WAFの種類
WAFは、ソフトウェア型とアプライアンス型、そしてクラウド型の三種類に分類できます。
ソフトウェア型(ホスト型)WAF
ソフトウェア型は、自社にあるWebサーバーにWAFのソフトウェアをインストールする形態です。
ソフトウェア型のメリット
- ・既存のサーバーにインストールするだけで簡単に利用可能
- ・シグニチャ更新の再起動も不要なため、汎用性に富んでいる
ソフトウェア型のデメリット
- ・サーバーに負荷がかかるようになり、Webサイトのスピードが落ちてしまう可能性が高まる
アプライアンス型(ゲートウェイ型)WAF
アプライアンス型は、専用の機器を用意し、Webアプリケーションの手前に設置する種類です。新たにWebサーバーに拠らず、ファイアウォールの設定の見直しやネットワークの再構成などが必要となります。
アプライアンス型のメリット
- ・柔軟にカスタマイズできる
→自社にあった対策が可能
アプライアンス型のデメリット
- ・専用機器を導入するぶん、初期費用がかさむ
- ・導入後も維持費用がかかってくる
クラウド型(サービス型)WAF
クラウド型のWAFは、専用の機器やサーバーを必要とせず、クラウド上でベンダーからサービスを受ける形態です。近年ではクラウド型がWAFの周流となっており、多くのベンダーがクラウド型を提供しています。
クラウド型のメリット
- ・導入まで時間がかからない
- ・初期費用を抑えられる
- ・メンテナンスや更新の手間がかからない
クラウド型のデメリット
- ・サービスの質をベンダーに依存する
以下の記事では、クラウド型WAFの製品例や特徴を解説しています。
WAFの3つの選び方とは
これまでWAFの種類について解説してきました。とはいえ、どの種類をどのように選べばいいのかわからないという方も多いでしょう。それでは、WAFの選び方について見ていきます。
対策すべき攻撃を明確にする
WAFの選び方のポイント1つ目は、対策すべき攻撃を明確にするということです。WAFは基本的にWebアプリケーションのセキュリティ対策を行いますが、製品によっては守備範囲がさらに広いものもあります。
当然守備範囲の広い製品は価格も高いため、自社のセキュリティ対策の穴がWebアプリケーションだけだという場合、守備範囲の広い製品を選んでしまうと、無駄なコストが発生してしまうでしょう。
自社のセキュリティ担当者にヒアリングする
WAFを導入する際は、自社のセキュリティ担当者にヒアリングすることが重要です。セキュリティ担当者のリソースに空きがある場合、よりカスタマイズ性を重視してアプライアンス型を導入するという選択もできるでしょう。
一方、セキュリティ担当者のリソースが不足している場合は、更新やカスタマイズをベンダーが行ってくれるクラウド型を導入することが賢明です。
予算と費用を照らし合わせる
いくらWAFが必須だといっても、やはりWAFの導入費用と予算を照らし合わせ、予算内で導入しなければなりません。初期費用を考慮すると、クラウド型のWAFのほうがより低コストで導入できるでしょう。
一方で、コストにこだわりすぎるあまり、対応データ量が少ないプランを選んでしまうと、本来のセキュリティ機能が果たされず、本末転倒になってしまうでしょう。そのため、WAFを選ぶ際は製品について知ったうえで、検討することが肝要です。
以下の記事では、導入形態や価格を含め、WAFの製品を徹底比較していますので、WAF選びの参考にしてみてください。
WAFの種類を知って自社にあったものを選ぼう!
WAFの種類と選び方について徹底的に解説してきました。WAFは種類ごとに長所があり、一方で短所もあります。それぞれのメリット・デメリットを考慮したうえで、最終的には自社の状況と照らし合わせて判断して行きましょう。製品を検討する際は、以下のボタンから資料請求を行い、手元に資料を置いたうえで検討されることをお勧めします。
