Web媒体を通じて事業を行う際には、個人情報や社外秘が外部に漏れるといったセキュリティインシデントに気を付けなければなりません。

ひとたび、個人情報などが流出してしまうと、自社のブランドイメージを損なうばかりか、損害賠償問題にまで発展することも。そうならないためにも、Web媒体は強固なセキュリティで固める必要があります。

「WAF」は自社のWeb媒体を守るセキュリティツール。今回はこの「WAF」について、基本的な事柄からWAF運用における注意点、今からでも無料ですぐに始められるWAF製品の紹介などに焦点をあて、解説を進めていきます。

WAFとは

WAFとは、「Web Application Firewall」の略称で、セキュリティ製品・対策のひとつです。Webアプリケーションの脆弱性を突いた攻撃から、WebサーバーやWebサイト、Webサービスを守る機能をもちます。

脆弱性を突いた攻撃からの保護を目的としたセキュリティ対策には、WAFのほかに「ファイアウォール」や「IPS/IDS」も存在します。

しかし、ファイアウォールは、IPアドレスやポート番号を識別して通信を制御するものであるため、HTTP/HTTPSといったプロトコルで行われている内容にまで踏み込んだ制御はできません。それゆえに、WebサーバーやWebサービスを狙った攻撃を検知することができないといえます。

IDS/IPSは、おもに内部ネットワークへの不正侵入の検知、OSやその上で動作するアプリケーションの保護が目的です。Webサーバーを対象とした攻撃のなかには、IDS/IPSで防げるものもありますが、さらにその上位層で動作するWebアプリケーションは、IDS/IPSだけでは不十分です。

そのため、Webアプリケーションまで含めたWeb環境全体のセキュリティ対策を実施したい場合には、WAFの導入・運用を検討する必要があります。

とくにECサイトやインターネットバンキングなど、顧客情報やクレジットカードの情報に関するデータのやり取りが発生するWebアプリケーションでは、必ず設置しなければならないセキュリティ対策だと考えていいでしょう。

関連記事：WAFとは？ 種類や仕組み、必要性などをエンジニアが解説

WAFが必要とされる背景

WebサイトやWebサービスを守る役割が期待されるWAF。WAFが必要な背景について、もう少し掘り下げて確認しておきましょう。

1. 情報漏えいの原因の多くがWebサービスへの攻撃

脆弱性とは、おもに不正アクセスのための抜け穴となってしまう不具合のことを指します。残念ながら、抜け穴のない完璧なWebサービスは世の中には存在しません。

とくにWeb環境と密接につながっているWebサイトやWebサービスは、日々悪意ある攻撃にさらされる危険性があります。

従来はDDos攻撃や不正侵入、改ざんといったサイバー攻撃が主体でしたが、昨今ではWebアプリケーションの脆弱性をついた攻撃が増加傾向に。定期的なセキュリティ対策の更新や最新手法へのキャッチアップが不可欠な状況です。

ですが先述したように、Webアプリケーション層を狙った攻撃を防げるのはWAFだけとなります。

「サービス停止」や「機会的損失」、「ブランドイメージの棄損」といった事態に陥ってから対策するでは「NG」です。

自社のWebサービスやWebサイトを悪意ある攻撃から守るためには、WAFの導入をおすすめします。

関連記事：情報セキュリティ事故の事例7選。事故を防ぐ4つの対策も解説

2. グローバルセキュリティ基準に準拠できる

クレジット業界のグローバルセキュリティ基準である「PCI DSS」では、12の要件が定められています。

その中には、「安全性の高いシステムとアプリケーションを開発し、保守すること」という要件が含まれていますが、この要件を満たすためには、WAFの導入またはセキュアなWebアプリケーションへの改修などが必要です。

セキュアな設計やプログラミングは、おおむねシステムを作る段階から組み込まないといけません。もちろんはじめからそういった仕様のもと開発できれば良いのですが、リリース・公開された後にセキュアなものに作り変えるとなると、それ相応の改修コストは掛かると思っておいて良いでしょう。

一方、WAFは導入して運用を開始すれば、それだけでもある一定以上のセキュリティレベルは保たれたWebアプリケーションとなります。

グローバルセキュリティの基準を満たすことで、取引先や株主、クライアントといったステークホルダーからの信頼を得ることにもつながるため、WAFの導入は積極的に行うべきだといえます。

無料からでも始められるWAF製品3選

WAFの導入・運用は検討しているけれど、まだ本当に必要か悩むという担当者の方も多いのではないでしょうか。

そのような方におすすめなのが、無料トライアル版が用意されているWAF製品からはじめてみることです。

WAFについての理解を深めるためには、まずは自分で利用してみるのが一番です。ここでは無料トライアル版のあるWAF製品をご紹介します。

1. AIONCLOUD

出典：AIONCLOUDAIONCLOUDは、累積出荷台数15,000台超の実績を誇るクラウド型WAFサービスです。世界40ヵ所のIDCにサービスインフラを保有しており、セキュリティインテリジェンスを自動で更新し続けています。

Webサイトのトラフィックや訪問回数、受けた攻撃に関する詳細なステータスをリアルタイムで監視可能。

仮に悪意ある攻撃を検知した場合には、スピーディーな対応で拡大を防ぎ、かつ脅威を学習します。また未知の不正に対しても、セキュリティの保護が働きます。

無料の場合には、月に5GBまでの制限はありますが、まずはWAF製品がどのようなものか試してみたいという方にはおすすめの製品となります。

2. DIT Security

出典：DIT Security

DIT Securityは、30日間の無料トライアル版が用意されているトータルセキュリティサービスです。

クラウド型WAFや脆弱性診断も提供されており、Webサイトの改ざんなどを未然に防ぐ役割が期待されます。

不審な動きの検知から復旧まで総合的にサポートしてくれるため、セキュリティエンジニアの確保が難しい企業でも、安心して利用できるサービスとなります。

3. WafCharm

出典：WafCharmWafCharmは、AWS WAFやAzure WAFを対象としたWAF自動運用サービスです。

自社にセキュリティに詳しいエンジニアが在籍していなくても、WafCharmを活用することで、AWS WAFやAzure WAFの運用を行うことができます。

AWS WAFについて詳しくは以下の記事をご覧ください。

関連記事：AWS WAFとは？導入メリットや普通のWAFとの違いをわかりやすく解説

WAF製品を選ぶ際のポイント

今では数多くのWAF製品が登場していますが、自社の運用に適したWAFを選定することが大切です。

ここでは、WAF製品を選ぶ際に最低限おさえておきたいポイントについて解説します。

1. まずは無料トライアル版を実施してみよう

先ほど紹介したように、WAF製品のなかには無料からはじめられるものもあります。まずはトライアル版などで実際のWAFオペレーションを体験し、管理面や操作性のチェックなどを行ってみましょう。

とくにチェックすべきなのが、WebサイトやWebサービスへの負荷状況です。WAFの導入により、それらの処理速度が遅くなったり、誤検知が多発していないかはしっかりと確認しましょう。

WAFの設定により改善できるケースもあるので、不安がある場合にはベンダーに設定してもらうと良いでしょう。

2. 対応可能なサイバー攻撃の種類は要確認

WAFを導入・運用するケースでは、防ぎたい攻撃の種類は明確にすることが求められます。

WAF製品の多くは、大半のWeb攻撃に対応しています。たとえば、SQLインジェクションやクロスサイトスクリプティング、DDoS攻撃、ブルートフォースアタックなどといった悪意ある攻撃に対応していることが挙げられます。

それでも製品によっては細かな対応範囲が異なるため、対応可能な攻撃の確認は必須事項となります。

関連記事：サーバーのセキュリティ対策はなぜ必要？ 攻撃や対策例をエンジニアが解説！

3. 費用対効果の検証は不可避

導入を検討しているWAFの運用コストは事前にしっかりと確認し、費用対効果の検証は行いましょう。

たとえば、クラウド型のWAFは初期費用は安いものの、毎月のランニングコストが発生します。

どこの企業もアプリケーションの保守・運用に多額の予算を組むところはありません。コストばかりが悪目立ちすると、本当に必要なWAFの機能までもが爪弾きにされる恐れもあります。

そうならないためにも、自社のWebサイトやWebサービスの規模に適したプランを組み、費用対効果の検証はしっかりと行いたいところです。

4. ベンダーのサポート範囲やセキュリティ体制も確認

WAF製品は、ベンダーごとにサポート体制が異なります。導入から運用まで手厚くフォローしてくれるサービスもあれば、最低限の導入のみをサポートするベンダーも。

自社の情報セキュリティ体制にあわせて、手厚いサポートが必要なのか、導入時のサポートのみで良いのかは検討する必要があるでしょう。

また意外と大切なのが、ベンダー側のセキュリティ体制です。とくにクラウド型のWAFを導入するケースでは、WAFを提供するベンダー側に障害が発生すると、WAFが機能しなくなる恐れもあることは念頭に置いておきましょう。

さらに攻撃パターンを識別する「シグネチャ」の更新頻度も大切です。更新頻度が低いベンダーの場合、最新の攻撃に対応できない可能性が高くなります。

シグネチャとは、既知の不正な通信や攻撃パターンを識別するためのルール集です。WAFを使用する上で非常に重要なルール集で、WAFは日々の通信を記録し、シグネチャをもとに不正な通信やプログラムを検出します。シグネチャとマッチングすることで、既知の脅威を防ぐことが可能となります。

WAFを運用する際の注意点

WAFは導入すれば、OKというわけではありません。むしろ運用してからいろいろ問題が発生するものです。最後にWAFを運用する際に、最低限注意すべき事柄について解説を行います。

1. WAFは決して万能なものではない

WAFを導入すれば、Webアプリケーションに対する攻撃をすべて遮断できるかといえば、決してそうではありません。

むしろWAFのみに偏ったセキュリティ対策では、安全性は低いとさえいえます。ベースとなるセキュリティ対策に加えて、WAFと防御範囲が異なるIDS/IPSや、事後対応に特化したEDRなどのシステムと併用したセキュリティ体制を組むことが大切です。

EDR（Endpoint Detection and Response）とは、組織内のネットワークに接続されているエンドポイントからログデータを収集し、解析サーバーで相関解析、不審な挙動・サイバー攻撃などを検知します。通知を受けた管理者は、EDR管理画面でサイバー攻撃を確認し、遠隔で対処します。

「悪意ある攻撃からは完全に防御できない」という前提にたって、セキュリティインシデントが発生した場合の対応方法などを示すガイドラインの策定も不可欠です。

また、WebサイトやWebサービスへの脆弱性診断の実施も行っておきましょう。攻撃の起点となる脆弱性を事前に把握し潰しておくことで、セキュリティ強化につなげることが可能です。

2. WAFによる誤検知・誤遮断が発生することも

WAFのセキュリティレベルは、厳しくし過ぎると誤検知を引き起こし、正常な通信さえも遮断してしまう恐れがあります。逆にセキュリティレベルを緩め過ぎると、脆弱性を突いた攻撃のリスクが増してしまうことでしょう。

このセキュリティレベルのさじ加減は、専門知識や経験が必要な場面となり、可能ならば誤検知・誤遮断への対応もできるセキュリティ担当者は配置しておきたいところです。

ただ、なかなかそういった人材を確保するのも難しくなってきているのも事実。WAFの運用を行う人材の確保が難しいケースでは、WAF運用サービスを手掛ける企業に外注するのも選択肢のひとつではないでしょうか。

ただし、運用を外注する際には、導入実績やどのような規模の企業に導入されているかなどを確認し、導入・運用のノウハウが確立されている企業を選ぶことが重要です。

3. Webサイト停止のリスクがある

WAFを運用する際には、Webサイトの停止リスクがあることも忘れてはいけない要素です。

たとえば、新しい攻撃パターンが検知されたケースでは、ベンダーにシグネチャを依頼することになりますが、その間はWebサイトやWebサービスを停止、最悪の場合閉鎖しなければいけない事態に陥ることも想定されます。

Web媒体からおもな収益を得ている企業にとっては、Webサービスを停止するということは、それだけでも大きな機会的損失をまねくことにつながります。

そうならないためにも、WAF導入時にはトラブルを分散させる仕組みなども検討する必要があるでしょう。

WAF運用のご支援はGIGにお任せください

悪意ある攻撃から守るためには、WAFを導入後にも監視できる体制が不可欠です。また、こういったセキュリティ関連は非常に難しく、日々新しい脅威にもさらされ続けているので、外部のWAF運用の経験が豊富なプロに積極的に委託すべき事案でもあります。

GIGでは、インフラ構築からWebアプリケーション開発、システムの保守・運用に至るまでさまざまな観点からのセキュリティ対策にも取り組んでいます。

改ざん検知、WAF、監視ツールなどを適切に使用することで、常にシステムやアプリケーションの状態を確認。セキュリティ上の欠陥をなくし、安全性を確保した状態での開発を実現します。また、起こり得るリスクを想定・考慮したインフラ構築のサポートも可能。

保守・運用の場面では、セキュリティや各種サービス連携のアップデートにも対応しています。

セキュリティ対策に関心のある方、WAFの導入・運用をお考えの方は、まずはお気軽にお問い合わせください。

WAF運用支援のお問い合わせはこちら
会社紹介資料のダウンロードはこちら
採用応募はこちら（GIG採用サイト）
採用応募はこちら（Wantedly）

GIG BLOG編集部

株式会社GIGのメンバーによって構成される編集部。GIG社員のインタビューや、GIGで行われたイベントのレポート、その他GIGにかかわるさまざまな情報をお届けします。