質実的にセキュリティを高めるため、またセキュリティポリシーの要件を満たすためなど、一定規模のウェブサイトを運営されている方がWAFの導入を検討されるケースが増えています。
技術には詳しくないけど業務上WAFが求められている、WAFの役割を知りたい方へ、そもそも「WAFとは?」という点からWAFが求められる理由・役割を紹介します。
WAFとは
WAF (Web Application Firewall) を一言でいうと
「ウェブアプリケーションの脆弱性を突いた攻撃を防ぐ」セキュリティ対策です。
WAFは完璧ではない
WAFはアプリケーションの脆弱性を根本的に解決するものではありません。
プログラム上のケアレスミスでありがちな脆弱性を突いた以下のような攻撃に対応しています。
- クロスサイトスクリプティング(XSS)
- SQLインジェクション
- DDoS攻撃
またルールを設定することで対応する攻撃を増やせますが、対応していない未知の攻撃には無力です。
WAFはあくまでセキュリティ対策の一部であり、WAF以外のセキュリティ対策も導入しインフラ全体のセキュリティ対策が必要です。 何より重要なことはアプリケーション自体のセキュリティアップデートを欠かさず、脆弱性を根本的に解決することです。
引用:AWS Black Belt Online Seminar 2017 AWS WAF from Amazon Web Services Japan
WAFの種類
WAFは大きく3種類に分けられます。
ゲートウェイ型
WAF専用のハードウェアを構築しネットワーク上に配備するタイプです。
メリット
- 複数台のWebサーバーに利用できるため、サーバー稼働台数に比例してコストパフォーマンスが良い。
- ウェブサーバーと独立したハードのため、WAFが稼働してもウェブサイト側に負荷を与えない。
デメリット
- 専用ハードウェアを導入するため費用面・期間面で初期コストが高価。
- WAFの運用や更新などの管理コストが相応にかかる。
ソフトウェア型
ウェブサーバーにWAFソフトウェアをインストールして利用するタイプです。
メリット
- ゲートウェイ型にくらべ単価が安価。
- 既存のウェブサーバーにインストールするだけなので、短期間で導入できる。
デメリット
- 一般的にインストール数ごとに費用がかかり、サーバーの稼働台数にコストが比例する。
- WAFの稼働にウェブサーバーのリソースを食うため、ウェブサイトが負荷の影響を受ける。
- パフォーマンス監視が必要で、管理コストはゲートウェイ型とあまり変わらない可能性も。
クラウド型
他社ベンダーの提供するWAFサービスを経由するタイプです。
メリット
- DNS設定の変更のみで、ハード構築やソフトのインストールも必要なく短期間で導入できる。
- 月額定額や従量課金などが多く、安価で利用できる。
- WAFの管理をベンダー側が行うため、自社の管理不要で常に最新のWAFを利用できる。
デメリット
- WAFの性能や可用性がベンダーに依存する
- 長期的な運用や環境によっては、自社でやるゲートウェイ型・ソフトウェア型の管理コストを越える可能性がある。
さいごに
WAFはゲートウェイ型、ソフトウェア型、クラウド型とあり、中でもクラウド型が機能面・費用面でもオススメできるものと考えています。
WAFの選定にお悩みの方はぜひ検討いただけたらと思います。
