<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-MZLZR25" height="0" width="0" style="display:none;visibility:hidden"></iframe>

WAF導入時や運用上の注意点とは?誤検知などのトラブル対策法

WAFはWebアプリケーションへの攻撃を防ぐための有効なセキュリティ対策となり得ますが、導入や運用には課題があります。

導入を検討する際には、それらの課題を意識しトラブルが生じないよう、あらかじめ対策を採っておくことが重要となるでしょう。

そこで今回は、WAFを導入・運用する際に注意が必要な点についてご紹介します。

目次

  1. WAFとは
  2. WAF導入時の課題・注意点
  3. WAFの課題の解決策
  4. まとめ




WAFとは

WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を突いた攻撃に対するセキュリティ対策のひとつです。Webアプリケーションの前面やネットワークに配置し、脆弱性を悪用した攻撃を検出・低減する対策です。

WAFは提供形態によって、大きく以下の3つに分類されます。

  1. ソフトウェア型:Webサーバーにソフトウェアをインストールする方式
  2. アプライアンス型:各組織のネットワークにWAFの専用機器を設置する方式
  3. クラウド型(サービス型):クラウドサービスを利用する方式


WAFとは何かについては、以下の記事で詳しく解説しています。

お勧め記事

WAFとは?今さら聞けないセキュリティ対策の仕組みを解説

本記事ではWAFの種類や仕組みについて、Webセキュリティ初心者の方でも分かりやすいように詳しくご紹介します。WAFの導入を検討している企業の方はぜひチェックしてください。

詳しく »






WAF導入時の課題・注意点

WAFは、ソフトウェアや専用機器を導入さえすれば対策が完了するというものではありません。提供形態によってそれぞれ費用面、人材面における以下のような課題があります。

初期コストだけでなく運用コストも必要

WAFは一般に、アプライアンス型が最も導入コストが高く、次いでソフトウェア型、クラウド型の順に安くなります。いずれも初期費用だけでなく、運用のための費用が掛かります。

アプライアンス型はWAFの専用機器の購入が必要です。また組織内のネットワーク構成の変更を行うことから導入のための期間も長期になりがちで、導入後も長時間の監視とシグネチャの頻繁な更新を行うことになります。したがって機器の費用や人件費のほか、相応の費用が必要です。

ソフトウェア型も、Webサーバーごとにソフトウェアのインストールが必要であるため、サーバーの台数の増加に伴いライセンス費が掛かります。ソフトウェアのアップデートも必要で、運用費が掛かるのはアプライアンス型と同じです。

クラウド型は、サービスの購入費用・月々の利用料は掛かるものの契約内容によって価格は異なり、通信料が多いものほど高くなる傾向にあります。ただし、メンテナンスはサービス提供元に任せることができる利点もあります。


誤検知・誤遮断への対応ができる担当者が必要

アプライアンス型、ソフトウェア型の場合、Webアプリケーションへの未知の攻撃に対応するためには、手法が判明し次第シグネチャやソフトウェアを更新することとなります。しかしセキュリティレベルを厳しくしすぎると、Webサービスによっては正しい通信が攻撃とみなされ通信が遮断されるケースが起こり得ます。

このような誤検知・誤遮断が度々発生すると、「使いづらいサービス」とユーザーが認識してしまう可能性もあるでしょう。このため、正しい通信が誤検知されないようにする必要がありますが、シグネチャやソフトウェアの更新は専門知識がなければ難しく、時間も掛かります。

WAFの課題の解決策

WAFのセキュリティレベルを適正にし、サービスの利便性とのバランスを取って運用するためには、予算の確保が大切です。

またそれとともに、ネットワークやセキュリティの専門的な知識を持った担当者が必要不可欠となります。Webサービスの性質によっては、24時間監視することも必要となるかもしれません。

もし予算や人員の確保が難しい場合は、導入時に以下のような検討をしたいところです。

クラウド型にする

クラウド型はアプライアンス型やソフトウェア型と異なり、サービス提供元がメンテナンスを行うため、情報システム担当者の運用負荷を低減させることができます。

コストも比較的安価に抑えることができるため、予算が少ない場合でも導入が可能となります。

運用を外注する

WAFの運用人員の確保が難しい場合には、運用サービスを手掛けている企業に外注する手があります。

運用を外注する際には、サービスの導入実績やどのような規模の企業に導入されているかなどを確認し、導入・運用のノウハウが確立されているサービスを選びましょう。

▼クラウド型WAFを簡単導入&運用のアウトソーシングなら▼
JBサービスにお任せください!

おすすめサービス

Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策

Barracuda WAF as a Serviceは、Webサイトをサイバー攻撃から防御するクラウド型Webセキュリティサービスです。JBサービス株式会社は、企業の情報セキュリティ対策や最適なIT運用のためのご支援・ソリューションをご提供いたします。

詳しく »





まとめ

今回は、WAFを導入・運用する際に注意したいポイントについてご紹介しました。

自社のWebサービスが止まれば、運営、ひいては会社経営に大きなインパクトとなることは否めません。

経営層を巻き込んで費用面、人材面においての課題も洗い出し、自社に最適なWAF形態を選ぶようにしましょう。

WAFに関連するコラム

エンジニアによる製品・サービスの検証内容や技術的なお役立ち情報をブログ形式でご紹介します。

Azureへのウェブ攻撃の実態

ポイント

最も使われているCMS「WordPress」をAzureのIaaS環境にセットアップし、どのような攻撃がウェブサイトへやってるくるか検証した内容をご紹介します。

コラムを読む

便利なWordPressに潜む危険性

ポイント
日本国内でも多くのウェブサイトで利用されているWord Pressに潜む危険性をスキャンしてみた結果をご紹介・解説します。
コラムを読む

WAFとは?仕組みを解説

ポイント

WAFの種類や仕組みについて、Webセキュリティ初心者の方でも分かりやすいように詳しくご紹介します。

コラムを読む





WAFの導入関するご相談・お問い合わせ




関連サービス
〔クラウド型WAF〕Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策

〔クラウド型WAF〕Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策

Barracuda WAF as a Serviceは、Webサイトをサイバー攻撃から防御するクラウド型Webセキュリティサービスです。JBサービス株式会社は、企業の情報セキュリティ対策や最適なIT運用のためのご支援・ソリューションをご提供いたします。

詳しく »