クラウドWAFで「守れること」「守れないこと」と選び方のコツ：IT導入完全ガイド（2/4 ページ）

[宮田健，キーマンズネット]

運用はどう変わるのか

　これまでのオンプレミスWAFでは企業内で個別に設定を行う必要があったため、攻撃の通信リクエストにどういった特徴があるかなどの、設定に必要な情報を調査できるエンジニアを配置する必要があった。これが、過去のWAF導入の最大のネックとなり、「導入したはいいが使いこなせない」ことの原因だった。

　クラウド型WAFでは、攻撃の特徴的なパターンの検出、設定、登録といった「運用」を、クラウドWAFサービス事業者自身が行い、アップデートが自動で行われることが大きな特長だ。

　クラウドWAFサービスを導入する場合は、まずサーバの構成や通常時のトラフィック量を、ヒアリングシートなどの形でクラウドWAFサービス事業者に提出する。ほとんどの事業者では、適用するサーバ数とピーク時のトラフィック量でクラウドWAFサービスにおける月額基本料金を決めている。導入時に既存システム側で必要な作業はDNS設定程度だ。通常はテストを含めても1カ月程度、最短で3日程度でサービスを利用できるようになる。

　安定した状態ならば、定期的に「誤検知がないか」をチェックする程度の作業で済むため、運用にもほとんど負荷がかからないものが多い。

　選定に際しては運用時のツール類の「分かりやすさ」も重要だろう。多くのサービスではグラフィカルなダッシュボード画面が用意されているので、これらの画面をあらかじめチェックし、理解しやすいかどうかを確認しておきたい。

　WAFは“正しく運用できれば”多くの脆弱性攻撃から企業を守ることができる。クラウドWAFならば運用の手間も少なく、ある意味で「入れただけで合格点」が取れる数少ないセキュリティソリューションだといえよう。