WAF導入の注意点とは|誤検知・チューニングコストについて解説！

WAF導入時の注意点とは

WAF導入時の注意点として、代表的なものに誤検知があります。この誤検知はセキュリティレベルの設定に起因するのですが、最適なレベルを保とうとうすると新たなコストが発生します。具体的には「誤検知」、「初期・運用コスト」、「サイト停止のリスク」です。

それでは具体的な注意点について確認した後で、どのような対策ととればよいのか解説していきます。

注意その１．WAFによる誤検知の発生

Webサイトにクレジットカード情報などの顧客情報などを蓄積する場合、WAFの設置は必須となります。とはいえ、セキュリティレベルを厳しくし過ぎると、WAFが誤検知を起こしユーザーがWebアプリケーションを利用しづらくなります。

反対に緩めすぎると、サイバー攻撃のリスクが増えます。そのため、ユーザーが不都合を感じない程度のセキュリティレベルに設定することが重要です。

導入前に保護対象・防御すべき攻撃を明らかにする

WAFのセキュリティレベル設定に際しては、あらかじめWAFによって防御したい攻撃は何か、保護対象となるWebアプリケーションを洗い出した上で、WAFの提供ベンターのサポートや外部の専門家に相談するとよいでしょう。WAFの選定時には、このようなサポートが充実しているか必ず確認しましょう。

導入後はセキュリティレベルを調整し誤検知を防止する

導入後のセキュリティレベルの設定は暫定的なものと捉え、運用開始後に検証しながら調整し、誤検知を防ぐ必要があります。また誤検知に偽陽性と偽陰性があるので注意しましょう。

具体的には利用者の正常な通信を遮断してしまう誤判定（偽陽性）、攻撃者による不正な通信を正常な通信として通過させてしまう誤判定（偽陰性）の発生を常に監視し、適性なセキュリティレベルを保つようにしましょう。

注意その２．初期コストと運用コスト

セキュリティ製品であるWAFの利用には初期コストはもちろん運用コストもかかります。その中でも特に特徴的な運用コスト としてチューニングがあげられるでしょう。

そこでここではWAFの基本的な初期コストについて確認した後に、チューニングをはじめとする運用コストについて解説していきます。

利用形態によって異なる初期コスト

WAFの利用形態によって、ハード型ではWAFの台数分のコスト、ソフト型ではライセンスとインストールするサーバのコストが発生します。

大規模になれば、およそ100万円以上の初期費用と年間数10万円以上の運用費用が必要となり、収益力のあるWebサイトでは問題ありませんが、ブランディングなどを目的とするオウンドメディアなどの場合は、コスト的に厳しくなってしまうのです。

これまでハード型やソフト型によるWAFが主流でしたが、近年はクラウド型が普及してきており、費用面のハードルは下がり始めています。

検知率のチューニングで発生する運用コスト

一般的にWAFは、出荷時の初期設定のまま利用すると不正アクセスなどの検知率が最低限の状態に設定されているため、利用開始時にはWAFの検知率の強度をチューニングすることが必須になります。

しかし、WAFの検知率のチューニングは、単純に検知率を高めればよいというものではなく、Webサイト管理者であっても過剰検知によるユーザビリティが悪くならないようバランスの良い設定にすることは難しいとされています。

そのため、WAFに詳しい方や専門の方にチューニングを依頼するケースもあります。外部の専門家に依託すれば、その費用が発生してしまいます。WAFのベンダーには、出荷時の初期設定を過剰検知にならないギリギリの設定にして、極力チューニングなしで利用開始できるようにしている製品もあります。

また、クラウド型ではチューニングなどもサポートされていることが多く、WAFに詳しい担当者がいなければ「クラウド型のWAF」を選定することが最優先となるでしょう。

注意その３．Webサイト停止のリスク分散

「DMZ(DeMilitarized Zone: 非武装地帯)」に存在するWebサイトすべてを1つのWAFでまかなうのはリスクが伴います。もしトラブルが発生した時に、Webサイト全体が停止、もしくは閉鎖しなければいけないからです。

Webから主な収益を得ている企業にとっては、このサービス停止期間は大きな機会損失となります。そこで、リスクを回避するために複数のWAFを導入する方法をおすすめします。

例えば、DMZ上の1つのリバースプロキシ(Webブラウザの代わりにWebサーバにアクセスするサーバ)によりWebサーバを分割し、それぞれにWAFを導入する方法があります。WAFが別々に存在することで、トラブル時のリスク分散になります。

Webサーバを公開したらWAFは必須！

Webサイトは公開された直後から悪意のあるBotがクローリング（Webを巡回）し、脆弱性がないかWebサーバーにアクセスしてきます。公開直後は、まだ存在を知らせていないから、アクセス数が少ないから、と安心してはいけません。公開と同時にWAFを設置しましょう。

少し専門的ではありますが、ここで紹介した注意点は、WAFの導入前に知っておいて損はないでしょう。近年、クラウド式WAFでは、多くのWAFを的確なところに導入し、運用のサポートを手動でしていただけるサービスが増えています。このようなハイブリッド型ツールであれば、上記のようなリスクを恐れずにWAFの導入に踏み込めることができます。