A web application firewall is a type of firewall designated to protect web applications. It continuously inspects HTTP traffic to detect and block malicious traffic and web application attacks. This can include access violations, API manipulations, advanced HTTP DDoS attacks, cookie poisoning, and many more.
Webアプリケーションファイアウォール(WAF)の市場は多様性に富んでおり、組織のアプリケーションやセキュリティ要件に基づいた様々な実装オプションが提供されています。WAFには主に3種類(クラウド型WAF、ソフトウェア型WAF、ハードウェア型WAF)あり、WAFの各タイプごとにメリットとデメリットがあります。
最後に、WAFは、WebアプリケーションおよびAPI防御(WAAP)という、より規模の大きなアプリケーションセキュリティ戦略の一部となりつつあります。ガートナー社によって名付けられたWAAPは、異なるセキュリティツールの使用によるサイロ化された旧式の戦略に対し、より包括的で統合されたWebアプリケーションセキュリティに対するアプローチへとWAF市場が進化していることを示しています。WAAPは、以下の4つの主な機能で構成されます。
この記事では、主な3つのタイプのWAF、各タイプのメリットとデメリット、各タイプがどのような組織に適しているのかについて紹介します。
目次
クラウド型WAFの実装には、インラインとアウトオブパスの2種類があります。
インライン、クラウド型WAFの実装
アウトオブパス、APIベースのクラウド型WAFの実装
3通りのWAFの実装タイプ
クラウド型WAF |
ソフトウェア型WAF |
ハードウェア型WAF |
クラウド型WAFは、サービスとしてのセキュリティとしてWAFを提供するサービスプロバイダーにより管理されます。 |
ソフトウェア型WAFは、ローカルまたはアプリケーションクラウド環境でホストされている仮想アプライアンスです。 |
ハードウェア型WAFは、ハードウェア機器を介して実装され、Webアプリケーションサーバ近くのネットワーク内でローカルにインストールされます。 |
クラウド型WAFは、低価格で迅速かつ簡単に実装できるターンキー方式の実装オプションです。クラウド型WAFは最小限の先行投資で実装可能で、通常はサブスクリプション形式で提供されます。クラウド型WAFには、常時アップデート型の脅威検知インテリジェンスへのアクセスが備わっており、セキュリティルールの定義と攻撃への対処を随時サポートするマネージドサービスが提供される場合もあります。
クラウド型WAFは、インラインまたはAPIベースのアウトオブパス(OOP)サービスのいずれかで実装できるオプションを提供していることが理想的です。APIベースのOOP実装には、マルチクラウド環境、オンプレミス環境、ハイブリッド環境などに合わせて最適化できるといった独自のメリットがいくつかあります。
近年では、世界中の組織の多くが、以下の理由からクラウド型WAFを主な実装タイプとして選択しています。
クラウド型WAFが向いている組織
クラウド型WAFは、エンタープライズからスモールビジネスまであらゆる規模の組織にとって人気の選択肢となっています。それは、最小限の先行投資で高レベルのセキュリティを提供しながらも、組織内でセキュリティに関する幅広い専門技術を必要としないためです。
クラウド型WAFのメリットとデメリット
クラウド型WAFには、数多くのメリットに加え、将来的に導入を検討する組織が考慮すべきデメリットがいくつかあります。
メリット
-
手頃な価格
-
容易な導入/実装
-
最小限の先行投資
-
あらゆる環境に対する一貫したレベルの保護/一元型の管理とレポーティング
-
サブスクリプションベースもしくはサービスとしてのセキュリティのサブスクリプション
-
サードパーティ-プロバイダーによる自動アップデート
-
マルチクラウド環境向けに最適な実装オプション
ソフトウェア型WAFは、ハードウェア型WAFの代替オプションとなるもので、ローカル(オンプレミス)、プライベートクラウド、パブリッククラウドのいずれかで、WAFを仮想アプライアンスまたはエージェントとして実行します。
さらに、East-Westトラフィックを保護するために、コンテナベースのマイクロサービス環境(Kubernetesなど)に組み込まれるように特別に設計されたWAFもあります。
ソフトウェア型WAFが向いている組織
ソフトウェア型WAFは主に、プライベートクラウドやパブリッククラウドデータセンターでアプリケーションがホストされている組織に活用されています。また、予算が少ない組織やハードウェア型WAFに対応できないものの、WAFを自ら管理したい組織やクラウド型WAFの実装に消極的な組織にもよく利用されています。
ソフトウェア型WAFのメリットとデメリット
ソフトウェア型WAFには、数多くのメリットに加え、将来的に導入を検討する人が考慮すべきいくつかのデメリットがあります。
ハードウェア型WAF(ネットワーク型WAF)は、ネットワーク上にローカルでインストールされます。このタイプのWAFは、メンテナンスとストレージスペースを必要とするため、通常は最も高額なWAFとされています。このWAFは、遅延を最小限に抑えることが目的です。
近年、クラウド型WAFが実装タイプの主流となったために、ハードウェア型WAFは廃れつつあります。
ハードウェア型WAFに向いている組織
ハードウェア型WAFは主に、オンプレミスの機器やITインフラを管理する予算と人員を持つ大規模な組織に活用されています。さらに、ハードウェア型WAFは、アプリケーションの速度とパフォーマンスを重視する組織や、オンプレミス環境(政府機関、国家安全保障機関、防衛産業など)で機密性の高いアプリケーションを運用する組織にも使われています。
ハードウェア型WAFのメリットとデメリット
ハードウェア型WAFには、数多くのメリットに加え、将来的に導入を検討する人が考慮すべきいくつかのデメリットがあります。
メリット
-
遅延の低減
-
高度なカスタマイズ機能
-
完全なエアギャップ
|
クラウド型WAF |
ソフトウェア型WAF |
ハードウェア型WAF |
適した組織 |
あらゆる規模の組織 |
中規模~大規模な組織 |
大規模な組織 |
メリット |
- 手頃な価格
- 容易な導入/実装
- 最小限の先行投資
- あらゆる環境に対する一貫したレベルの保護/一元型の管理とレポーティング
- サブスクリプションベースもしくはサービスとしてのセキュリティのサブスクリプション
- サードパーティ-プロバイダーによる自動アップデート
- マルチクラウド環境向けに最適な実装オプション
|
- 追加的なカスタマイズオプション(社内にセキュリティ専門技術やリソースがある場合)
- ハードウェア型WAFと比較して少額の先行投資、実装コスト、継続的メンテナンスコスト(以下を参照)
|
- 遅延の低減
- 高度なカスタマイズ機能
- 完全なエアギャップ
|
デメリット |
- 特定の業種(政府機関や防衛など)では、すべてのインフラとデータをオンプレミスで管理する必要があるため、クラウド型WAFを実装オプションの候補にできない
- クラウド型WAFの大半は、アプリケーションのトラフィックをリダイレクトする必要があるため、遅延が発生しやすくなります
|
- 実装の複雑さ
- アプリケーションサーバにコードのインストールが必要
- 効率的な稼動はアプリケーションサーバのリソースに依存
- エンドユーザーによるアップデート管理の必要性
|
- 高額な先行投資
- 継続的なメンテナンスコスト
- 高額なIT運用コストと多数の人員の必要性
- エンドユーザーによるアップデートとメンテナンス管理の必要性
|
推奨されるソリューション |
クラウドWAFサービス |
Kubernetes WAF |
AppWall |