オープンソース版WAFのメリットデメリットを商用版WAFと比較してみた

 2017.05.11 Secure Enterpriseポータル

Webサイトに発生する様々な脆弱性をカバーし、サイバー攻撃から保護するためのWAF(ウェブアプリケーションファイアウォール)には様々な導入形態があります。中でも、低コストで導入できるオープンソース版WAFに注目している企業は多いのではないでしょうか?

オープンソース版WAFと言えば「Modsecurity」と呼ばれるソフトウェアが有名です。2002年に最初のバージョンがリリースされ、現在ではTrustwaveが開発を、OWASPが「Core Rule Set」と呼ばれるシグネチャのメンテナンスを行っています。

今回はWAF導入に悩んでいる企業に向けて、Modsecurityを参考にオープンソース版WAFのメリットデメリットを紹介し、商用版WAFと比較していきたいと思います。

オープンソース版WAFを導入するメリットデメリット

Webサイト構築では様々なオープンソースソフトウェアが使用されています。ブログツールとして広く普及しているWordPressは、世界4分の1以上のWebサイトが使用しているソフトウェアです。

WebサイトのフレームワークとしてApache Struts2もよく使用されているオープンソースソフトウェアですね。

様々なメリットがあるオープンソースソフトウェアですが、デメリットもあることをしっかりと理解していなければ、導入後に問題が発生することも珍しくありません。

オープンソース版WAFにはどのようなメリットデメリットがあるのでしょうか?

無償で提供されるため導入が低コスト

オープンソース版WAFを導入する最大のメリットはやはりコスト面にあります。従来のWAF導入と言えば高価なプロジェクトになりがちでしたが、無償で提供されているオープンソース版WAFならばソフトウェア費用はかかりません。

場合によっては、数百万円以上の導入コストを抑えることもできます。

ただし注意していただきたいのが、あくまでソフトウェアにかかる費用のみがかからないという点です。

導入期間や運用に至るまでのプロセス数に関しては、商用版WAFと変わりありません。従って導入プロジェクトにかかる費用を完全にカットできるわけではないのです。

ユーザーからのフィードバックが直接開発者に届きやすい

オープンソースソフトウェアの特徴と言えば、開発者とユーザーの距離が近く、ユーザーからのフィードバックをシステムに反映しやすいという点です。このためオープンソースソフト版WAFは商用版WAFに比べ、機能改善が頻繁に行われています。

ホスト型なのでネットワークの再構成が必要ない

Modsecurityはホスト型に分類されるオープンソース版WAFなので、既存Webサーバにインストールして利用することができます。ネットワーク型のように物理サーバや専用ハードウェアを設置する必要はないため、導入期間を短縮化することが可能です。

運用は企業独自に行わなければならない

オープンソース版WAFは基本的に企業独自に運用する必要があります。このため運用負荷は大きくなりがちです。商用版WAFであればセキュリティベンダーのサポートを受けたり、運用レスでWAF環境を構築したりと様々な対応ができますが、ソフトウェア版WAFではアウトソーシングを依頼しない限り、自社の運用負荷が増加します。

日本語での情報が少なくハードルが高い

海外初のModsecurityは日本国内ではまだまだ浸透していないオープンソース版WAFです。従って日本語での情報が非常に少なく、導入のハードルが高いWAFだと言えます。

独立行政法人のIPA(情報処理推進機構)では、Modsecurityを利用したWAF運用についての情報(https://www.ipa.go.jp/files/000024357.pdf)を紹介していますが、やはり専門知識を持ったセキュリティ技術者なしでは導入が難しい部分があるでしょう。

サーバリソースを多く使用する

オープンソース版WAFとして提供されていModsecurityはホスト型のWAFであるため、Webサーバリソースによって性能が左右されます。また、オーバーヘッドも多いためサーバリソースを多く使用する傾向にあるので、運用時は注意が必要です。

商用版WAFを導入するメリットデメリット

では、オープンソース版WAFに対し、商用版WAFはどのようなメリットデメリットを持つのでしょうか?ここでは「ネットワーク型」「ホスト型」「クラウド型」の3つの導入形態に分けて紹介していきます。

ネットワーク型

専用ハードウェアや物理ハードウェアをWebサーバの前面に設置するネットワーク型は、システムの柔軟な構成と環境にとらわれない保護が特徴です。

WAF自体の自由度が高いため独自にカスタマイズができ、かつWebサーバの台数に影響されないので大規模なWebシステム環境でコストメリットを発揮します。

ただし、やはりと言いますか導入コストは大きくなりがちです。インフラ調達を考慮すれば1,000万円以上の導入コストがかかるのは通常であり、導入初期段階では細かなパラメータ設定やテスト運用など何かと時間がかかってしまいます。

ホスト型

ホスト型とは既存WebサーバにWAFをインストールするタイプであり、Modsecurityもホスト型に分類されるオープンソース版WAFです。商用版のメリットとしては、セキュリティベンダーのサポートを受けられる点が最も大きいかと思います。

WAFについて右も左も分からないという状態では、オープンソース版WAFの導入は厳しいですが、しっかりとしたサポートが受けられば導入も運用も幾分か負担を低減させることができます。

デメリットとしては、Webサーバ台数ごとにインストールしなければならないので、大規模な環境ではコストが肥大化するという点です。

クラウド型

WAFを物理的に構築するのではなく、サービスとして利用するクラウド型は、現在WAF導入の主流となりつつあります。企業側で行う作業はDNSサーバ設定の変更のみなので、導入はかなり短期化されます。

シマンテック クラウド型WAFでは最短1週間でのWAF導入を可能としているので、Webサイト保護の緊急性の高い場合にも適しています。

また、システム運用はWAFを提供するセキュリティベンダーが行うため、企業側で行う運用は特になく、ログ確認のみで済んでしまうケースもあります。

デメリットはセキュリティベンダーによってWAFのセキュリティ性が左右されることなので、慎重な検討がWAF導入のカギを握ります。

まとめ

オープンソース版WAFが良いか、商用版WAFが良いかという判断は、一概に下せるものではありません。企業が持つシステム環境や社内リソースによって、最適なWAF導入が変化するためです。

ただし強いて言えば、全ての企業にとって高いメリットを持つのがクラウド型で提供されている商用版WAFです。導入コストが低かったり、運用負荷が少ないという特徴は、企業規模を問わず大きなメリットになるかと思います。

実際に、シマンテック クラウド型WAFでは50サイトを運営する企業などにも導入されており、規模を問わずその効果を発揮しています。

「無償で提供されている」というメリットばかりに目を向けるのではなく、全ての導入形態のメリットデメリットを把握した上で、自社に最適なWAFを選んでいきましょう。