導入前に確認すべきインフラ環境
WAFの導入方式(クラウド型・リバースプロキシ型・エージェント型・アプライアンス型)によって、対応しているインフラ環境が異なります。自社のWeb環境に合った方式を選ぶことが第一歩です。
クラウド型WAFのDNS設定と対応条件
クラウド型WAFの多くは、保護対象のWebサイトのDNSを変更してWAFのサーバー経由でアクセスが流れるリバースプロキシ方式で動作します。DNSの変更権限がある担当者が必要であり、DNS変更後の反映時間(TTL)を考慮した切り替え計画が必要です。また、オンプレミスのWebサーバーをクラウド型WAFで保護するには、ファイアウォールでWAFからの通信を許可する設定が必要になります。
DNSの変更手続きに社内承認が必要な場合や、ドメインレジストラ(ドメイン登録業者)の操作に不慣れな場合は、切り替え作業を事前にリハーサルしておくことをお勧めします。切り替え前後でサイトが正常に表示されるか、WAFが正しくトラフィックを受け取れているかを確認する手順を事前に準備しておくことが重要です。
SSL/TLS証明書とHTTPS通信の扱い
HTTPSで提供されているWebサイトへの通信をWAFが検査するためには、WAFがSSL/TLS通信を復号する必要があります。クラウド型WAFでは、保護対象サイトのSSL証明書をWAFにインポートするか、WAFが発行するSSL証明書を使用する方式が一般的です。証明書の管理方法と有効期限の更新手順をベンダーに確認しておくことが重要です。
EV証明書(拡張認証証明書)や専用の証明書を使用しているサイトでは、WAFへの証明書設定に追加の手順が必要なことがあります。マルチドメインサーバー(複数のサイトを1台のサーバーで運用している構成)でも、各サイトへのWAF適用が可能かを確認しておきましょう。証明書の自動更新に対応しているかも、長期運用の観点から確認することをお勧めします。
クラウドプラットフォームと既存システムとの互換性
AWS・Azure・Google Cloudなどのクラウドプラットフォームや、既存のCDNサービスとWAFを組み合わせる場合、設定の複雑さが増すことがあります。事前の互換性確認が重要です。
AWSやAzure上のWebアプリケーションへの適用
AWS(Amazon Web Services)やMicrosoft AzureなどのクラウドプラットフォームにホストされているWebアプリケーションにWAFを導入する場合、各クラウドプラットフォームが提供するネイティブのWAFサービス(AWS WAF・Azure WAF等)とサードパーティのWAFの両方が選択肢になります。ネイティブのWAFはクラウドサービスとの統合が容易な反面、設定の複雑さや独自のルール管理が必要な場合があります。
サードパーティのWAFをクラウド環境に導入する際は、対象のクラウドプラットフォームへの対応状況(EC2・ECS・Lambda等への対応)とネットワーク構成上の設置方法をベンダーに確認することが重要です。クラウドのオートスケーリング(トラフィックの変化に応じてリソースを自動で増減する機能)に対応しているかも確認しておきましょう。
CDNと組み合わせる場合の注意点
Cloudflare・CloudFront・Fastlyなどのコンテンツデリバリーネットワーク(CDN)と既にWAFを組み合わせている、または組み合わせを検討している場合、CDNとWAFのどちらを前段(ユーザー側)に配置するかで動作が変わります。CDNが前段にある場合、WAFはCDNのIPアドレスからのアクセスとして記録され、実際のクライアントIPが取得しにくくなる問題があります。
CDNとWAFを組み合わせる構成の設計をベンダーと事前に確認し、実際のクライアントIPをWAFのログに正しく記録できるか(X-Forwarded-Forヘッダーの扱い)を検証することが重要です。CDN統合型のWAF製品を選ぶと、構成のシンプルさと管理の一元化が実現できます。既存のCDN契約との整合性も確認してみてください。
導入条件を満たすWAFを比較する
幅広いインフラ環境に対応し、導入工数が少ないWAFを紹介します。自社の環境に合った製品を選定しましょう。
攻撃遮断くん(株式会社サイバーセキュリティクラウド)
- あらゆる規模のWebシステムへ導入できる最適なWAFを提供。
- DDoS対策プランや定額制プランなど多数のサービスプランを提供。
- 自社開発だからできる手厚いサポート体制。
攻撃遮断くん(株式会社サイバーセキュリティクラウド)は、Webサイトの前段に設置する国産のクラウド型Webセキュリティサービスです。
PrimeWAF
- 低コストで導入できるクラウド型WAF
- カンタン設定ですぐにセキュリティ対策を開始
- 初めてでも安心のサポート体制
PrimeWAFは、クラウド型のWebアプリケーションファイアウォールです。簡単設定&丁寧なサポートで初めての導入でも安心です。
Cloudbric WMS for AWS WAF
- 世界的な専門機関で証明された高度な攻撃検知能力
- 24時間365日モニタリングとエキスパートによる充実したサポート
- 運用負荷の軽減とコストの削減
Cloudbric WMS for AWS WAFは、AWS WAFの導入から運用管理までを支援するマネージドサービスです。
AWSWAF (アマゾンウェブサービスジャパン合同会社)
- マネージドルールで時間を節約し、アプリ構築に集中。
- 一般的なボットの監視、ブロック、レート制限を簡素化。
- 統合インターフェイスでセキュリティ設定ステップを最大80%削減
ITトレンドでは、最新の製品・サービスを多数比較・掲載しています。まず資料を取り寄せて機能や特徴をさまざまな製品を比較してみてください。忙しい業務時間内でも、各社に問い合わせる手間なく、たった1回の入力(約60秒)でWAFの一括資料請求が可能です。浮いた時間で、じっくりと製品を比較検討し進めましょう。
導入工数とセキュリティ設定の注意点
WAFの導入作業にかかる時間と、初期設定で注意すべきポイントを事前に把握しておくことで、導入プロジェクトをスムーズに進めることができます。
クラウド型WAFの導入工数の目安
クラウド型WAFは、DNS設定の変更とSSL証明書の設定が完了すれば数時間~1日程度で動作を開始できる製品が多くあります。ただし、誤検知がない状態で安定稼働させるためのチューニング作業は別途必要です。特に複雑なWebアプリケーションや独自のリクエスト形式を使うAPIでは、チューニングに数日~数週間かかる場合があります。
「DNSの変更から検知モードでの稼働開始」と「チューニング完了後の遮断モードへの移行」を別のフェーズとして計画することで、本番への影響を最小化しながら導入を進めることができます。ベンダーへの初期設定支援サービスの利用可否と費用をあわせて確認し、プロジェクト計画に組み込むことをお勧めします。
既存の常時SSL化やHTTP/2対応への影響確認
常時SSL化(サイト全体をHTTPSで提供する設定)やHTTP/2(Webの通信効率を高めた新しいプロトコル)に対応したサイトにWAFを導入する場合、WAFがこれらの設定に対応しているかを確認することが必要です。WAFがHTTP/2に対応していない場合、WAFを経由したリクエストがHTTP/1.1にダウングレードされてパフォーマンスが低下することがあります。
HTTP/2・HTTP/3対応状況とWebSocket(リアルタイム通信を実現する技術)への対応有無も確認しておくことで、導入後のパフォーマンス問題を未然に防ぐことができます。導入後に予期しないパフォーマンス低下が発生した場合の切り戻し手順(WAFを通らない設定に戻す手順)も、事前に確認しておくことをお勧めします。
WAFの導入条件に関するFAQ
導入条件についてよくある質問と回答をまとめました。
- ■Q1:クラウド型WAFの導入でDNS変更以外の作業は必要ですか?
- SSL証明書の設定、WAFのバックエンドアドレスをオリジンサーバーに設定する作業、ファイアウォールでWAFからの通信を許可する設定が必要です。ベンダーの導入ガイドを確認し、必要な手順を事前に整理しておくことをお勧めします。
- ■Q2:AWS上のWebアプリケーションにはAWS WAFとサードパーティのどちらが適していますか?
- どちらにも特徴があります。AWS WAFはAWSサービスとの統合が容易で運用コストを抑えやすい反面、ルール管理に専門知識が必要な場合があります。マネージドWAFサービスを使うことでルール管理の負担を軽減できます。
- ■Q3:CDNと共存させる場合、WAFの効果は変わりますか?
- CDNとWAFの組み合わせ方によって、WAFが検査できるリクエストの範囲が変わります。CDNでキャッシュされたコンテンツへのリクエストはWAFを通らない場合があります。設計段階でベンダーと構成を確認することをお勧めします。
まとめ
WAFの導入を成功させるには、DNSとSSLの設定要件確認、クラウドプラットフォームとの互換性検証、CDNとの組み合わせ設計、導入工数の見積もりが重要です。事前確認を怠ると導入後にトラブルが発生しやすいため、ベンダーに自社環境の詳細を伝えてから技術的な適合性を評価することが大切です。まずは資料請求で各製品の導入要件と対応環境を確認してみてください。
