WAF導入の注意点とは？検知・チューニングコストについて解説！

2019年03月25日最終更新
WAF（Web Application Firewall）の製品一覧

WAFとは、Webアプリケーションへの攻撃の検知・防御に特化しているセキュリティツールです。WAFの役割としてファイアウォールやIPSでは対処しきれない範囲をサポートが挙げられます。特に近年のサイバー攻撃の80%程度をWAFが防御をしているというデータもあります。

とはいえWAFの導入だけでWebアプリケーションの脆弱性を完璧に解決するわけではありません。そこでこの記事では、誤検知やチューニングコストといった「WAFならでは」の注意点についてご紹介します。

WAF（Web Application Firewall）の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

WAF導入時の注意点とは

WAF導入時の注意点として、代表的なものに誤検知があります。この誤検知はセキュリティレベルの設定に起因し、最適なレベルを保とうとうすると新たなコストが発生します。具体的には「誤検知」、「初期・運用コスト」、「サイト停止のリスク」です。

それでは具体的な注意点について確認した後で、どのような対策ととればよいのか解説していきます。

注意その１．WAFによる誤検知の発生

Webサイトにクレジットカード情報などの顧客情報を蓄積する場合、WAFの設置は必須となります。とはいえ、セキュリティレベルを厳しくし過ぎると、WAFが誤検知を起こしユーザーがWebアプリケーションを利用しづらくなります。

一方でセキュリティレベルを緩めすぎると、サイバー攻撃のリスクが増えます。そのため、ユーザーが不都合を感じない程度のセキュリティレベルに設定することが重要です。

導入前に保護対象・防御すべき攻撃を明らかにする

WAFのセキュリティレベル設定に際して、あらかじめWAFによって防御したい攻撃は何か、保護対象となるWebアプリケーションを洗い出した上でWAFの提供ベンターのサポートや外部の専門家に相談しましょう。またWAFの選定時には、このようなサポートが充実しているか確認することも大切です。

導入後はセキュリティレベルを調整し誤検知を防止する

導入後のセキュリティレベルの設定は暫定的なものと捉え、運用開始後に検証しながら調整し誤検知を防ぐ必要があります。また誤検知に偽陽性と偽陰性があるので注意しましょう。

具体的には利用者の正常な通信を遮断してしまう誤判定（偽陽性）、攻撃者による不正な通信を正常な通信として通過させてしまう誤判定（偽陰性）の発生を常に監視し、適性なセキュリティレベルを保つことが必要です。

注意その２．初期コストと運用コスト

セキュリティ製品であるWAFの利用には初期コストはもちろん運用コストもかかります。その中でも特に特徴的な運用コストとしてチューニングが挙げられます。

利用形態によって異なる初期コスト

WAFの利用形態によって、ハード型ではWAFの台数分のコスト、ソフト型ではライセンスとインストールするサーバのコストが発生します。

利用が大規模になれば、およそ100万円以上の初期費用と年間数10万円以上の運用費用が必要となります。収益力のあるWebサイトでは問題ありませんが、ブランディングなどを目的とするオウンドメディアなどの場合は費用対効果に見合わないといった課題も発生します。

一方で主流であったハード型やソフト型のWAFに対し、近年はクラウド型が普及してきたため、費用面のハードルは下がり始めていることも事実です。

検知率のチューニングで発生する運用コスト

一般的にWAFは、出荷時の初期設定のまま利用すると不正アクセスなどの検知率が最低限の状態に設定されているため、利用開始時にはWAFの検知率の強度をチューニングすることが必須になります。

しかし、WAFの検知率のチューニングは、単純に検知率を高めればよいというものではありません。誤検知が多くなりすぎると、ユーザビリティが悪くなってしますたまです。

その解決策としてWAFの専門の方にチューニングを依頼する方法があります。しかし外部の専門家に依託すれば、その費用が発生してしまいます。またWAFのベンダーには、出荷時の初期設定を過剰検知にならないギリギリの設定にして、極力チューニングなしで利用開始できるようにしている製品もあります。

一方でクラウド型のWAFはチューニングなどもサポートされていることが多く、WAFに詳しい担当者がいなければ「クラウド型のWAF」を選定するとよいでしょう。

注意その３．Webサイト停止のリスク分散

「DMZ(DeMilitarized Zone: 非武装地帯)」に存在するWebサイトすべてを1つのWAFで防御するのはリスクが伴います。なぜならトラブルが発生した際に、Webサイト全体が停止、もしくは閉鎖しなければいけない事態が起きるためです。

特にWebから主な収益を得ている企業にとっては、このサービス停止期間は大きな機会損失となります。そこで、リスクを回避するために複数のWAFを導入する方法をおすすめします。

例えば、DMZ上の1つのリバースプロキシ(Webブラウザの代わりにWebサーバにアクセスするサーバ)によりWebサーバを分割し、それぞれにWAFを導入する方法があります。WAFが別々に存在することで、トラブル時のリスク分散になります。

Webサーバを公開したらWAFは必須！

Webサイトは公開された直後から悪意のあるBotがクローリング（Webを巡回）し、脆弱性がないかWebサーバーにアクセスしてきます。「公開直後はまだ存在を知らせていないから」と安心してはいけません。公開と同時にWAFの設置を行いましょう。

WAF（Web Application Firewall）の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

このカテゴリーに関連する記事

WAFにおけるホワイトリスト方式とブラックリスト方式とは

WAFとは？仕組みやメリットなど初心者でもわかるように解説！

WAF導入の注意点とは？検知・チューニングコストについて解説！

WAFで防げない攻撃は？絶対に知っておくべきセキュリティ対策

WAFとSSLの違いは？問題なく併用するにはどうすべき？

OSSのWAF製品比較４選！特徴や注意点を分かりやすく解説

WAFの種類と3つの選び方とは|検知方式や必要性もやさしく解説！

WAFの機能とは？防げる攻撃や検知方式も同時に解説！

WAFによるSQLインジェクション攻撃対策とは｜被害事例も解説！

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「WAF導入の注意点とは？検知・チューニングコストについて解説！」というテーマについて解説しています。WAFの製品導入を検討をしている企業様は、ぜひ参考にしてください。

10月21日(月) 更新
	企業のビジネスを守るエンタープライズ・セキュリティの実現cloudbric ペンタセキュリティシステムズ株式会社
	国内のクラウド型WAF市場シェア連続 NO.1のWAF【Scutum（スキュータム）】株式会社セキュアスカイ・テクノロジー
	Webサービスを様々な脅威から守り安心・安全な運用をご提供secuWAF 株式会社セキュアイノベーション
一覧を見る