セキュリティ製品を選ぼうとしたらその種類の多さに驚いた、という経験をお持ちですか。特にWebアプリケーションファイアーウォール(WAF)の場合、多数の企業が自社製品のメリットをうたっており、購入する側を惑わせています。しかし、WAFを使わないわけにはいきません。Webアプリケーションの領域にはOWASP TOP10など様々な脆弱性が存在しており、それを見逃すというのはセキュリティを放棄するということと同然です。今回は、様々なWAFを大きく三つに分け紹介します。
高度なセキュリティ性能を求めるなら、アプライアンス型WAF
アプライアンス型WAFはウェブおよびアプリケーションサーバに隣接した、LAN(Local Area Network)内に設置され作動します。
アプライアンス型WAFの最大のメリットは処理速度の速さと、高い性能です。サーバと物理的に隣接しているので、ごく短い時間でWebサイトに送受信されるデータパケットを追跡・フィルタリングできます。しかし、ハードウェアを保有しメンテナンスを行う費用が決して安くはないというデメリットを持ちます。購入、設置からメンテナンスに至るまでの過程は、アプライアンス型WAFが他より多くの費用を費やす主な要因です。
エンタープライズ級にぴったり
一般的に、アプライアンス型WAFは毎日数十万以上のトラフィックを記録する大規模な組織で利用されます。このような環境では、多数のクライアントを効率的に支援するため、速度と性能が最も重視されます。また多くの大企業にとっては、ハードウェアの運営及びメンテナンスにかかるコストが大きな負担ではありません。
WAPPLESをお勧めします
WAPPLESはADC(アプリケーション・デリバリー・コントローラー)とともに提供されるアプライアンス型WAFであり、ロードバランサーを別途購入する手際を省きます。また、多くの競合他社はシグネチャー基盤の探知システムに依存してますが、WAPPLESはルール基盤探知アルゴリズムに基づいている特許済みエンジン「COCEP」を使用しています。よって、より容易なアップデート、転送速度、より高い性能などのメリットを持ちます。
クラウド上のアプリケーションを守りたいなら、ソフトウェア型WAF
ソフトウェア型WAFは物理的なハードウェアではなく、仮想マシン(VM)に設置されるという特徴を持ちます。全ての構成要素は基本的にアプライアンス型WAFと同じです。しかし、ソフトウェア型WAFはハードウェアではなく、VMに設置されます。よってハイパーバイザ(仮想化OS)を必要とする部分が大きな違いです。
ソフトウェア型WAFの最大のメリットは「柔軟性」です。オンプレミス環境で利用できるだけでなく、VMをクラウド上に設置しクラウドベースのWeb及びアプリケーションサーバにWAFを接続することもできます。また、ソフトウェア型WAFは一般的にアプライアンス型WAFより低い価格で提供されます。しかし、VMで稼働されるため、アプライアンス型WAFに比べモニタリング及びフィルタリングにより多い時間を費やすというデメリットを持ちます。
クラウドシステムを利用する企業にぴったり
一般的に、ソフトウェア型WAFはデータセンターやホスティングサービス企業など、クラウドベースのWeb及びアプリケーションサーバを保持する企業で利用されています。また、リーズナブルな価格でWebアプリケーションを保護する必要がある企業にも人気があります。
WAPPLES SAをおすすめします
WAPPLES SAはWAPPLESと全く同じ機能を提供するソフトウェア型WAFです。KVM、XenServerやvSphereなど幅広く利用されるハイパーバイザーをサポートしています。また、AWS、Google Cloud、Microsoft Azureベースのパブリッククラウドや、VMware、Critixベースのプライベートクラウドに最適化されています。
WAPPLES SAの詳細は、こちらからご確認いただけます。
最小限のリソースだけを投入したいなら、クラウド型WAF
クラウド型WAFはサブスクリプション方式で利用できる次世代WAFです。サービスベンダーが直接提供・管理する形です。ソフトウェア型WAFと違い、WAFを構成するすべての要素はクラウド上に存在します。よってユーザは、ローカルやVMにてインストール作業を行う、という手際を省くことができます。
クラウド型WAFの最大のメリットはその「便利さ」です。ユーザはソフトウェアを設置する必要なく、ただサブスクリプション登録をするだけでサービスを利用できます。サービスベンダーはユーザの手際を省けるよう、全ての最適化作業及びアップデートを提供します。反面、ユーザごとのカスタマイズ対応には限界がある、というデメリットが存在します。
リソースを多く投入できない中小企業にぴったり
クラウド型WAFは別途のハードウェア及びメンテナンスを必要としないため、セキュリティにリソースを多く投入できない中小企業に好まれています。
クラウドブリックをおすすめします
クラウドブリックはWebアプリケーションの保護、DDoS対策及びSSL証明書発行サービスなどを一つのパッケージで提供しています。アプリケーションがローカルでホスティングされているか、クラウド上でホスティングされているのかは関係ありません。どのような状況でも、クラウドブリックは最も簡単に利用できるセキュリティサービスを提供します。
最後に
Webアプリケーションに対する脅威が増加している中、WAFは最も重要なセキュリティ対策となっています。しかし、適当に選んだWAFを使うのは、合理的なセキュリティ対策だと言えません。環境と用途に応じ、最適なWAFを選ぶ必要があるのです。ペンタセキュリティは、各ニーズに見合ったWAFサービスを提供しております。リンクにて、気軽にお問い合わせください。
