クラウドWAFで「守れること」「守れないこと」と選び方のコツ：IT導入完全ガイド（4/4 ページ）

導入が容易で、万一の場合も対処するまでの猶予時間の確保が期待できるクラウドWAFだが、万能薬ではない。「守れないこと」を理解して製品選定を行おう。

[宮田健，キーマンズネット]

代表的なクラウドWAFベンダーと選定ポイント

　下記に、日本で代表的なクラウドWAFベンダーの一覧をまとめた。どのベンダーのサービスも価格帯はほぼ変わらないことが分かる。

表2　クラウドWAFベンダー一覧

　ただし、上記で記したように、単なる比較表だけでは自社に最適なサービスを選択することは難しい。月額費用だけでなく、下記のポイントも考え、自社にフィットするものを選択したい。

サイトの規模は？

　自社が持つサイト数、トラフィック量がクラウドWAFに対応しているかを確認する。もしあまりにも大量のトラフィックがある場合、オンプレミス型WAFとの比較もすべきだろう。

開発、調査、サポート拠点は？

　日本国内にサーバがある場合、国内特有の攻撃や時間帯を考え、国内に調査拠点のあるサービスが選択肢としてあげられるだろう。これはサポート面においても重要で、どの程度のスピードで対応が可能かをあらかじめチェックしておく。

誤検知対応のスピードは？

　クラウドWAFにおいて「誤検知への対応」スピードは重要なポイントだ。もしサービス事業者がパターンのアップデートを行った結果、自社への正常なトラフィックに影響が出た場合の対応スピードを確認しておこう。

「DDoS攻撃」への対応はあるか

　昨今増えているDDoS攻撃への対応は、カバーできるクラウドWAFサービス、できないクラウドWAFサービスが混在している。クラウドWAFサービス内でカバーすべきか、それとも専用のサービスを別途契約するべきか、またDDoS攻撃対策は不要と判断すべきか、あらかじめ確認しておきたい。

　本稿では、クラウドWAFサービスの特徴と、選定のポイントを見てきた。Webサイトの脆弱性がサイバー攻撃のきっかけになりやすいことは前回触れた通りだ。企業紹介のように、ほんの数ページ程度のWebサイトであっても防御の体制は本格的でなくてはならない。

　セキュリティ人材を確保できない場合でもリスクを最小限にとどめることができるクラウドWAFサービスは心強い選択肢といえるだろう。