EC・通販サイトが重視するWAFの機能
ECサイトは個人情報・クレジットカード情報を扱うため、攻撃者にとって魅力的なターゲットです。業界標準のセキュリティ要件への対応と、購入体験を妨げない高精度な検知が求められます。
PCI DSSに対応したWAFの選定
クレジットカード情報を扱うECサイトでは、PCI DSS(Payment Card Industry Data Security Standard・クレジットカード情報保護のための国際セキュリティ基準)への準拠が求められます。PCI DSS 6.4では、公開Webアプリケーションに対してWAFの導入またはコード脆弱性診断の実施が要件として定められています。
WAFを選ぶ際は、PCI DSS準拠の証跡としてベンダーが提供できる資料(AOC・適合報告書など)があるかどうかを確認することが重要です。カード情報を持たないフォームであっても、決済代行会社との連携ページを保護する観点からWAFの適用範囲を設計することをお勧めします。PCI DSS要件の解釈や適用範囲については、資格を持つQSA(審査機関)に相談することも有効です。
不正注文・アカウント乗っ取りへの対応
ECサイトでは、クレデンシャルスタッフィング攻撃(他サイトから流出したIDとパスワードの組み合わせを大量に試してアカウントに不正ログインを試みる攻撃)やボットによる在庫の買い占め・不正注文が問題になっています。これらへの対応にはWAFのボット対策機能が重要です。
正当なユーザーとボットを識別するために、行動分析やCAPTCHA連携、IPレピュテーション(過去の不審な動作からIPの信頼度を評価する仕組み)に対応したWAFを選ぶことが有効です。ただし、ボット対策の精度が低いと正規ユーザーを誤って遮断してしまうケースがあるため、誤検知率とその設定方法をデモで確認することをお勧めします。
金融機関・医療機関の厳格な要件への対応
金融・医療は規制が厳しく、セキュリティ事故が社会的な信用問題に直結する業種です。WAFの選定においても、法令・ガイドラインへの適合が最優先事項になります。
金融機関における高可用性と規制対応
金融機関のWebサービスには、システムが止まらない高い可用性と、金融規制(金融商品取引法・マイナンバー法・FISC安全対策基準など)への対応が求められます。WAFが単一障害点(SPoF)にならないよう、冗長構成(障害時に自動で切り替わる仕組み)が取られているかを確認することが重要です。
SLA(サービスレベルアグリーメント)として稼働率99.99%以上が保証されているか、障害発生時のフェイルオープン(WAFに問題が発生した場合にサービスを継続させる設定)とフェイルクローズ(WAFに問題が発生した場合に通信を遮断する設定)の選択ができるかを確認しておきましょう。金融機関向けの導入実績と、FISC安全対策基準への準拠状況をベンダーに確認することをお勧めします。
医療機関での個人情報保護ガイドライン対応
医療機関では患者の個人情報と診療情報を扱うため、「医療情報システムの安全管理に関するガイドライン」への対応が求められます。WAFを導入する際は、通信の暗号化(TLS対応)と、WAFを経由することで診療情報が外部に流出しないかを確認することが必要です。
クラウド型WAFを採用する場合は、データの保管場所(国内データセンターか否か)と、WAFベンダーがデータを解析・学習に使用しないかをサービス規約で確認することが重要です。医療情報システムの安全管理に関する実績のあるベンダーを選ぶことで、業界固有の要件への対応ノウハウを活用できます。
製造業・官公庁のWAF選定ポイント
製造業のDX推進に伴うWebシステムの増加、官公庁のデジタル化による行政サービスのWeb化など、従来WAFの必要性が高くなかった分野でもセキュリティ対策の重要性が増しています。
製造業のDX・産業系システム連携でのWAF活用
製造業ではIoT機器やMES(製造実行システム)、ERP(基幹系システム)のWebインターフェースへの攻撃が増加しています。こうしたシステムへの不正アクセスは生産ラインの停止につながる恐れがあり、工場向けのWebシステムにもWAFの導入が求められるようになっています。
産業用システムは可用性(止まらないこと)が最優先であるため、WAFの誤検知による正常通信の遮断が特に問題になります。チューニング(誤検知を減らすための設定調整)の柔軟性と、製造業向けの導入実績をベンダーに確認することが重要です。工場のIT担当者と連携して、WAFの導入がシステムの稼働に影響しないかをテスト環境で検証してから本番適用することをお勧めします。
官公庁・自治体が求めるセキュリティ要件
官公庁や自治体のWebサイトには、政府が定める「政府機関等のサイバーセキュリティ対策のための統一基準群」への対応が求められます。また、マイナンバーを取り扱うシステムでは、個人番号利用事務系ネットワークの分離など特別な設計が必要です。
官公庁向けのWAFを選定する際は、ISO/IEC 27001やISMSの認証取得状況、政府機関への導入実績、IPAのセキュリティガイドラインへの対応状況を確認することが重要です。調達プロセスで公示される要件定義書に照らし合わせてWAFの仕様を評価し、要件を満たせるかをベンダーへの技術照会で確認することをお勧めします。
業種別要件に対応したWAFを比較する
製品選定の際は、業種特有の要件に合うかを確認しながら比較することが重要です。各製品の詳しい機能や対応範囲は、資料請求で確認できます。
BLUE Sphere
- WAF/DDoS防御/DNS監視/サイバー保険がオールインワン
- ドメイン無制限で複数サイトを1つの契約で守る!
- 三井住友海上火災保険「サイバープロテクター」が無償で付帯!
BLUE Sphereは、クラウド型のWebセキュリティサービスです。Webサイトへの攻撃対策と不正アクセス防止に対応しており、業種を問わずさまざまな規模のサイトに導入できます。
Cloud Application Protection Services
- 包括的なWAAPソリューションをクラウド上で提供
- 独自の自動化ポリシー生成技術
- OWASPトップ10の脅威に対して完全な保護を実現
Cloud Application Protection Servicesは、Webアプリケーションへの攻撃を検知・防御するクラウドサービスです。さまざまな業種の要件に対応した機能を提供しています。
Cloudbric WMS for AWS WAF
- 世界的な専門機関で証明された高度な攻撃検知能力
- 24時間365日モニタリングとエキスパートによる充実したサポート
- 運用負荷の軽減とコストの削減
Cloudbric WMS for AWS WAFは、AWS WAFのルール管理と運用を支援するマネージドサービスです。AWS環境でのWAF運用を効率化し、業種を問わず活用できます。
ImpervaWAF (株式会社Imperva Japan)
- Gartner® Magic Quadrant™で8年連続リーダー
- 誤検知ほぼゼロで、正確な脅威を検知。
- SaaS、アプライアンスなど柔軟な導入が可能
ITトレンドでは、最新の製品・サービスを多数比較・掲載しています。まず資料を取り寄せて機能や特徴をさまざまな製品を比較してみてください。忙しい業務時間内でも、各社に問い合わせる手間なく、たった1回の入力(約60秒)でWAFの一括資料請求が可能です。浮いた時間で、じっくりと製品を比較検討し進めましょう。
WAFの業種別選定に関するFAQ
業種別選定についてよくある質問と回答をまとめました。
- ■Q1:PCI DSS対応のためにWAFを選ぶ際の最低要件はなんですか?
- WAF自体がPCI DSS準拠の環境で動作しているか、ベンダーのAOC(準拠証明書)を取得できるかが最低要件です。WAFの設定がPCI DSS 6.4の要件を満たしているかをQSAと確認することをお勧めします。
- ■Q2:医療機関でクラウド型WAFを使用する際の注意点はなんですか?
- 診療情報を含む通信がWAFを経由する場合、データの保管・利用ポリシーをサービス契約で確認することが必要です。院内のセキュリティ委員会と情報システム部門が連携して導入可否を判断することをお勧めします。
- ■Q3:製造業でWAFを導入する際に誤検知を防ぐ方法はありますか?
- ホワイトリスト方式(許可する通信を明示的に定義する設定)を組み合わせる方法が有効です。本番導入前にテスト環境で産業系システムの通信パターンをWAFに学習させる期間を設けることをお勧めします。
まとめ
WAFの選び方は業種によって異なります。ECはPCI DSS対応とボット対策、金融は高可用性と規制対応、医療は個人情報保護ガイドライン対応、製造業は誤検知リスクの管理、官公庁は政府セキュリティ基準への準拠が主な確認ポイントです。業種固有の要件を整理してベンダーに提示し、対応できる製品を選定することが導入成功の前提です。まずは資料請求で各製品の業種対応実績を確認してみてください。
