インターネットの普及によって、さまざまなオンラインサービスが提供されています。一方で、インターネットを介したサイバー犯罪の被害が多発しているのも事実です。なかでもWebアプリケーションは、セキュリティ面での対策が難しく、サイバー攻撃の的になりやすいのが実状です。

この問題を解決するために一役買っているのが、今回紹介する「WAF」と呼ばれる技術です。ここでは、WAFの概要や導入効果などについて解説します。

WAFとは?

WAFとは、Web Application Firewallの略です。名前に「ファイアウォール」とあるように、インターネットを介した悪意のある攻撃を防ぐシステムの一種です。簡単に言えば、インターネット経由で利用するWebアプリケーションに特化したファイアウォールで、アプリケーションの脆弱性を狙った攻撃を自動検知するサービスです。

一般的なファイアウォールは、インターネットの通信を監視し、あらかじめ定義された不正なパターンと照らし合わせ、一致すればブロックするものです。一方、WAFは通信の中身を調べ、不正かどうかを詳細にチェックできます。データベースの不正な読み取りやデータの改ざんなどを行う、SQLインジェクションといったサイバー攻撃から、WebサーバやWebサイトを守る有効なセキュリティ対策と言えます。

WAFの必要性

そもそもなぜWAFが必要なのでしょうか。Webアプリケーションにおける弱点などを指摘しつつ、その重要性を解説します。

Webアプリケーションには「弱点」がある

さまざまなオンラインサービスが提供されている昨今、企業や個人は、ビジネスのさまざまなシーンでWebアプリケーションを活用しています。しかし、実はWebアプリケーションには弱点があります。それはWebアプリケーションにある「脆弱性」です。ハッキングなどのサイバー犯罪はWebアプリケーションの脆弱性を突いて行われることが多いため、Webアプリケーションは標的になりやすいのです。

さらに、一般的なPCソフトとは違い、常にネット上にさらされているWebアプリケーションは、セキュリティ対策を適用しにくいと言われています。また、多くの場合、アプリケーションの開発予算が限られているため、最初から十分な対策を施すことが難しいという現状もあります。

弱点を補うためのWAF

そこで役立つのがWAFです。WAFはWebサイトの前に設置され、Webアプリケーションへの悪意ある攻撃をブロックします。WAFの導入によって、Webアプリケーションにつながる通信は細かくチェックされ、不正なアクセスをシャットアウトすることが可能になります。WAFはいわば、Webアプリケーションが持つ脆弱性を突いたサイバー攻撃への対策を、後から補うためのサービスといえます。

WAFを導入しておきたい企業

以上のことから、WAFはWebサービスを中心に事業を展開している企業には、特に必要だと言えます。例えば、ECサイトの制作を行っている企業や、ECサイトを運営している企業などです。このような企業は、ひとたびサイバー攻撃の被害に遭えば、大切な顧客データはもちろん、クレジットカードデータなど、重要な情報が漏えいしかねません。サイバー攻撃に対して大きなリスクを抱える企業ほど、セキュリティ対策に万全を期しておきたいところです。

WAFの種類

一口にWAF といっても、さまざまな種類があります。設置場所によって、大きく3種類に分けられます。それぞれ得意分野やコスト面での違いがあるので詳細を解説します。

ホスト型(ソフトウェア型)

自社のWebサーバにソフトウェアをインストールするタイプです。インストールするだけで済むため、導入が簡単です。新しく機器を購入する必要もないので、コストを抑えることもできます。

ただし、サーバが複数台ある場合は、その台数分だけソフトウェアが必要になります。したがって、台数が多いほどコストが高くなるうえ、サーバへの負荷も増し、パフォーマンスが低下する恐れもあります。

ネットワーク型(アプライアンス型、ゲートウェイ型)

自社のWebサーバに新しく専用のネットワーク機器を追加するタイプです。設置する機器を用意する費用はかかりますが、ホスト型と異なり複数のサーバを1台で保護することが可能になります。そのため、サーバの台数が多くてもコストがかさむ心配はありません。

クラウド型(サービス型)

インターネットを利用したクラウドサービスのタイプです。クラウドなので機器やソフトを導入する必要がなく、初期コストを大幅に抑えられます。また、簡単に導入できるため、トライアルで使ったり、自社サービスや用途・予算に合わなければサービス事業者を変えることができます。

一方で、利用している間は月額料金等の費用が発生します。また、サービス事業者によっては十分なセキュリティを確保できない場合があるため、信頼性の高いサービス事業者を探す必要があります。

WAFでリスクを低減

WAFはサイバー犯罪の被害を防ぐための効果的な手段です。WAFの導入には費用がかかりますが、大きなリスクを低減するためには必要なコストです。近年は顧客ニーズや企業文化、規模にあったさまざまなWAFが提供されており、クラウド型など比較的手軽に導入できるサービスもあります。悪意のある攻撃から大事な情報を守るためにも、ぜひWAFの導入を検討してみてください。

ただし、WAFを導入したからといってすべての攻撃が防御できるわけではありません。アプリケーションの利用者と見分けがつかないアクセスによる攻撃の場合、防御できないこともありますので、恒久的な対処としてWEBサーバへセキュリティパッチをあてていく運用も必要です。

ビッグローブのクラウド型CMSサービス「Pattern Style CMS」では、オプションサービスでWAFを提供しています。さらに、クリティカルなセキュリティパッチについては即時適用し、安心して利用できる運用設計をしています。クラウド型WAFだけでもご利用が可能ですので、お気軽にお問い合わせください。

クラウド型CMSを導入するならPattern Style CMS