メディア

「WAF」の上手な選び方、被害者になる可能性は個人商店も大企業も均等だIT導入完全ガイド(2/2 ページ)

» 2016年11月28日 10時00分 公開
[宮田健キーマンズネット]
前のページへ 1|2       

クラウドWAFのメリット、デメリット

 クラウドWAFの大きなメリットは「すぐに導入できること」だ。ECサイトや会員制サイトなど、Webサービスをビジネスとして利用している企業にとって、Webサーバが停止するということは、その停止の時間が「損失」に直接つながることになるため、開発段階や運用前のタイミングで「脆弱性検査」を行うことが望ましい。

 しかし、サービスを開始したあとに脆弱性が発見される場合もある。その修正には、テストや予算の確保など、さまざまな要因があるため、すぐに実施できない場合も多い。その際、クラウドWAFであれば機器の購入や筐体の納品を待つ必要はない。万一、攻撃を受けてしまった場合でも、すぐに対策できる点も大きなメリットだ。

 従来のWAFでは「運用の手間」が課題となることが少なくなかった。これまでのオンプレミスに設置するWAFの場合、攻撃のパターンなどの登録は導入した企業が能動的に行う必要があった。比較的運用の手間が少ないホワイトリスト型の「許可された通信のみを通す」という仕組みを取った場合でも、システム改修のたびにパターンの設定を変更する必要があり、これが運用コストとして大きな負担となっていた。

図2 従来型のオンプレミスWAFでは、運用の手間が無視できなかった 図2 従来型のオンプレミスWAFでは、運用の手間が無視できなかった(出典:セキュアスカイ・テクノロジー)

 一方のクラウドWAFでは、サービス提供者が攻撃パターンを適宜登録する。例えば2014年4月に話題になった、Apache Struts 2の脆弱性(CVE-2016-4438、S2-037)に関しては、IPAが注意喚起を出した2016年6月20日よりも前の6月16日時点で、クラウドWAFでの対応が完了していたという事例もある。

導入方法と導入期間は?

 導入は外部からの通信をクラウドWAF経由で届くように設定するだけで済む。つまり、具体的にはDNSレコードの設定を変更するだけでよい(HTTPS通信がある場合は、これに加えてSSL証明書のインポートなども必要)。

 導入までの期間は最短で3日〜1週間程度で利用が可能で、通常はテストも含め長くても1カ月あれば本格導入が可能だという。また、ほとんどの場合は1カ月単位の契約が可能で、導入が簡単にできるだけでなく、やめること/乗り換えることも簡単であることは注目したい。

 導入すると、セキュリティ事故/攻撃に遭った場合に、緊急対応サポートを受けられるサービスもあるので、よく比較して選ぶようにしたい。

必要なコストは?

 クラウドWAFのコストは通常、サーバの台数(FQDN数)ごとに、ピーク時のトラフィックを基に月額費用が設定されている。小規模であれば、月額費用は約3万円程度が相場だ。単独で購入する場合だけでなく、システムインテグレーションサービスの中に内包されている場合もあるため、SI事業者に確認をしてみるのもいいだろう。

サービスへの影響は? 運用方法は?

 クラウドWAFは全ての通信がいったんクラウドWAFサービス事業者を経由することになるが、その稼働率は各社が実績として提示しているため、まずはその値を見ておきたい。ほとんどの事業者は99%を超えた数値を出していることだろう。

 実際の運用は、ダッシュボードを見てチェックすることになる。多くの場合、サービス事業者が設定するシグネチャにより、通常ではない通信が止められている様子がダッシュボードに表示されている。サービス開始当初は日々チェックすることを推奨するが、安定運用期に入ってしまえば月に一回くらいログを見て、誤検知がないかどうかを担当者が判断する、という程度の運用負荷になる。

クラウドWAFはどこで使われている?

 クラウドWAFは多くの事業分野で使われており、大企業から中小企業まで満遍なく導入が浸透しているという。特にECサイトなど、「Webサービスが止まると秒単位で損失が発生する」という企業や、「実際に攻撃を受けたり、情報漏えいインシデントが発生したりした企業」で導入が進んでいるという。

 ただし、クラウドWAFではなく、オンプレミスのWAFの方がメリットがある場合もある。例えば、トラフィックが大量にある場合は、クラウドWAFではコストメリットが出ない。また、自社で全ての管理ができるセキュリティ人材がいる場合もクラウドWAFのメリットが少なくなる。

クラウドWAFを「診断」とセットで考える

 クラウドWAFは導入が簡単で、その効果も大変大きい。多くの企業ではこれまでネットワークにおけるセキュリティ機器への投資が目立っていたが、実際のところサイバー攻撃はWebアプリケーションを狙うことが多い。そのため、クラウドWAFの導入は「脆弱性診断」とセットで考えるべきだ。

 通常、Webアプリケーションなどを含むシステムの脆弱性診断は、脆弱性を発見し、それを「修正」することまでがセットになる。修正には予算と時間が必要なため、その時間稼ぎとして、すぐに導入でき効果が発揮できる「クラウドWAF」を利用する、というのは有効だ。

 もはやWebサービスを持つ企業には、「最低限WAFは入れよう」というのが常識になりつつある。セキュアなサービスを提供するためには、まず脆弱性のないシステムを作ること、そしてアップデートをし続けるための対処策として時間稼ぎが簡単にできる、クラウドWAFの導入を考えるべきだろう。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。