気をつけなければいけない! WAFの注意点

WAF導入時の注意点

注意その１．初期コストと運用コスト

●利用形態によって異なるコスト

WAFの利用形態によって、ハード型ではWAFの台数分のコスト、ソフト型ではライセンスとインストールするサーバのコストが発生します。大規模になれば、およそ100万円以上の初期費用と年間数10万円以上の運用費用が必要となり、収益力のあるWebサイトでは問題ありませんが、ブランディングなどを目的とするオウンドメディアなどの場合は、コスト的に厳しくなってしまうのです。

これまでハード型やソフト型によるWAFが主流でしたが、近年はクラウド型が普及してきており、費用面のハードルは下がり始めています。

●専門性が高いWAFの検知率のチューニング

一般的にWAFは、出荷時の初期設定のまま利用すると不正アクセスなどの検知率が最低限の状態に設定されているため、利用開始時にはWAFの検知率の強度をチューニングすることが必須になります。

しかし、WAFの検知率のチューニングは、単純に検知率を高めればよいというものではなく、Webサイト管理者であっても過剰検知によるユーザビリティが悪くならないようバランスの良い設定にすることは難しいとされています。

そのため、WAFに詳しい方や専門の方にチューニングを依頼するケースもあります。外部の専門家に依託すれば、その費用が発生してしまいます。WAFのベンダーには、出荷時の初期設定を過剰検知にならないギリギリの設定にして、極力チューニングなしで利用開始できるようにしている製品もあります。

また、クラウド型ではチューニングなどもサポートされていることが多く、WAFに詳しい担当者がいなければ「クラウド型のWAF」を選定することが最優先となるでしょう。

注意その２．Webサイト停止のリスク分散

「DMZ(DeMilitarized Zone: 非武装地帯)」に存在するWebサイトすべてを1つのWAFでまかなうのはリスクが伴います。もしトラブルが発生した時に、Webサイト全体が停止、もしくは閉鎖しなければいけないからです。

Webから主な収益を得ている企業にとっては、このサービス停止期間は大きな機会損失となります。そこで、リスクを回避するために複数のWAFを導入する方法をおすすめします。

例えば、DMZ上の1つのリバースプロキシ(Webブラウザの代わりにWebサーバにアクセスするサーバ)によりWebサーバを分割し、それぞれにWAFを導入する方法があります。WAFが別々に存在することで、トラブル時のリスク分散になります。

注意その３．セキュリティレベルの選定

Webサイトにクレジットカード情報などの顧客情報などを蓄積する場合、WAFの設置は必須となります。とはいえ、セキュリティレベルを厳しくし過ぎると、ユーザーがWebアプリケーションを利用しづらくなります。反対に緩めすぎると、サイバー攻撃のリスクが増えます。そのため、ユーザーが不都合を感じない程度のセキュリティレベルに設定することが重要です。

WAFのセキュリティレベル設定に際しては、あらかじめWAFによって防御したい攻撃は何か、保護対象となるWebアプリケーションを洗い出した上で、WAFの提供ベンターのサポートや外部の専門家に相談するとよいでしょう。WAFの選定時には、このようなサポートが充実しているか必ず確認しましょう。

導入後のセキュリティレベルの設定は暫定的なものと捉え、運用開始後に検証しながら調整してく必要があります。利用者の正常な通信を遮断してしまう誤判定（偽陽性）、攻撃者による不正な通信を正常な通信として通過させてしまう誤判定（偽陰性）の発生を常に監視し、適性なセキュリティレベルを保つようにしましょう。

まとめ　～ Webサーバを公開したらWAFは必須！～

Webサイトは公開された直後から悪意のあるBotがクローリング（Webを巡回）し、脆弱性がないかWebサーバーにアクセスしてきます。公開直後は、まだ存在を知らせていないから、アクセス数が少ないから、と安心してはいけません。公開と同時にWAFを設置しましょう。

少し専門的ではありますが、ここで紹介した注意点は、WAFの導入前に知っておいて損はないでしょう。近年、クラウド式WAFでは、多くのWAFを的確なところに導入し、運用のサポートを手動でしていただけるサービスが増えています。このようなハイブリッド型ツールであれば、上記のようなリスクを恐れずにWAFの導入に踏み込めることができます。