サイバーセキュリティを向上するためツールを導入したい企業は少なくありません。さまざまのツールの中で名前がよく似ていて紛らわしいと感じる人もいるでしょう。例えばWAFとWafCharmです。
この記事では、名前のよく似ているWAFとWafCharmの違いについてわかりやすく解説します。
目次
WAFとは
WAF(Web Application Firewall)とは、Webアプリケーションへの攻撃からWebサイトを保護するために用いられるツールです。OSI参照モデルでいうと第7層(アプリケーション層)を防御するために必要なツールです。たとえば、SQLインジェクションやクロスサイトスクリプティングといったサイバー攻撃をブロックします。
参考記事:【解説動画付き】WAFとは?Webセキュリティ対策に不可欠|仕組みや導入メリット、選定基準をわかりやすく解説
WAFの種類
WAFにもさまざまな製品がありますが、設置方法によって大きく3種類に分けることができます。
1つ目はアプライアンス型WAF。アプライアンス型WAFとはベンダーの提供する専用機器を自社のWebサーバの直前に設置して運用するWAFです。WAF機器が自社に設置されているため、自社のニーズに応じて設計・構築・運用できるというメリットがありますが、初期費用と運用コストが高く導入ハードルが高いです。
2つ目はホスト型WAFです。ホスト型WAFとは自社のサーバにベンダーの提供するソフトウェアをインストールして運用するWAFです。自社のサーバにWAFをインストールするだけで導入可能なので導入工数は抑えられます。ただし、サイバー攻撃を受けた際にCPUへの負荷が急に増える可能性があるので、事前検証が必要です。
3つ目はクラウド経由で利用するクラウド型WAFです。ソフトウェアやハードウェアを調達する必要がないため、クラウド型WAFの導入におけるコストや手間は3種類のWAF中で最も低いです。
WAFのメリットとは
Webアプリケーションをサイバー攻撃から防ぐことができるというのはWAF導入の一番のメリットです。
インターネット上に公開しているWebアプリケーションは常にさまざまなサイバー攻撃を受けています。それらのサイバー攻撃を適切に防御できなければ、会社として膨大な被害を受けてしまう可能性があります。万が一顧客の個人情報を漏えいしてしまった場合、賠償のうえ刑事罰が科さられることもあり得ます。
WAFを導入することで、サイバー攻撃によるリスクを軽減することができます。
また、WAFの導入がセキュリティ認証を取得するための要件となる場合もあります。例えばPCI DSSです。顧客に安心して利用してもらうため、クレジットカード番号を扱うWebアプリケーションであれば、PCI DSSというセキュリティ認証を取得することがほとんどです。
こういったセキュリティ認証を取得するためにはWAFの導入が必要な場合があります。さらに、WAFを導入することによって外部に対してWebアプリケーションのセキュリティ対策が強固であることを示すことができます。
パブリッククラウドWAFとは
サーバ構築や維持費用を抑えるために、近年パブリッククラウドでシステムやアプリケーションを構築する企業が増えています。構築したWebシステムやWebアプリケーションを守るために、主要なパブリッククラウドでは専用WAFが提供されています。そのWAFはパブリッククラウドWAFといいます。
代表的なものとして下記の3つを挙げられます。
運営会社 | パブリッククラウド | パブリッククラウドWAF |
Amazon | Amazon Web Services(AWS) | AWS WAF |
Microsoft | Microsoft Azure | Azure WAF |
Google Cloud | Google Cloud Armor |
パブリッククラウドWAFのデメリットにも注意
安価で簡単に導入できるパブリッククラウドWAF。さまざまなメリットありますが、WAFの運用が難しいという大きなデメリットもあります。
パブリッククラウドWAFの防御力を最大限にするためには、Webアプリケーションに合うルールセットを選択する必要があります。また、WAFの防御力を維持するために、日々進化しているサイバー攻撃や脆弱性の最新情報を自ら収集し、ルールの更新を行わなければなりません。
そのうえ、ほかのWAFと同じくパブリッククラウドWAFにも誤検知してしまう可能性があります。その場合、誤検知された通信を分析しルールセットの調整を行う必要がありますが、パブリッククラウドWAFのルールセットの内容は基本的に非公開となっており、調査はとても難しいです。
さらに、シグネチャが共通で使われているためカスタマイズができません。そのため、誤検知のあった場合、Webアプリケーションの改修が必要となる場合もあります。
こういったWAF運用にかかわる業務は煩雑かつ高い専門性が要します。大手企業の場合、専任エンジニアチームを設置し対応することがほとんどですが、中小企業やベンチャーにとっては簡単ではありません。
WafCharmとは
WafCharmとは、AWS WAFをはじめ煩雑なパブリッククラウドWAFのルール運用を最適化させるWAF自動運用サービスです。
WAFそのものではありませんが、WafCharmをパブリッククラウドWAFとセットで利用することで、専任のセキュリティエンジニアを必要とすることなく運用を円滑に行うことができます。
AWS環境でのAWS WAFのほか、Azure環境でのAzure WAF、Google Cloud環境でのGoogle Cloud Armorにも対応しています。
WafCharmをパブリッククラウドWAFと併用するメリット
WafCharmとAWS WAFやAzure WAF、Google Cloud Armorをセットで利用することでどのようなメリットがあるのか、詳しく紹介していきます。
パブリッククラウドWAFの運用が楽になる
WafCharmの一番のメリットは、パブリッククラウドWAFの運用が楽になるということです。先述の通り、Webアプリケーションへの攻撃は日々変化していっているため、パブリッククラウドWAFを常にモニタリングをし、防御ルールを最新な状況に保つ必要があります。
WafCharmを導入すると、この運用をAIが代わりに行ってくれます。AIによって最適なルールが自動で適用されるので、日々セキュリティ対策をどのようにすべきか考える必要がなく、サービス開発などに集中することができます。
また、どのようなセキュリティ攻撃を受けていたか、レポートの生成機能もあるので、現状分析や誤検知したルール洗い出し、防御ルールの細かいチューニングにも役に立てることができます。
パブリッククラウドWAFが使いやすくなる
パブリッククラドWAFは、非常に安く、数クリックで導入できるなど、導入しやすいですが、一方で運用がWAFの中でも一段と難しいです。
例えば、AWS WAFの設定画面はすべて英語になっています。もちろん、サイバー攻撃を防御するルールセットも英語です。この言語の壁を越えるにも一苦労です。
しかしながら、WafCharmを利用する場合言語の壁の心配はありません。国産サービスであるため、WafCharmが提供するルールセットはすべて日本語で記載されています。また、日本語のサポートもついているので、トラブルや不明点があったとしてもすぐに問い合わせできます。
簡単に素早く導入できる
WafCharmは導入に向けてパブリッククラドの操作が必要ですが、操作方法はWafCharmのWebサイトに記載されており、簡単に導入することができます。申し込み後すぐに導入することができます。
まとめ
WAFとは、Webアプリケーションへのサイバー攻撃をブロックするセキュリティツールです。パブリッククラウドを利用している場合、パブリッククラウドの専用WAFを利用することが多いですが、運用工数を抑えたい場合WafCharmとの併用がおすすめです。
WafCharmはパブリッククラウドWAFの自動運用サービスであり、AWS WAFをはじめAzure WAFやGoogle Cloud ArmorなどのパブリッククラウドWAFに対応できます。
WafCharmを導入することによってWAF担当エンジニアの業務工数を75%削減することができるので、多くの中小やベンチャー企業もWafCharmを導入しています。
詳しくはこちら:WafCharmの導入事例一覧