「自社の情報システムやWebサイトをサイバー攻撃から守るには?」と疑問を持っている企業のWebネットワーク担当者やセキリュティ担当者は多いだろう。
企業の機密情報や個人情報が外部流出しない為の対応策を考えてみても、ウィルス対策やWebサイトのデータ改ざん対策等多くの要因が存在する。
特に、企業のWebサイト内部にあるアプリケーションであるメールやワード等の脆弱性を狙ったサイバー攻撃が近年増加傾向にある。
だからこそ、Webアプリケーションからのサイバー攻撃を未然に防ぐ為にもWAF(Web Application Firewall:ウェブアプリケーションファイアウォール)の必要性がある。
WAFとは?
WAFとはWeb Application Firewallの事で、Webアプリケーションをサイバー攻撃から未然に防ぐ機能を持つファイアウォールの事である。
また、ファイアウォールとは簡単に言ってしまえば外部からのサイバー攻撃を強固に守ってくれる壁の事だ。
このような防壁を事前に準備しておく事で、未知のサイバー攻撃にも対応する事が可能となる。
WAFの必要性とは(メリット)
自社のWebサイトやWebサービスにWAFを導入する事で得られるメリットは、例えば「サイバー攻撃を未然に防ぐ事」と「サイバー攻撃を受けた後の被害縮小」等の効果を得る事にある。
外部からの悪意のある攻撃に対して対処する事が出来なければ、大きな被害が生じやすい上に、被害が生じた後の対処も煩雑なものとなりやすく、被害以外からのその他コストもかかるようになってしまう。
だからこそ、未然に被害を生じないようにしつつ、もし万が一外部からのサイバー攻撃を受けたとしても、その後の被害拡大を防ぐ事が可能だ。
言ってしまえば、ファイアウォールとは甚大な被害を生み出さない為の賢い防御策だ。
特にどのような企業にとって必要か?
先に述べたようにWAFは、Webアプリケーションへのサイバー攻撃から守るためのツールである。
そのため、Webサイトなどをビジネスの柱としている企業。例えば、
- ECサイト運営事業者
- クライアント向けにECサイトの構築を行うWEB制作会社
- Web上のサービスを展開している企業 など
にとっては、今後起こるかもしれないサイバー攻撃というリスクからビジネスを守るために必要な対策である。
WAFの種類とは
WAFは設置する形態によって3種類に分類する事が可能だ。
どの設置形態でもサイバー攻撃を防ぐ能力に差は無いが、導入コストやランニングコストに大きな違いが生まれやすくなっている。
Host/ホスト型WAF(ソフトウェア型WAF)
ホスト型WAFは、現在自社にあるWebサーバに対してソフトウェアをインストールする必要があり、もしWebサーバの数が多ければ多いほどにコストがかさんでしまう恐れがある。
また、サイバー攻撃を受けた時にWebサーバに対する負荷が強くなり、Webサイトやサービスが使いづらくなる。
ただ、現在あるWebサーバにソフトウェアインストールするだけなので、利便性も高く使いやすい側面も高い。
Host/ホスト型WAF(ソフトウェア型WAF)
Gateway/ゲートウェイ型WAF(ネットワーク型WAF)
ゲートウェイ型は自社のWebサーバに対して新たにもう一つのネットワーク機器を用意する設置形態となります。
専用のハードウェアとして設置をする事で、Webサーバが複数台あったとしても問題なく使用する事が可能となる。
ホスト型WAFと比較すると費用が少なくなる為にWebサーバをある程度保有している企業の場合は、ゲートウェイ型WAFを使用する事をお勧めする。
ただ、導入時に新たなネットワーク機器を設置する為に初期コストがホスト型WAFよりも高い事がある為注意が必要だ。
GATEWAY/ゲートウェイ型WAF(ネットワーク型WAF)
Service/サービス型WAF(SaaS/クラウド利用)
サービス型とは、各サービス事業者がSaaSやクラウドを利用して提供するWebアプリケーションファイアウォールの事である。
クラウド型やSaaS型の場合だと、サービス導入時に自社Webサーバを用意する必要なくすぐさま利用することが可能であり、何より初期コストも抑えることが出来る為にお勧めだ。
ただ、サービス提供者に全てを任せる必要性があるために熟慮が必要だろう。
SERVICE/サービス型WAF(SAAS/クラウド利用)
WAF選びかたのポイントとは
「情報漏洩やWeb情報改ざん」等、特に防御すべきなのは?
WAFを通じて最初に行うべき事は、どんなサイバー攻撃から自社のWebサイトやWebサービスを守りたいのかを熟慮する事にある。
情報漏洩してしまったり、Webサイトのデータが改ざんされてしまってもそれは結果に過ぎず、どんな方法で攻撃されたのかを理解し、対処出来なくては再発防止も行うことが出来ない。
だからこそ、WAFを通じてどんなことを守りたいのかとWAFの設置者と考えておく事がまず行わければならない事となる。
「どんな設置形態」を利用すると良いのか?
WAFの設置形態は主に3つ存在しているが、どれも一長一短の側面があり企業によってホスト型WAFが良いのか、ゲートウェイ型WAFが良いのか、もしくはサービス型WAFが良いのかは判断が付きづらいはずだ。
そうした時にまず考えておいて欲しいのが、「導入コスト」「ランニングコスト」「使用性」である。
初期にかかる導入コストをどの程度で考えているのか、そして、今後継続的にWAFを使用する場合は年間あたりでどの程度の費用がかかるのか等を検討する事をお勧めする。
そして、使用していく上で簡単なのかどうかを考慮すると良いだろう。
その上でどの設置形態を選ぶのかを考えると良い選択となるはずだ。
「どの程度のコスト」がかかるか?
WAFは設置形態にもよるが、小規模なレベルでの価格帯なら月あたり5万円から10万円程度で使用する事が可能だ。
そして、中規模から大規模なレベルになると数十万円程度はかかる可能性が高くなる。
WAFの性能面では各価格帯にそこまでの差は生じていないが、企業によってはWebサイトの保守上ホスト型のWAFしか使用する事が出来ない場合もあるだろう。
その場合は、複数以上のWebサーバに必要なソフトウェアをインストールする為に費用が高くなる恐れがある。
WAFを通じたセキュリティに価格による性能の差はそこまで存在しない為、必要な性能を満たしているのかを前提に価格を考慮する事をお勧めする。
「相談」は可能か?
WebサイトやWebサービスのセキュリティを一番に考える場合、何かしらの出来事があった時にすぐさま相談をする事が出来るセキュリティ企業を選ぶ事はとても重要となる。
相談内容によっては相手方の企業が訪問する必要性もあるはずだから、そうした場面においてどういった対処をしてくれるのかを事前に確認しておく事をお勧めする。
また、セキュリティをより強固にしたいと考えるとき、身近に相談する事が出来る企業を選ぶ事が結果的に良い選択肢となる。
「これまでの実績」は?
多くの実績を誇るセキュリティ企業を選択する事は、当たり前の選択であるように思えるが、以外と事前の考慮から外してしまう企業も多いようだ。
確かに実績が少なかったとしても良い製品を販売している企業もいるのだが、そうした場合豊富な経験に基づく安全なセキュリティを期待出来るのかという不安が生じてしまうだろう。
だからこそまず考えなければならないのは、具体的な実績をもつセキュリティ企業からWAFを選ぶ事にある。
まとめ
サイバー攻撃を専門家の手を借りずに防ぐ事は極めて難しい事であり、だからこそ良質なセキュリティツールを通じて自社の情報システムやWebサイトの安全性を向上させる必要がある。
また、セキュリティツールの本来的な役割は、自宅の鍵を今より厳重にするという認識をすると簡単に理解しやすく、かつ新しく導入しやすいのではないか。
自宅に何も鍵をかけずに出勤する事は危険であり、どんな不確実な出来事が生じるのかと不安になるはずだ。
企業においても同様であり自社のセキュリティを厳重にしないと言う事は、言い換えれば鍵をかけずに機密情報や顧客情報を放置している事に他ならない。
故に、セキュリティを少しでも厳重にする事に意味が生まれる。
今回はその鍵の選び方について整理した。今回整理したように
- 「どんな設置形態」を利用すると良いのか?
- 「どの程度のコスト」がかかるか?
- 「相談」は可能か?
- 「これまでの実績」は?
上記の4つのポイントを踏まえた上で、しっかりとしたツールを選ぶ必要がある。
