WAF導入時や運用上の注意点とは?誤検知などのトラブル対策法
更新日 : 2022年08月26日
WAFはWebアプリケーションへの攻撃を防ぐための有効なセキュリティ対策となり得ますが、導入や運用には課題があります。 導入を検討する際には、それらの課題を意識しトラブルが生じないよう、あらかじめ対策を採っておくことが重要となるでしょう。 |
目次 |
WAFとは
WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を突いた攻撃に対するセキュリティ対策のひとつです。Webアプリケーションの前面やネットワークに配置し、脆弱性を悪用した攻撃を検出・低減する対策です。
|
WAF導入時の課題・注意点
WAFは、ソフトウェアや専用機器を導入さえすれば対策が完了するというものではありません。提供形態によってそれぞれ費用面、人材面における以下のような課題があります。 |
初期コストだけでなく運用コストも必要
WAFは一般に、アプライアンス型が最も導入コストが高く、次いでソフトウェア型、クラウド型の順に安くなります。いずれも初期費用だけでなく、運用のための費用が掛かります。 アプライアンス型はWAFの専用機器の購入が必要です。また組織内のネットワーク構成の変更を行うことから導入のための期間も長期になりがちで、導入後も長時間の監視とシグネチャの頻繁な更新を行うことになります。したがって機器の費用や人件費のほか、相応の費用が必要です。 ソフトウェア型も、Webサーバーごとにソフトウェアのインストールが必要であるため、サーバーの台数の増加に伴いライセンス費が掛かります。ソフトウェアのアップデートも必要で、運用費が掛かるのはアプライアンス型と同じです。 クラウド型は、サービスの購入費用・月々の利用料は掛かるものの契約内容によって価格は異なり、通信料が多いものほど高くなる傾向にあります。ただし、メンテナンスはサービス提供元に任せることができる利点もあります。 |
誤検知・誤遮断への対応ができる担当者が必要
アプライアンス型、ソフトウェア型の場合、Webアプリケーションへの未知の攻撃に対応するためには、手法が判明し次第シグネチャやソフトウェアを更新することとなります。しかしセキュリティレベルを厳しくしすぎると、Webサービスによっては正しい通信が攻撃とみなされ通信が遮断されるケースが起こり得ます。 |
WAFの課題の解決策
WAFのセキュリティレベルを適正にし、サービスの利便性とのバランスを取って運用するためには、予算の確保が大切です。 |
クラウド型にする
クラウド型はアプライアンス型やソフトウェア型と異なり、サービス提供元がメンテナンスを行うため、情報システム担当者の運用負荷を低減させることができます。 コストも比較的安価に抑えることができるため、予算が少ない場合でも導入が可能となります。 |
運用を外注する
WAFの運用人員の確保が難しい場合には、運用サービスを手掛けている企業に外注する手があります。 運用を外注する際には、サービスの導入実績やどのような規模の企業に導入されているかなどを確認し、導入・運用のノウハウが確立されているサービスを選びましょう。 |
▼クラウド型WAFを簡単導入&運用のアウトソーシングなら▼
|
まとめ
今回は、WAFを導入・運用する際に注意したいポイントについてご紹介しました。 自社のWebサービスが止まれば、運営、ひいては会社経営に大きなインパクトとなることは否めません。 |
WAFに関連するコラム
エンジニアによる製品・サービスの検証内容や技術的なお役立ち情報をブログ形式でご紹介します。
Azureへのウェブ攻撃の実態ポイント最も使われているCMS「WordPress」をAzureのIaaS環境にセットアップし、どのような攻撃がウェブサイトへやってるくるか検証した内容をご紹介します。 コラムを読む |