クラウド型WAFとは?仕組みや選び方、他方式との違いを解説

サイバー攻撃への備えを強化したいと考えているものの、高額な初期費用やセキュリティ専門の担当者の不在によって、求めるセキュリティ対策を講じられていない企業や組織も多いでしょう。そこでおすすめしたいのが、クラウド経由で提供される「クラウド型WAF」です。
この記事では、クラウド型WAFの特徴や仕組み、企業の導入メリットから注意点まで分かりやすくまとめているので、ぜひ参考にしてみてください。
1. クラウド型WAFとは
WAFとは「Web Application Firewall(ウェブアプリケーションファイアウォール)」の略称で、Webアプリケーションに対する様々なサイバー攻撃を防ぐサービスを指します。その中でも、クラウド型WAFとは、クラウド経由で提供されるタイプのWAFのことです。
具体的には、以下のようなサイバー攻撃の防止が可能です。
【クラウド型WAFで防げるサイバー攻撃の種類の例】
- SQLインジェクション:Webアプリケーションのデータベースに不正なSQLコードを埋め込み、データを不正操作する攻撃
- クロスサイトスクリプティング(XSS):Webサイトに悪意あるスクリプトを埋め込み、ユーザーの情報を盗む攻撃
- ディレクトリトラバーサル:Webアプリケーションのファイルシステムに不正アクセスするために、ファイルを読み取ったり操作したりする攻撃
- OSコマンドインジェクション:Webアプリケーションの入力処理の不備を突き、サーバー上で不正なシステムコマンドを実行する攻撃
- 不正なファイルアップロードを悪用した攻撃:不正なファイルをアップロードさせ、サーバー上で実行や情報取得を狙う攻撃 など
1-1. クラウド型WAFの仕組み
クラウド型WAFは、過去に起こったサイバー攻撃や不正動作を識別するためのシグネチャと呼ばれる定義ファイルを用いてサイバー攻撃を検知するのが一般的です。検知方式の代表例としては「ホワイトリスト方式」と「ブラックリスト方式」がありますが、実際の商用WAFでは、これらを組み合わせたハイブリッド方式や、ベンダーが継続的に更新するマネージドルールを活用するケースも少なくありません。
そのため、単純に2種類へ分けて考えるのではなく、「どのようなルールで、どこまで自動的に防御できるのか」という観点で確認することが大切です。
ここからは、それぞれの検知方式の特徴を見ていきましょう。
1-1-1. ホワイトリスト方式
ホワイトリスト方式とは、事前に許可した通信だけを通し、それ以外はすべて遮断する検知方式です。シグネチャの定義や仕様変更に伴うルール修正などの初期設定は必要ですが、その分セキュリティレベルが非常に高く、未知の攻撃やゼロデイ攻撃などにも対応できる可能性があります。
ただし、許可していない通信をすべて遮断する性質上、正常な通信まで誤って遮断してしまうことがあり、仕様変更のたびにルールを見直すなど運用負荷が大きくなりやすい点には注意が必要です。
1-1-2. ブラックリスト方式
ブラックリスト方式とは、危険と判断された通信だけを遮断し、それ以外は通過させる検知方式です。ブラックリスト方式は、既知の攻撃パターンをもとに遮断するため、比較的導入しやすい方式です。ただし、誤検知を防ぐための除外設定やルール調整が必要になる場合があります。
1-2. クラウド型WAFの提供・導入方式
クラウド型WAFの多くは、DNS切り替えによって通信をWAF経由にするリバースプロキシ型で提供されます。一方で、製品によってはサーバーにエージェントやモジュールを導入し、クラウド上の管理基盤と連携する方式もあります。それぞれの違いを整理すると、以下の通りです。
|
項目 |
DNS切り替え方式 |
エージェント連動方式 |
|
通信経路 |
事業者のWAF基盤を経由 |
既存経路を維持しやすい |
|
導入しやすさ |
高い |
環境依存あり |
|
遅延 |
ベンダー基盤依存 |
比較的少なめ |
|
DDoS耐性 |
製品によって高い |
単体では限定的なことも |
|
向いているケース |
公開Webの保護全般 |
経路変更しにくい環境 |
1-2-1. DNS切り替え方式
クラウド型WAFの多くは、DNS切り替え方式で提供されます。DNS切り替え方式とは、WebサイトのDNS設定を変更することで、WAFがWebサーバーの代理(リバースプロキシ)として通信を防御する方式のことです。
通信が必ず事業者を経由することや、DNS切り替え時の伝播時間が発生することはデメリットですが、導入が非常に簡単なうえに既存システムに影響が少ないというメリットがあります。
1-2-2. エージェント連動方式
エージェント連動方式とは、WebサーバーもしくはWebアプリケーションにエージェントを導入する方式です。「クラウド型なのにソフトをインストールするの?」と疑問に思われる方も多いですが、これは「防御は自社サーバー内のソフトで行い、管理・分析をクラウドで行う」というハイブリッドな方式です。
DNS切り替え方式とは異なり、通信経路を変えずにWAF機能を適用できるため、既存公開環境に及ぼす影響を抑えられるうえにタイムラグも発生しません。その一方で、サーバー負荷が大きくなり、エージェントのインストールやバージョン管理などの運用負荷もかかります。また、多数の端末から同時に大量の通信を送りつけ、サーバーやネットワークのサービスを停止・遅延させる大規模なDDoS攻撃への対策としては不向きです。
1-3. クラウド型WAFで防げる攻撃・防げない攻撃
クラウド型WAFは、SQLインジェクションやクロスサイトスクリプティング(XSS)、ディレクトリトラバーサル、OSコマンドインジェクションなど、Webアプリケーションの脆弱性を狙った代表的な攻撃への対策として有効です。
ただし、クラウド型WAFだけですべての脅威に対応できるわけではありません。たとえば、脆弱性そのものの修正、認証・認可の不備、設定ミス、内部不正への対策などは、WAF単体では十分にカバーできない場合があります。
また、大規模なDDoS攻撃についても、クラウド型WAFだけで完結するとは限らず、専用のDDoS防御サービスやCDN、監視体制との組み合わせが必要になることがあります。クラウド型WAFは万能な対策ではなく、多層防御の一部として活用することが重要です。
2. WAFの種類
続いて、Webアプリケーションに対する様々なサイバー攻撃を防ぐWAFの主な種類を見ていきましょう。表にまとめると以下の通りです。
|
項目 |
クラウド型WAF |
アプライアンス型WAF |
ソフトウェア型WAF |
|
導入スピード |
速い |
比較的遅い |
中程度 |
|
初期費用 |
低め |
高め |
中程度 |
|
カスタマイズ性 |
製品次第で制限あり |
高い |
高い |
|
運用負荷 |
低め |
高め |
中〜高 |
|
向いている企業 |
早く始めたい企業 |
高度な要件がある企業 |
自社運用できる企業 |
2-1. クラウド型WAF
クラウド型WAFとは、クラウド経由で提供されるWAFのことです。低コスト・短期間での導入が可能で、運用負荷も少なくて済みます。
ただし、通信はすべて外部クラウドを経由することになり、WAF障害時の影響範囲が大きくなることは否めません。また、運用はベンダー任せになるので、カスタマイズに制限があることもデメリットの一つです。
2-2. アプライアンス型WAF
アプライアンス型WAFとは、Webサーバーの前に置くWAFを指します。物理機器として提供され、高性能・低遅延なうえに細かいルール設定が可能です。
一方で、初期費用が高く、運用・保守の負荷も大きくなりがちです。
2-3. ソフトウェア型WAF
ソフトウェア型WAFとは、Webサーバーにソフトウェアをインストールして利用するWAFです。クラウド型WAFよりも柔軟性が高く、アプライアンス型WAFより初期費用を安く抑えられます。
しかし、サーバー負荷が増加することや、運用にあたってサーバー台数分の管理が必要になることがデメリットです。
3. クラウド型WAFを導入するメリット
ここからは、企業や組織がクラウド型WAFを導入するメリットをご紹介します。
クラウド型WAFの導入を迷っている場合は、ぜひ参考にしてみてください。
3-1. 短期間で簡単に導入できる
クラウド型WAFを導入する大きなメリットは、短期間かつ簡単に導入できることです。クラウド型WAFはインターネット上で提供されるため、専用機器の購入や設置が必要ありません。
具体的には、ベンダーと契約してネットワークの設定変更を行うだけなので、多くの場合は数時間から数日程度で利用を開始できます。
3-2. 初期費用を安く抑えられる
クラウド型WAFは専用機器が不要なため、初期費用を安く抑えられます。また、月額・従量課金制が一般的であり、予算管理がしやすいこともメリットです。
あわせて、保守や障害対応の多くはベンダー側で実施されるため、自社で機器保守を担う負荷を抑えられます。ただし、その運用費用は月額・年額料金に含まれているのが一般的です。
3-3. 最低限の専門知識で導入できる
基本的に、WAFの導入にはWebアプリケーションへの深い理解やサイバー攻撃に関する専門知識が必要です。しかし、クラウド型WAFの場合は運用・メンテナンスをベンダーに一任できるので、専門知識を持った担当者が不在でも導入できます。
とはいえ、無知のまま導入するのはおすすめできません。最低限、サイバー攻撃か誤検知かを判断できる程度には知識を身につけておくべきでしょう。
4. クラウド型WAFを導入する際の注意点
クラウド型WAFには短期間・簡単・低コストで導入できるというメリットがある一方で、運用・メンテナンスに関してはベンダーに依存しがちになり、障害・仕様変更が起こった際に影響を受けやすくなってしまいます。
また、クラウド型WAFは別の種類のWAFと比較してカスタマイズ性に欠ける場合があるため、自社のニーズや利用するWebアプリケーションに合ったサービスを選定することが重要です。
5. クラウド型WAFの比較・選定ポイント
クラウド型WAFはサービスによって特徴が異なるため、自社要件に合うかどうかで比較・選定することが求められます。
以下にクラウド型WAFの比較・選定ポイントを5つまとめたので、重要視すべきポイントを押さえましょう。
5-1. 防御性能
クラウド型WAFを選ぶ際に重要視すべきポイントは、サイバー攻撃に対する防御性能です。一口にクラウド型WAFと言っても防御できる攻撃の種類は異なり、場合によってはSQLインジェクションやクロスサイトスクリプティング(XSS)のような一般的なサイバー攻撃だけでなく、DDoS攻撃のようなトラフィック量が桁違いの攻撃にも対策できるものもあります。
ただし、大規模なDDoS対策は、DNS切り替え型やCDN連携型など一部の構成で強みを発揮する一方、エージェント連動型では回線帯域の枯渇を防ぎにくいため、専用のDDoS防御サービスとの連携が前提になる場合があります。
5-2. シグネチャの更新速度
シグネチャとは、過去に起こったサイバー攻撃や不正動作を識別するための定義ファイルのことです。クラウド型WAFを選ぶ際には、シグネチャの更新速度や頻度を確認して、こまめに更新を行っているかどうか実績を確認しましょう。
シグネチャの更新が遅いと、脆弱性が見つかってから対応するまでの期間を狙ったサイバー攻撃の標的になってしまう可能性があります。
5-3. 導入にかかる期間や工数
クラウド型WAFは短期間かつ簡単に導入できると述べましたが、導入期間や工数はサービスや製品によって差があります。場合によってはシステム改修が必要となり、多くの時間やリソースを割く必要が出てくるので、スムーズに導入するためにもあらかじめ導入にかかる期間や工数を確認しておきましょう。
5-4. 初期費用や運用コスト
クラウド型WAFによって、初期費用や運用コストは異なります。一般的に、クラウド型WAFは別のWAFよりも初期費用が安く設定されていますが、予算に合うかどうか確認することが大切です。
あわせて、運用にかかる費用も重要な選定ポイントとなります。クラウド型WAFの料金形態は月額・従量課金制が一般的ですが、別の料金形態を採用している場合もあります。料金形態によっては毎月の利用料金が大きく変わる場合もあるので、利用状況を想定した選定が重要です。
5-5. サポートの充実度
誤検知を含めたトラブルが発生した場合、提供ベンダーのサポートを受けることになります。クラウド型WAFは基本、運用・メンテナンスをベンダーに一任するため、サポートが充実したベンダーを選ばなければ理想のセキュリティ対策は実現できません。
例えば、24時間365日体制でサポートを提供しているクラウド型WAFや、電話やメールによる日本語サポートを提供するクラウド型WAFを選んでおけば、万が一の時でも安心できます。
まとめ:クラウド型WAFの導入に加え、脆弱性対策の強化も重要
クラウド型WAFはクラウド経由で提供されるWAFであり、Webアプリケーションに対する様々なサイバー攻撃の被害を抑えるために有効な対策です。ほかの導入形態と比べて、短期間かつ比較的低コストで導入しやすいことから、「迅速にセキュリティ対策を強化したい」「運用負荷を抑えながら防御を強化したい」と考える企業に向いています。
一方で、クラウド型WAFは脆弱性そのものを解消するものではありません。より実効性の高いセキュリティ体制を構築するには、脆弱性診断やペネトレーションテスト、バグバウンティなどの施策も組み合わせながら、多層的に対策を講じることが重要です。
なかでも、継続的に未知の脆弱性発見を強化したい企業には、バグバウンティの活用も有効です。弊社Priv Techでは、ホワイトハッカーの知見を活用しながら脆弱性の早期発見を支援するバグバウンティプログラムを提供しています。バグバウンティプログラムとクラウド型WAFを併用すれば、サイバー攻撃を防ぎつつ、まだ見つかっていない脆弱性を見つけて修正することが可能です。
バグバウンティプログラムとクラウド型WAFは補完関係にあり、併用することでセキュリティ成熟度が格段に上がります。バグバウンティプログラムを取り入れて、クラウド型WAFでは防げない脆弱性を補完しましょう。
弊社のサイバーセキュリティサービスの詳細は、こちらをご覧ください。
>>弊社Priv Techのサイバーセキュリティサービスについて詳しくはこちら