WAFの種類と3つの選び方とは|検知方式や必要性もやさしく解説！

WAFの種類とは

WAFは、ソフトウェア型とハードウェア型の2種類に大分されます。

ソフトウェア型（ホスト型）WAF

ソフトウェア型は、WebサーバーやOSに幅広く対応しており、既存のサーバーに導入することで運用することができます。加えて、シグニチャ更新時の再起動も不要なため、汎用性に富んだ製品と言えるでしょう。

ハードウェア型（ゲートウェイ型）WAF

一方で、ハードウェア型はWebサーバーに拠らず、ファイアウォールの設定の見直しやネットワークの再構成などが必要となります。また、シグニチャ更新時の再起動も必要なため、専門的な担当者を抱えている企業であれば、自社に最適の設定を行うことができるでしょう。

WAFの3つの選び方とは

これまでWAFの種類について解説してきました。次にWAFの選び方について３つの視点からみていきましょう。

選定ポイント1. WAFの運用目的を明確に

WAFを導入する際の、選定ポイント1つ目は「WAFの運用目的」にあります。具体的には、以下の3つです。

目的１．開発者と運営者の違うWebアプリケーションのセキュリティ機能を強化したい場合

開発者と運営者が異なるWebアプリケーションのセキュリティを更新、または強化する際には、多くの問題が横たわっています。開発ソースの確認や、セキュリティに脆弱性が見つかった際の修正パッチが、すでにサポートを終了しているなどの問題です。

目的２．開発者にWebアプリケーションの改善を依頼できない場合

Webアプリケーションの開発作業は、他社にアウトソージングを行うこともあり、依頼先がすでに事業から身を引いている場合もあります。その際に、Webアプリケーションのセキュリティを強化するためにはWAFの導入を検討しなければなりません。

目的３．商用製品・オープンソースのソフトウェアを使ってWebサイトを構築している場合

商用製品やオープンソースのソフトウェアを使っている場合は、セキュリティ機能の改善や強化ができない場合があります。この場合にも、WAFを導入することによってネットワークセキュリティの機能を強化する方が吉でしょう。

選定ポイント2. 豊富な機能性

WAFを導入する際の選定ポイント2つ目は、「機能のバリエーション」にあります。

WAFはWebアプリケーションを監視し、その動きを管理することでセキュリティ機能を果たします。定期的にセキュリティ情報のレポートを作成し、一定期間内の自社のセキュリティ状況を把握できる機能なども、付属していると安心できる機能です。レポートの内容によって自社のセキュリティ機能を見直す機会を得ることができるからです。

また、脅威が検出された際の通知方法も、豊富な方が好ましいでしょう。様々な方法で脅威を通知してくれることで、迅速に外部からの脅威に対応することができ、今後のセキュリティ対策を考案する判断材料にもなります。

さらに、専門のセクションを抱えていない企業であればWAFのホワイトリストの設定項目の作成は、非常に困難を伴います。

中には、ホワイトリストを自動で作成してくれる機能を有したものもあり、知識のない方でも高度な設定を施すことが可能となります。一方、ブラックリストの自動更新機能も付属している製品もあり、これによって常に最新のセキュリティ対策を講じることができるでしょう。

選定ポイント3. 自社に適した製品か

WAFを導入する際の選定ポイント3つ目は「Webサイト構築や運用などの観点から自社に適した製品を見分けること」にあります。

Webサイト構築の観点からみると、WAFを導入することでWebサイトの構成も変わってしまうため、業務に支障が出ないかどうか、といった点を考慮する必要があるでしょう。また、Webサイトの運用の観点からは、UIや操作感覚などの使いやすさを重視するべきだと言えます。

そもそもWAFとは

ファイアウォールやIDS・IPSでは防げない不正な攻撃が相次いでおり、被害に遭ったケースの中には、Webサイトの改ざんや不正アクセスによる社内機密の漏洩などがあり、Webサイトのセキュリティ強化はおろそかにできない状況になっています。

その中でも、Webアプリケーションに特化したセキュリティシステムがWAFと呼ばれるものです。年々、複雑化しているWebアプリケーションの脆弱性を狙った不正な攻撃に対応するのは、多くの企業にとって急務と言えるでしょう。

コストを抑えながらも、必要なWebアプリケーションの保護を行うためにはWAFの導入が欠かせません。ファイアウォールはイントラネットと外部ネットワークの中継地点に設置し、ネットワークを保護する機能を有しています。また、IDS・IPSはOSとサーバーを保護しており、WAFはWebアプリケーションに特化したセキュリティシステムなのです。

インターネットを使ったマーケティング手法が一般化する中、ほとんどの企業がインターネットを利用しています。Webアプリケーションの脆弱性を狙った不正アクセスには、ファイアーウォールやIDS・IPSでは対処することができないのです。

WAFの検知方法とは

WAFのアクセスの可否の設定方法はブラックリスト式とホワイトリスト式の2種類があります。

通過させない通信を登録するブラックリスト方式

ブラックリスト式は、WAFを通過させないものを設定することで、セキュリティ機能を果たします。また、WAFベンダから提供され、更新サービスも提供されるため、設定項目作成のコストを削減し、最新の保護を受けることが可能です。

通過させる通信を登録するホワイトリスト方式

一方、ホワイトリスト式は、WAFを通すものを設定します。ユーザー自身でパラメーターなどを設定し、設定項目の作成に時間を要しますが、専門のセクションを有する企業であれば、自社に最適の設定を行うことでより強固なセキュリティを構築することも可能です。

また以下の記事でWAFの検知方式について詳しく解説しています。ホワイトリスト方式・ブラックリスト方式について詳しく知りたい方は参考にしてください。

▼WAFの検知方式について詳しく知ろう！
参考記事：WAFにおけるホワイトリスト方式とブラックリスト方式とは

WAFの必要性とは

WAFは、Webアプリケーションに焦点を当てたセキュリティシステムです。ブロック機能や、モニタリング機能、ログ機能、シグネチャ機能、ソフトウェアの自動更新、指定したURLの設定からの除外、SSL通信による暗号化など、ネットワークセキュリティを向上させる豊富な機能を備えています。

WAFを導入する目的は、外部ネットワークからの侵入を防ぐことにあります。Webアプリケーションを常に監視し、その動きを詳細に管理することで、強固なセキュリティを実現するのです。

また、WAFはWeb（http、https）を保護し、Webアプリケーションに特化しているため、不正検知の精度は極めて高いのが特徴です。ドッグイヤーという、猛烈な速度で進化を遂げているのはインターネットだけではありません。

それに比例して、不正アクセアスの手口も巧妙かつ悪質で、気がつきにくいものに日々進化しています。WAFを導入することで、自社のネットワークセキュリティを万全に保つことが可能となります。

WAFの理解を深めて最適なWAFを選ぼう

これまでWAFの種類と選び方だけでなく機能や必要性についてもみてきました。日々、巧妙化する悪質な不正アクセスを防ぐためにはWAFの導入は不可避だと言えます。自社に最も適したWAFを導入することで、快適な状態で堅牢、かつ万全なネットワークセキュリティを構築することができるでしょう。