WAF(Web Application Firewall)とは、Webアプリケーションに対する攻撃からWebサイトを保護するセキュリティ対策のことです。
昨今、オンラインによるWebマーケティングや、テレワークでクラウドサービスを使った働き方が主流になったことで、Webアプリケーションの脆弱性を狙った悪質な攻撃も増えています。
実際に大企業であっても顧客情報の流出などの事故が頻ぱんに起きており、今やサイト運営者にとってセキュリティ対策は最も重要な施策のひとつといえます。
その中で、WAFの導入を検討する企業も増えています。
しかしながら、
- WAFは他のセキュリティ対策とはなにが違うの?
- WAF製品はどれがおすすめ?製品ごとの違いは?
とお考えの方も多いはずです。
そこで本記事では、仕事をかしこく・たのしくするビジネスメディアを運営する「Smarf」が、Webサイトのセキュリティ対策に導入したい「WAF(ワフ)」について解説していきます。
具体的には
- WAFの仕組み・必要性
- WAFの種類とメリット・デメリット
- おすすめWAF製品3選
といった順番で解説していきます。
Webサイトのセキュリティ対策を検討中の中小企業の経営者様や、自社Webサイトの運営責任者様は、ぜひ最後までご覧ください。
WAFとはどんなもの?
WAF(ワフ)とは「Web Application Firewall」の略語でありファイアウォールの一種です。
一言でいうとWebサイトを悪質な攻撃から保護するセキュリティ対策のことです。
WAFの仕組みとしては、Webサイトの公開サーバーの前段にWAFを設置しして通信を解析・検査。
その上で、攻撃と判断した場合は通信を遮断することでWebサイトを防御します。
そもそもファイアウォール(Firewall)とは?
ファイアウォール(Firewall)とは、インターネットを通して侵入してくる様々な不正アクセスから、企業などの内部ネットワークを守るための防火壁のような役割を担っています。
ネットワークの発展により内部ネットワークの侵入が可能となり、
- 内部データの不正アクセス・盗聴
- 内部データの改ざん・攻撃
が行われる可能性が大きくなりました。
それにより企業や組織では内部ネットワークの安全性を守る必要性が高まったことで、ファイアウォールが誕生しました。
しかし、ファイアウォールはあくまでも「社内でのみ使用する内部の情報システム」に対するセキュリティ対策です。
外部へ公開するWebアプリケーションにアクセス制限を掛けることは範疇(はんちゅう)外となっています。
WAFの仕組みについて解説
Webサイト、Webアプリケーションの管理者ならセキュリティ対策に関する専門知識は必ず身につけておきたいもの。
しかし、はじめての方にとっては
- WAFの仕組みがよくわからない
- ファイアウォールと何が違うの?
と感じる方もいるはずです。
ここからはさらに具体的にWAFの仕組みについて解説します。
WAFとファイアウォールの仕組みの違い
WAFでは、外部からの攻撃の検知に「シグネチャ」を用いて不正アクセスを防ぎます。シグネチャとはアクセスのパターンを定義したものです。
このシグネチャに一致したアクセスがあった際に、通信許可・通信拒否の判断を行う仕組みとなっています。
対して、ファイアウォールの場合は「ポート番号」の組み合わせを元に通信許可・通信拒否の判断を行います。
| 項目 | WAF | ファイアウォール |
|---|---|---|
| 防御の対象 | Webアプリケーション、Webサーバー | 企業・官公庁などの内部ネットワーク |
| 防御の仕組み | 「シグネチャ」を用いてアクセスパターンを定義し、パターンに一致するアクセスがあった場合に、通信を許可するか拒否するかを判断する | アクセス元とあて先の「ポート番号」の組み合わせから、通信を許可するか拒否するかを判断する |
WAFの必要性
インターネットを通して常に外部からのアクセスが可能な状態であるWEBアプリケーションは、プログラムに設計ミスや不具合があると、そこから不正アクセスが行われます。
このように不正アクセスが起きやすい状態を「脆弱性」と言います。
WEBアプリケーションの場合、例え優秀なエンジニアが開発したプログラムであっても、少なからず脆弱性があります。
開発段階で脆弱性を完全に排除することは難しく、場合によってはリリースが遅れてしまう場合もあります。そのため、脆弱性があっても不正アクセスを検知する仕組みとしてWAFが導入されています。
WAFの不正アクセス検知方法には「ブラックリスト方式」「ホワイトリスト方式」の2種類があります。続いてそれぞれの違いを解説します。
ブラックリスト方式
ブラックリスト方式とは、既知の攻撃パターンをシグネチャに定義し、パターンに一致する通信を拒否することで不正アクセスを防ぎます。
メリットとしては同じ攻撃パターンに対しアクセス制限を掛けることが可能です。
しかし、未知の攻撃には対応できないというデメリットがあります。
ホワイトリスト方式
ホワイトリスト方式とは、許可する通信をシグネチャに定義することで、それに一致しない通信をすべて拒否することで不正アクセスを防ぎます。
メリットとしては、Webアプリケーションに応じてシグネチャを柔軟に定義できることや、未知の攻撃も防ぐことが可能です。
しかしデメリットとしては、企業ごとにシグネチャを細かく定義する必要があるため、人員や運用にコストが掛かります。
特にWebアプリケーションやセキュリティに知見がある人材が自社にいない場合は運用が難しいといえます。
情報セキュリティサービスの市場規模、今後の動向について
IT専門調査会社IDC JAPANの調査によると、2020年の国内情報セキュリティサービスの市場規模は前年比3.9%増の8,666億円となっています。
さらに、2024年には9,843億円にまで拡大すると予測されています。
成長の要因としては、
- これまでよりも高度なサイバー攻撃の被害が継続的に発生していること
- 大規模なリモートワークへの移行により新たなセキュリティリスクの危機感が高まっていること
- リモートワークの普及によりクラウドサービスの利用が拡大していること
これらのことから、急速にクラウド環境に対するセキュリティサービス利用が拡大しています。参考:2020年上半期国内情報セキュリティ市場予測を発表(IDC JAPAN)
WAFの種類を比較表で解説
WAFには3種類あります。
- アプライアンス型
- ソフトウェア型
- SaaS型
種類によって特徴やメリット・デメリットを表にしました。
| 項目 | アプライアンス型 | ソフトウェア型 | SaaS型 |
|---|---|---|---|
| 特徴 | WAFの機能を持つ専用ハードウエア。Webサーバーと外部ネットワークの間に設置して使用する。 | 既存のWebサーバー・アプリケーションサーバーにインストールする | セキュリティベンダーが提供するサービス。クラウド上で使用する |
| メリット | ・大規模環境においてコスト削減効果が得られる・Webアプリケーションの性能に影響を及ぼす心配がない | ・導入や運用にコストを抑えることが可能・短期間で導入可能 | ・サーバー構築やソフトウェアインストールが不要・導入・運用コストを抑えることが可能 |
| デメリット | ・導入にコストが掛かる・運用が複雑であるため専門技術者がいないと難しい | ・大規模環境の場合、コストが高くつく・Webアプリケーションの性能に影響を及ぼす可能性がある | ・不正アクセス検知精度はサービスベンダーのシステムに依存する |
特に今後主流になると言われているのがSaaS型WAFです。
手軽に導入できる上、運用をベンダーに任せられるというメリットにより導入者数を伸ばしています。
IDC JAPANの調査によると、2020年のSaaS型セキュリティソフトウェアの市場規模は前年比25.8%増の497億円となっています。
国内SaaS型セキュリティソフトウェア市場は、クラウド環境へのセキュリティニーズが高まり、2019年~2024年におけるCAGRは18.3%で、市場規模(売上額ベース)は2019年の395億円から2024年には915億円に拡大すると予測します。
引用:2020年上半期国内情報セキュリティ市場予測を発表(IDC JAPAN)
WAFおすすめの製品3選
セキュリティソフトウェアサービスのニーズが高まっていることで、WAFにはさまざまなサービスが登場しています。
ここからは「Smarf」厳選の、WAFサービス3選をご紹介します。
気になったサービスがあれば、各サービスの公式サイトから資料請求や問い合わせをしてみてください。
FortiWeb(フォーティネット)
概要
FortiWeb(フォーティウェブ)は、米国フォーティネット社が提供するWAFサービスです。
2層構造のAIベース検知Fエンジンを採用するFortiWebは、OWASPトップ10をはじめとするさまざまな攻撃からWebアプリケーションを保護します。
FortiWebには従来のウイルス対策ソフトに近い機能が実装されており、通常のWAFに比べて用途が幅広いことが特徴です。
また、日本法人があるので導入時・導入後のサポート体制も安心です。
注釈:OWASPトップ10とは「OWASP(オワスプ)」という団体が発行しているセキュリティのレポートのこと。Webセキュリティとして警戒しなければいけない項目のTOP10が記載されている。(参考:OWASP TOP10のレポート原本)
特徴
- フォーティネット社は、ファイアウォール市場で世界的に高いシェアを誇り、情報セキュリティに実績がある。
- 高速処理を実現するためのハードウェア性能を持ち、大規模サイトの運用に適している。
- AI型の2つの検知エンジンにより、高度な脅威からアプリケーションを保護する
導入時の注意点
大規模サイト向けWAFのため、小規模での導入を検討する場合は予算と見合わない可能性がある。
無料プランの有無
要問い合わせ
費用
要見積もり
SiteGuard(株式会社ジェイピー・セキュア)
概要
SiteGuard(サイトガード)は、業種・規模を問わず多くの企業・団体で採用されており、100万サイト以上の導入実績を誇るWAFソリューションです。
シンプルで使いやすい管理画面は、セキュリティサービスの運用経験がない方でも安心して利用が可能です。
また、国内開発であることから、万が一の事態でも開発エンジニアによる迅速な対応という点も選ばれるポイントとなっています。
特徴
- 官公庁から金融機関に至るまで、業種・規模問わず多くの企業で採用されており、100万サイト以上の導入実績を持つ
- 管理画面やマニュアルが日本語であることや、万が一の事態における問合せにもスピード対応を可能にする、国産ならではの安心感
- シンプルで使いやすい管理画面で各種設定が可能。はじめての方でも操作に迷わずセキュリティを構築できる
導入時の注意点
一部のECサイトでは構築サイトとの相性が合わない場合がある
無料プランの有無
要問い合わせ
費用
- 初年度 年額252,000円/1ライセンス
- 次年度移行 年額126,000円/1ライセンス
導入企業の声
WAFによってウェブシステムが制限されたくなかったんですね。そういう意味でも、シグネチャ型である必要がありました。また、これも重要なポイントですが、構築が容易であること。もちろん価格もありました。
引用:SiteGuard公式サイト/事例(自治体)
国産という点もポイントとしてありました。もちろん、優れたセキュリティソフトはたくさんあります。特に海外製品が多い中で、サポート体制やレスポンスの部分で不安があります。SiteGuard Server Editionであれば、国産・サポート・安心感という点でお客様に自信を持ってご提供できるのではないかと考えました。
引用:SiteGuard公式サイト/事例(インターネットサービス)
攻撃遮断くん(株式会社サイバーセキュリティクラウド)
概要
攻撃遮断くんは、24時間365日有人監視体制による技術サポートを受けられるクラウド型WAFサービスです。
1サイトから、グループ会社すべてのWebサイトまであらゆる規模のWebサービスへ導入可能です。
さらに導入時から導入後の保守・運用に至るまで、一切の手間を掛ける事なく低価格かつ高セキュリティを実現するサービスです。
特徴
- 万が一の時も最大1000万円まで補償する「サイバー保険付帯」を追加費用なしで提供
- 導入支援から保守・運用まで一貫してサポート。24時間365日、開発者の技術サポートも受けられる
- 1サイトから、大量のトラフィックが発生するWebサービスに至るまであらゆる規模のWebサービスへ導入可能
導入時の注意点
良くも悪くも日々の保守・運用はベンダー頼みになるため、攻撃レベルによる遮断のカスタマイズなどはできない
無料プランの有無
無料体験版あり
費用
■サーバセキュリティタイプ(エージェント連動型)
| プラン | 月額費用(税込) |
|---|---|
| ベーシックプラン | 1〜3サーバ 44,000円/サーバ4サーバ以上 11,000円/サーバ |
| サーバー台数無制限使い放題プラン | 880,000円 |
※初期導入費用別途
■WEBセキュリティタイプ(DNS切り替え型)
| ピーク時トラフィック目安 | 月額費用(税込) |
|---|---|
| 〜500kbps | 11,000円 |
| 〜2Mbps | 33,000円 |
| 〜10Mbps | 110,000円 |
※初期導入費用別途
※入れ放題プランあり
導入企業の声
WAFを導入できていないサーバと比べると、診断結果は明らかです。WAFを導入したものは診断結果が如実に向上していました。予想外にも嬉しかったこととしては、一機も誤検知が無かったことです。WAF導入後の誤検知や過検知は、ある程度覚悟していましたが、今回、「攻撃遮断くん」導入後に誤検知による不具合の問い合わせは一度も受けていません。
引用:攻撃遮断くん公式サイト/事例(大手建設)
IPSとWAFを比較した結果、Webアプリケーションのセキュリティ対策としてはIPSだけでは攻撃を防ぎきれないので、OSやミドルウェア、Webアプリケーションへの脆弱性をカバーできる「攻撃遮断くん」を選びました。「攻撃遮断くん」ではDNS切り替え型のようなレスポンスへの影響も出ないというところもポイントとなりました。
引用:攻撃遮断くん公式サイト/事例(ソフトウェア開発)
WAF製品・サービスを一覧表で確認
| サービス名 (運営会社名) | 特長 | 費用 |
|---|---|---|
| FortiWeb (フォーティネット) | ・フォーティネット社は、ファイアウォール市場で世界的に高いシェアを誇り、情報セキュリティに実績がある。 ・高速処理を実現するためのハードウェア性能を持ち、大規模サイトの運用に適している。 ・AI型の2つの検知エンジンにより、高度な脅威からアプリケーションを保護する | 要見積もり |
| SiteGuard (株式会社ジェイピー・セキュア) | ・官公庁から金融機関に至るまで、業種・規模問わず多くの企業で採用されており、100万サイト以上の導入実績を持つ ・管理画面やマニュアルが日本語であることや、万が一の事態における問合せにもスピード対応を可能にする、国産ならではの安心感 ・シンプルで使いやすい管理画面で各種設定が可能。はじめての方でも操作に迷わずセキュリティを構築できる | ・初年度 年額252,000円/1ライセンス ・次年度移行 年額126,000円/1ライセンス |
| 攻撃遮断くん (株式会社サイバーセキュリティクラウド) | ・万が一の時も最大1000万円まで補償する「サイバー保険付帯」を追加費用なしで提供 ・導入支援から保守・運用まで一貫してサポート。24時間365日、開発者の技術サポートも受けられる ・1サイトから、大量のトラフィックが発生するWebサービスに至るまであらゆる規模のWebサービスへ導入可能 | ■サーバセキュリティタイプ(エージェント連動型) ・ベーシックプラン: 1〜3サーバ 44,000円/サーバ 4サーバ以上 11,000円/サーバ ■WEBセキュリティタイプ(DNS切り替え型) 月額11,000円〜 |
まとめ|WAFを活用すればWebアプリケーションを安全に運用することが可能
この記事では、Webサイト・Webアプリケーションのセキュリティ対策に役立つ「WAF(ワフ)」について、ファイアウォールとの違いや導入のメリットを解説してきました。
WAFを活用することで、WebアプリケーションやWebページのセキュリティ対策を強化することが可能です。
中でもクラウド型・SaaS型のWAFは、
- サーバー環境がなくても低コストかつ短期間で導入可能
- 運用・保守までセキュリティベンダーに任せることが可能
となっており、最も手軽かつ確実なセキュリティ対策といえます。
特にリモートワークの流れは今後も加速すると見られており、セキュリティ対策の重要性はさらに増していくと予想されています。
情報漏えいなどの問題は一度でも起きてしまうと、その損失は計り知れず、信頼低下により経営状況をひっ迫させる事態になりかねません。
もし「自社のセキュリティ対策が万全といえるか不安」という方は、今回ご紹介したWAFサービスを中心に、資料請求や無料トライアルから始めてみてはいかがでしょうか。
