大学でWAFを導入する際の選定方法は？事例をご紹介！

2020年06月09日最終更新
WAF（Web Application Firewall）の製品一覧

大学のシステムにWAFは必要なのでしょうか。セキュリティ対策に導入を考えてはいるが、その必要があるのか分からず困っていませんか。導入前に必要性をしっかりと認識しておきたいですよね。

そこで、今回は大学でのWAFの必要性や選び方を解説します。あわせて、導入事例も紹介しますので、検討時の参考にしてください。

WAF（Web Application Firewall）の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

大学におけるWAFの必要性

大学では、さまざまデータベースと連携して生徒の個人情報をシステム上で管理しています。志願者の連絡先や住所といった個人情報の収集には、Webサイト上の入力フォームなどを使うことも少なくありません。

ところが近年は、Webサイトの脆弱性を狙うSQLインジェクションやクロスサイトスクリプティングなどのサイバー攻撃が多発しています。攻撃の自動化を可能にするツールがインターネットで多く出回り、誰でも攻撃者に成り得るのです。これらの被害に遭うとデータベースを不正に操作され、情報を改ざんされたり窃取されたりします。

しかし、Webサイトを狙うサイバー攻撃への対策ができていないのが現状です。

WAFであれば、Webアプリケーションへの攻撃を防ぎ、攻撃者から情報を守れます。被害を拡大させないためにも、WAFの導入といった早急な対応が求められます。

大学でWAFを導入する際の選び方

WAFを大学に導入する際のポイントを４つ解説します。

導入実績はあるか

WAFの導入後は、適切なセキュリティレベルを保つ「チューニング」がポイントになってきます。チューニングが適切でないと、WAFが誤検知・誤遮断を起こしやすいからです。

そこで、導入実績をポイントにWAFを選びましょう。実績が多いほど、それだけ最新の脅威に対する知識やノウハウをもっていると考えられます。そして、どのような大学や学校に導入されているのかも確認しましょう。大学の規模などの情報が分かれば、導入のイメージが湧きやすく、選定時の参考になるでしょう。

サポート体制は整っているか

大学には夏季・冬季休暇があります。その期間は人員が減り、運用が手薄になるため、サイバー攻撃を受けやすくなります。そのような期間中であっても、迅速なサポートを提供するベンダーであれば安心です。

そこで、24時間365日体制かどうか、窓口への連絡手段は豊富かどうか、サポートの範囲はどこまでかなど、内容を事前に確認しましょう。また、不具合によりシステムが停止しても、復旧までの時間が早いほどサイバー攻撃を受けるリスクは低下します。スピード感のあるサポートを提供するベンダーが望ましいでしょう。

導入・運用コストはどれくらいか

WAFは、導入規模や運用状況によって運用コストが異なります。自社で運用するのか、外部に委託するのかによってもコストが大幅に違ってきます。自社での運用を検討している場合、専任の技術者を設置しなければいけません。外部に運用を委託する場合は、その料金が発生します。

したがって、導入・運用の両コストでWAFを選んでください。また、価格だけを重視せず、料金とサービス・機能のバランスを考慮し、適切な製品を選びましょう。

セキュリティ対策は万全か

大学によってWAFに求めるセキュリティレベルは違います。弱すぎると使いものにならず、また高すぎても誤検知・誤遮断のリスクが高くなります。誤検知・誤遮断が多いと、Webサイトの利便性を損ねかねません。そこで、まず、大学が求めるセキュリティレベルを明確にした上でそれに合ったWAFを選ぶようにしましょう。

そして、どのような攻撃を防ぎたいのかも明らかにしてください。WAFの防御対象はWebアプリケーションですが、中には守備が広範囲なツールもあります。そこまでの機能は求めていないのに、知らないまま導入すると無駄なコストが発生してしまいます。そのため、大学で求める機能を過不足なく搭載しているかも重要な選定ポイントです。

大学でWAFを導入した事例

A大学は、Webサーバへの多様化するサイバー攻撃に備えてWAFを導入しました。

導入後もWAFの存在を感じさせないほど、サーバへのパフォーマンスに影響を与えず、レスポンスが遅くなることもありませんでした。しかし、サイバー攻撃が多くなる長期休暇中もWAFがしっかりと機能しており、担当者の作業・心理負担の軽減につながったそうです。

B大学のシステムの多くはオープンソースで構成され、セキュリティツールはFWを活用していました。複数ある公開サーバの保守・運用を２名体制で行い、日々ログの確認を行っていました。そんな中、攻撃と考えられる不正な通信が相次いで確認され、限られた人員による運用とFWの限界を感じていたそうです。

しかし、WAFの導入で各サーバの一括監視が可能になりました。攻撃・アクセスログ双方の見える化に成功し、運用負荷の軽減に成功しています。

大学でWAFを導入し、Webアプリケーションの保護を！

Webアプリケーションを多く活用する大学こそ、WAFを導入すべきです。WAFの選定ポイントは以下のとおりです。

■導入実績の有無
■サポートの充実度
■導入、運用コスト
■セキュリティの充実度

さまざま大学がWAFを導入して心理・運用負担の軽減を果たし、安定した大学運営に成功しています。ぜひ、WAFを導入し、Webサイトの保護に努めてください。

WAF（Web Application Firewall）製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

このカテゴリーに関連する記事

「WAFとは？」初心者にもわかりやすく一から徹底解説！

WAFにおける「シグネチャ」とは？初心者にわかりやすく解説！

WAFのホワイトリスト方式とブラックリスト方式では何が違うの？

WAFとSSLの関係性とは？証明書の必要性についても解説！

WAFとファイアウォールの違いは？攻撃との関連も解説！

WAFで防げない攻撃は？防げる攻撃と利用のポイントも解説！

最新版WAF製品の比較17選【価格＆特徴比較表あり】選び方も解説

無料OSSのWAF製品比較４選！メリットや注意点を分かりやすく解説

WAFの必要性とは？Webアプリケーションの防御に欠かせない理由を解説

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「大学でWAFを導入する際の選定方法は？事例をご紹介！」というテーマについて解説しています。WAFの製品導入を検討をしている企業様は、ぜひ参考にしてください。

4月19日(月) 更新
	導入15,000件、Webサイトを守るクラウド型WAFクラウドブリック(Cloudbric) ペンタセキュリティシステムズ株式会社
	一人情シスの味方！クラウド型WAF「Scutum」【Scutum（スキュータム）】株式会社セキュアスカイ・テクノロジー
	【NICT暗号技術実績社】ロケットワークスのクラウド型WAFイージス株式会社ロケットワークス
一覧を見る