大学におけるWAFの必要性
大学では、さまざまデータベースと連携して生徒の個人情報をシステム上で管理しています。志願者の連絡先や住所といった個人情報の収集には、Webサイト上の入力フォームなどを使うことも少なくありません。
ところが近年は、Webサイトの脆弱性を狙うSQLインジェクションやクロスサイトスクリプティングなどのサイバー攻撃が多発しています。攻撃の自動化を可能にするツールがインターネットで多く出回り、誰でも攻撃者に成り得るのです。これらの被害に遭うとデータベースを不正に操作され、情報を改ざんされたり窃取されたりします。
しかし、Webサイトを狙うサイバー攻撃への対策ができていないのが現状です。
WAFであれば、Webアプリケーションへの攻撃を防ぎ、攻撃者から情報を守れます。被害を拡大させないためにも、WAFの導入といった早急な対応が求められます。
大学でWAFを導入する際の選び方
WAFを大学に導入する際のポイントを4つ解説します。
導入実績はあるか
WAFの導入後は、適切なセキュリティレベルを保つ「チューニング」がポイントになってきます。チューニングが適切でないと、WAFが誤検知・誤遮断を起こしやすいからです。
そこで、導入実績をポイントにWAFを選びましょう。実績が多いほど、それだけ最新の脅威に対する知識やノウハウをもっていると考えられます。そして、どのような大学や学校に導入されているのかも確認しましょう。大学の規模などの情報が分かれば、導入のイメージが湧きやすく、選定時の参考になるでしょう。
サポート体制は整っているか
大学には夏季・冬季休暇があります。その期間は人員が減り、運用が手薄になるため、サイバー攻撃を受けやすくなります。そのような期間中であっても、迅速なサポートを提供するベンダーであれば安心です。
そこで、24時間365日体制かどうか、窓口への連絡手段は豊富かどうか、サポートの範囲はどこまでかなど、内容を事前に確認しましょう。また、不具合によりシステムが停止しても、復旧までの時間が早いほどサイバー攻撃を受けるリスクは低下します。スピード感のあるサポートを提供するベンダーが望ましいでしょう。
導入・運用コストはどれくらいか
WAFは、導入規模や運用状況によって運用コストが異なります。自社で運用するのか、外部に委託するのかによってもコストが大幅に違ってきます。自社での運用を検討している場合、専任の技術者を設置しなければいけません。外部に運用を委託する場合は、その料金が発生します。
したがって、導入・運用の両コストでWAFを選んでください。また、価格だけを重視せず、料金とサービス・機能のバランスを考慮し、適切な製品を選びましょう。
セキュリティ対策は万全か
大学によってWAFに求めるセキュリティレベルは違います。弱すぎると使いものにならず、また高すぎても誤検知・誤遮断のリスクが高くなります。誤検知・誤遮断が多いと、Webサイトの利便性を損ねかねません。そこで、まず、大学が求めるセキュリティレベルを明確にした上でそれに合ったWAFを選ぶようにしましょう。
そして、どのような攻撃を防ぎたいのかも明らかにしてください。WAFの防御対象はWebアプリケーションですが、中には守備が広範囲なツールもあります。そこまでの機能は求めていないのに、知らないまま導入すると無駄なコストが発生してしまいます。そのため、大学で求める機能を過不足なく搭載しているかも重要な選定ポイントです。
大学でWAFを導入した事例
A大学は、Webサーバへの多様化するサイバー攻撃に備えてWAFを導入しました。
導入後もWAFの存在を感じさせないほど、サーバへのパフォーマンスに影響を与えず、レスポンスが遅くなることもありませんでした。しかし、サイバー攻撃が多くなる長期休暇中もWAFがしっかりと機能しており、担当者の作業・心理負担の軽減につながったそうです。
B大学のシステムの多くはオープンソースで構成され、セキュリティツールはFWを活用していました。複数ある公開サーバの保守・運用を2名体制で行い、日々ログの確認を行っていました。そんな中、攻撃と考えられる不正な通信が相次いで確認され、限られた人員による運用とFWの限界を感じていたそうです。
しかし、WAFの導入で各サーバの一括監視が可能になりました。攻撃・アクセスログ双方の見える化に成功し、運用負荷の軽減に成功しています。
大学でWAFを導入し、Webアプリケーションの保護を!
Webアプリケーションを多く活用する大学こそ、WAFを導入すべきです。WAFの選定ポイントは以下のとおりです。
- ■導入実績の有無
- ■サポートの充実度
- ■導入、運用コスト
- ■セキュリティの充実度
さまざま大学がWAFを導入して心理・運用負担の軽減を果たし、安定した大学運営に成功しています。ぜひ、WAFを導入し、Webサイトの保護に努めてください。
