーとしては「SiteGurde」や「Barracuda WAF」などが挙げられます。

最適なWAF製品を選ぶために大切なこと

自社環境にとって最適なWAF製品を選ぶためには、まず“何を重点において導入するか”を考えることが大切です。

例えば、運用管理へ社内リソースを割けない場合、管理者負担を軽減し労働生産性を高めたい場合、迅速にセキュリティ環境を構築したい場合などはクラウド型を選ぶのがベストだと言えます。

逆に、専任管理者を置きシグネチャチューニングなど自社独自に管理し、柔軟なセキュリティ環境を構築したい場合などはソフトウェア型やアプライアンス型が選択肢として挙げられます。

つまり各企業が持つ導入目的によって最適なWAF製品が異なるため、一概に何がベストとは言えないのが現状です。

まずは現在のセキュリティ環境/課題を見つめ直した上で、WAF製品の導入目的を明確にし、それに沿った製品選定を行っていきましょう。

「シマンテック クラウド型WAF」が提供するモノ

ここでシマンテックが提供する「シマンテック クラウド型WAF」について少し紹介しますと、クラウド型の特徴である“初期コストの抑制”“運用管理の効率化”を提供しつつ、ブラックリスト方式のみを採用したセキュリティ環境で高い柔軟性を持ち、あらゆる環境にフィットするWAF製品です。

かつユーザー企業では面倒なシグネチャチューニングが必要なく、シマンテックが高頻度に配信するシグネチャを自動更新することで様々なサイバー攻撃へ効果的に対処します。

また、約40万円~という低コストで導入でき、環境によってはランニングコストまで低減できるため、経済的で堅牢なセキュリティ環境を提供します。

まとめ

今後も順調な拡大が見込まれているWAF製品市場ですが、情報セキュリティにおける位置付けはさらに高まっていくでしょう。

近い将来、全てのWebサイト/Webサービス運営企業にとって不可欠なセキュリティ製品になっていることは容易に想像できます。

また、Webアプリケーション層の防御はファイアウォールやIPS/IDS(不正通信防御/検知システム)といった従来のようなセキュリティ製品だけでは不十分ですので、ぜひWAF製品の導入をご検討ください。