HOME > WAFとWebセキュリティ > WAF選びのポイント

WAF選びのポイント ~自社のニーズに合ったWAFを選択するヒント~

クラウド型WAFの登場でWAF導入のハードルが低くなったとはいえ、導入後にすぐ別のサービスや製品に変更するのはコスト/手間/社内評価などの面で大きな負担となります。安さだけで導入して失敗した、導入したら運用が大変だった、といった結果にならないよう、自社のニーズに合ったWAFを慎重にご検討ください。
ここではScutumのお客様からいただいた経験談も踏まえ、ベンダーのスペック表からは見えにくい、WAF選びで落とし穴となりがちなポイントをご紹介します。

WAF選びのポイント①

コストを平準化するなら…
「トータルのWAF関連費用が一定の金額であること」

通常は、月額制のクラウド型WAFサービスが有利です。

アプライアンス型やソフトウェア型のように減価償却や資産管理を気にする必要がなく、償却前に機能やスペックが時代に合わなくなり投資が無駄になる心配もありません。ただし、WAF利用自体は安価な月額制のサービスでも、インフラ費用や年間保守費、誤検知や新たな脆弱性/攻撃手法に対応するための運用費など、基本費用と別に諸費用が必要となる場合もありますので、コスト比較の際は注意が必要です。

WAF選びのポイント②

安定した検知精度を求めるなら…
「シグネチャ依存型ではないこと」

攻撃パターンを記述した「シグネチャ」による検知に依存せず、通信の多様な特徴を柔軟に組み合わせて多層的/総合的な検知を行う方式(ScutumのAI型エンジンによる検知など)が有効です。

シグネチャによるパターンマッチングに頼った検知方法は、更新の頻度/コストが高いだけでなく、攻撃のバリエーションやイベイジョン(検知を回避するための攻撃者側のテクニック)に弱くなるほか、正常通信の誤検知に対応する際にも該当シグネチャをONにするかOFFにするかの調整しかできず、ちょっとした調整で大きく防御力が落ちやすいなど、その仕組み上大きな弱点を抱えています。

初期のWAFに多かったシグネチャ依存型ですが、現在知られている商用WAFの中にもこれに該当するものが多数存在します。シグネチャ依存型も、シンプルなフォームアプリケーションには十分対応できる場合が多く、また、何を防御できて何を防御できないか機械的に明確となるメリットもあります。しかし、昨今の複雑なアプリケーションを多様な攻撃パターンから守り、誤検知に悩まされず安定して運用できることを重視するなら、そのWAFがシグネチャに依存せず多層的/総合的な検知を行っているか、しっかりと見極めることが重要です。

WAF Tech Blog「シグネチャ依存型のWAFは避けよう」2020/4/13
WAF Tech Blog「WAFにおけるシグネチャの功罪」2020/6/10
WAF Tech Blog「2020年になってもシグネチャ依存型のWAFが多いのはなぜか?」2021/1/13

WAF選びのポイント③

短期でなく継続的に利用するなら…
「最新の脆弱性や攻撃手法にすぐ対応できること」

WAFを利用する上で、新しい脆弱性や攻撃手法にいち早く対応し続けていることは大きな安心感に繋がります。

数年にわたって何度も新たな注意喚起が行われたApache Struts2 の一連の脆弱性や、公表直後に一斉に攻撃が行われ、実際に多数の被害を出したWordPressの脆弱性など、近年の脆弱性対応にはかつてない程のスピードが要求されています。少なくとも、IPAやJPCERT/CCから広く注意喚起が行われるような主要な脆弱性を2日以上放置するのは大変危険です。WAFサービスにおいても、最新の脆弱性や攻撃手法にどの程度素早く対応できているか、また、対応状況を速やかにサポート情報等で利用者に案内できているか、その実績を確認しておくことが重要です。

WAF選びのポイント④

社内にWAF専任者がいないなら…
「担当者の負担が本当に最低限で済むこと」

WAFの導入時作業と導入後の更新やシステム運用が不要というだけでなく、誤検知対応時やトラブル発生時の連絡/調整、様々な問い合わせや確認等の負担も考慮しておくと安心です。

たとえ定常的な作業がないとしても、ご担当者様がWAF専任でなければ、常にWAFに注意を向けておくことは現実的ではありません。誤検知調整などイレギュラーな対応が必要な場面がそもそも少ないこと、運用の安定度、サポートのきめ細かさ/正確さ、技術サポートのスムーズなエスカレーション、必要があれば速やかに情報が提供されることなどが、多忙なご担当者様の助けとなります。

自社のニーズに合ったWAFの選択を

WAFの選択肢は近年徐々に増加しており、ベンダーによってアプローチは異なるものの、私たちScutumもクラウド型WAFのパイオニアとしてこうした市場の広がり自体は歓迎しています。 自社のニーズから考えて譲れない条件についてはベンダーにもしっかり確認し、検知性能や運用の実態まで比較いただいた上で、自社の方針、対象サイトとの相性、他システムとの連携、予算、サービスレベル、認証取得等の各種要件と合わせて適切なWAFを最終的に選択していただければ幸いです。