クラウド型WAFとは
WAFとは、Web Application Firewall(ウェブアプリケーションファイアウォール)の略でWebアプリへの脆弱性を悪用した攻撃から自社のWebサイトを守るセキュリティ対策の事をいいます。 クラウド型WAFとは言葉の通り、クラウド上に構築されたWAFの事です。WAFには、クラウド型だけではなく様々な形の提供形態がありますが、本記事ではクラウド型WAFにフォーカスをあて、解説しております。自社のWebサーバーやWebサービスに対してのサイバー攻撃の危険性を危惧し、多くの企業様ではWAFでの対策に注目が集まっており、その中でも導入のしやすさ等の理由でクラウド型WAFが注目されています。
クラウド型WAFのメリット
Webアプリケーションやシステムのセキュリティ対策に欠かせないWAF。その中でも、現在ではクラウド型WAFが主流になっています。クラウド型が主流になったのはなぜなのでしょうか。この疑問を解き明かすべく、クラウド型のメリットを解説していきます。
簡単・短期間で導入できる
クラウド型WAFはインターネット上で提供されるため、従来のような専門の機器を導入する必要がありません。そのため、低コスト・短期間で導入が可能です。ベンダーと契約し、ネットワークの設定変更を行うことですぐに利用開始できます。
専門家が必要ない
クラウド型WAFの運用面でのメリットは、ベンダーに運用を一任できることです。不正通信や攻撃パターンを定義した「シグネチャ」の把握や更新もベンダー側で行ってくれるため、セキュリティ専門のスタッフを雇う必要がありません。また、メンテナンスもクラウド上で行われるため、定期的な社内メンテナンスも不要です。
短期利用ができる
また、クラウド型は短期利用ができるのも特徴です。解約手続きも簡単にできるため、臨時のキャンペーンサイトやプロジェクトサイトなど、短期的に利用するサイトのセキュリティ対策もできます。
クラウド型WAFのデメリット
ここまで紹介したとおり、クラウド型WAFは従来のWAFに比べて手軽で便利なものである一方、デメリットもあります。それは、サービスの質・機能をベンダーに依存する点です。
従来のアプライアンス型やオンプレミス型では、自社でカスタマイズすることも可能でしたが、クラウド型のWAFはベンダー側で自動更新・管理するため、カスタマイズの柔軟性という点では劣るでしょう。そのため、自社のセキュリティレベルに合った環境を維持できるかは、製品選定にかかっていると言えます。
一方で、柔軟性を求めるのであれば、オープンソースのWAFを利用するという手も考えられます。以下の記事でオープンソースのWAFを紹介していますので参考にしてみてください。
関連記事
クラウド型WAFを導入する前に注意すべきポイント
最後に、クラウド型WAFを導入する前に注意すべき3つのポイントを解説していきます。
どれくらい費用が必要になるか
WAFを導入する際は、導入時のコストだけでなく運用コストもどの程度になるか確認しておきましょう。
クラウド型は、ベンダーによって料金形態が異なります。トラフィック量によって料金が異なる場合もあれば、トラフィック量に関わらず固定の場合もあります。性能やサービスのバランス、サイトの規模を踏まえ、導入費・運用費をすべて含んだコストを比べるようにしましょう。
どれくらいのセキュリティレベルがあるか
自社の最適なセキュリティレベルを見極め、正常なアクセスを遮断してユーザの利便性が損なわれることのないようにしましょう。セキュリティレベルの設定のために、まず自社の保護対象となるWebアプリケーションを洗い出し、防御したい攻撃を明確化しましょう。
一方で、WAFで防げる攻撃には限界があります。以下の記事ではWAFで防げない攻撃について解説していますので、WAFと合わせて必要なセキュリティ製品を導入する際の参考にしてみてください。
関連記事
watch_later
2024.02.26
WAFで防げない攻撃は?防げる攻撃と利用ポイントも解説
続きを読む ≫
どれくらいサポート体制が整っているか
WAFはWebアプリケーションの前面に位置するセキュリティであるため、常に最新の防御態勢にしておかなければなりません。そのためには、製品の選定時にサポート体制が整っているかを確認しておきましょう。
トラブルが発生した時は迅速な対応が求められます。そのため、常時在籍しているスタッフの人数やトラブル対応にどの程度の時間を要するのかを事前に確認しましょう。さらに、トラブル原因などの調査をしてくれるかどうかも、あらかじめ確認しておくことが大切です。
おすすめクラウド型WAF
ここからは、実際におすすめしたいクラウド型WAFを紹介します。
《BLUE Sphere》のPOINT
- WAF/DDoS防御/DNS監視/サイバー保険がオールインワン
- ドメイン無制限で複数サイトを1つの契約で守る!
- 三井住友海上火災保険「サイバープロテクター」が無償で付帯!
株式会社アイロバが提供する「BLUE Sphere」は、「防御/保険/サポート」までセキュリティをワンストップに実現するサービスをしています。BLUE Sphereは「多層防御」という概念を1つの製品、オプション無しの基本プランのみでご提供する、オールインワンのセキュリティサービスとして人気の製品です。
対象従業員規模 |
すべての規模に対応 |
提供形態 |
クラウド / SaaS / サービス / アプライアンス |
参考価格 |
別途お問い合わせ |
参考価格補足 |
登録Webサイト無制限 |
業種 |
放送・広告・出版・マスコミ |
従業員規模 |
10名以上 50名未満 |
BLUE Sphereのいい点 |
★ ★ ★ ★ ★ 5
|
基本サービス内にWAFの他、改ざん検知、DDoS防御、DNS監視まで含まれており、自社に専任の担当者がいなくても安心して利用できるサービスだと思います。
導入時も迷うことなくスムーズに導入でき、運用時も親切なサポートで問題なく利用できております。
管理画面もシンプルで見やすく、過去のレポートも参照できるので助かります。
|
業種 |
電気、電子機器 |
従業員規模 |
100名以上 250名未満 |
BLUE Sphereの改善してほしい点 |
★ ★ ★ ★ ★ 5
|
現状で満足しているので特に改善点は有りませんが、攻撃者の検知ログだけではなく閲覧者のアクセスログも閲覧できるとうれしいです。
|
《AIONCLOUD WAAP》のPOINT
- WAAP(WAF)/CDN/DDoS対策/Bot対策を一つのクラウドで対応
- 企業のニーズに合わせて機能&トラフィック量を選べるプラン体系
- プロユースでも安心のサイト/URL単位の細やかなポリシー設定
株式会社 モニタラップが提供する「AIONCLOUD WAF」は、直感的なUIと詳細な管理機能によって、わかりやすさと使いやすさを両立しています。ユーザーフレンドリーUIやリアルタイムで検知したログ、検知時間や攻撃者IPといった情報をすぐさま確認することができるので安心です。ポリシー別例外・適用URLやIP設定など、より詳細な管理が可能であり、細やかな部分までしっかり対応できるのが特長です。
対象従業員規模 |
すべての規模に対応 |
提供形態 |
クラウド / サービス / SaaS / ASP |
参考価格 |
4,000円 ~ |
参考価格補足 |
全プラン 条件範囲内利用においてはサイト登録無制限 |
業種 |
その他製造 |
従業員規模 |
10名以上 50名未満 |
AIONCLOUD WAAPのいい点 |
★ ★ ★ ★ ★ 5
|
WAFによる防御したログが取得できることが便利。レポート作成もPDFとWordで作成できる。また、複数のサブドメインでSSLを使用しても、各ドメイン毎に証明書をインストールできるため、他社のようにFQDN単位でWAFを用意する必要がないのでコストも抑えられる。安価な共用サーバーに付属のWAFとは異なり、ポリシー設定も簡単にできる。他社のWAFは機能が多く、なにをどうするとどうなるかが分かり難いが、直感的に分かりやすい。また、問合せに対しても真摯に対応してもらえる。
|
業種 |
情報処理、SI、ソフトウェア |
従業員規模 |
10名以上 50名未満 |
AIONCLOUD WAAPの改善してほしい点 |
★ ★ ★ ★ ★ 5
|
導入してから1か月超経過しましたが、いまのところ特に改善してほしい点はありません。しいて言えば管理画面のインターフェースが慣れるまでわかり難かった点。
|
《Cloudbric WAF+》のPOINT
- 特許取得のロジック&AIエンジンを搭載、高い攻撃検知力
- 5 in 1セキュリティ:WAF/DDoS/脅威IP/悪性ボット遮断/SSL証明書
- 24時間365日監視体制と専門家にお任せのマネージドサービス付帯
ペンタセキュリティシステムズ株式会社が提供する「Cloudbric WAF+」は、高精度のクラウド型WAFに加え、DDoS/SSL証明書/脅威IP遮断/悪性ボット遮断サービスも備え、企業セキュリティ対策がひとつにまとまっており、導入や運用は専門家にお任せのマネージドサービス付帯ではじめてのWAF導入する企業様にも安心です。
対象従業員規模 |
すべての規模に対応 |
提供形態 |
サービス / クラウド / SaaS |
参考価格 |
28,000円 ~ |
参考価格補足 |
※保護対象のFQDN数とピーク時のトラフィックを基準にEconomy、Business、High Performanceの3カテゴリの10プランを用意しており、導入環境及びビジネスニーズにあわせて柔軟にプランを選択できます。 |
以下の記事ではクラウド型を含め人気のWAF製品を多数紹介しています。特徴や提供形態の違いがひと目でわかる比較表もあるので、自社に最適な製品選びの参考にしてください。
関連記事
クラウド型WAFの特徴を把握して万全のセキュリティを!
クラウド型WAFは初期・運用費用を抑えたセキュリティ対策を可能にします。しかし、WAFの運用や管理はすべてベンダーに一任するため、セキュリティの性能は選定したベンダーに左右されるでしょう。
製品を選定する際は自社のセキュリティレベルを明確にし、性能やコストのバランスを十分に検討したWAFを導入することが大切です。以下のボタンから資料請求をし、検討の材料にしてみることをおすすめします。