アプライアンス型WAFとは
では早速、アプライアンス型WAFの特徴を解説していきます。
専用機器を設置するWAFの形態
アプライアンス型WAFは、ベンダーが提供するWAFの専用機器をWebサーバーの前に設置する形態のWAFです。「ゲートウェイ型WAF」「ネットワーク型WAF」と呼ばれることもあります。
メリット:カスタマイズが柔軟
アプライアンス型のメリットは、専用機器を導入し独自に運用するため、設定によって柔軟にカスタマイズすることが可能な点です。専門のセキュリティ担当がいれば柔軟なカスタマイズができるため、より自社にあった強固なセキュリティ対策を築くことができるでしょう。
デメリット:コストが高額
アプライアンス型のデメリットは、コストが高額になりがちな点です。自社のWebサーバに対してWAFの専用設備を用意するため、導入の初期費用は高くなります。また、メンテナンスやカスタマイズにあたって専門の技術者が必要となるため、基本的にコストが高額になりがちです。
アプライアンス型のWAFをおすすめしたい企業
アプライアンス型のWAFはWebサーバを複数保有しているような比較的規模が大きい企業に向いています。その理由として、アプライアンス型は高速通信のためにハードウェアを最適化しているためです。
機器を導入する費用は大きいですが、Webサーバの台数が増えれば1台当たりの金額は安くなります。逆に対象となるWebサーバが少ないと割高になってしまうでしょう。
そのため、既に対策が必要なWebサーバが多くある場合や、今後Webサーバが増える予定がある企業におすすめです。
ソフトウェア型・クラウド型WAFの特徴と設置方法の違い
WAFには他にも「ソフトウェア型」「クラウド型」があります。それぞれの形態がアプライアンス型とどのように違うのか、見ていきましょう。
ソフトウェア型WAF:アプライアンス型より導入コストが低い
ソフトウェア型WAFは「ホスト型WAF」とも呼ばれ、対象となるWebサーバにWAFのソフトウェアを設置(インストール)して活用します。アプライアンス型のように専用機器を必要としないため、導入コストが比較的低いのが特徴です。
ただし、Webサーバ1台ごとに個別のインストールが必要なため、サーバ数が多いと導入負担が増します。そのため、小規模構成の企業や特定のサーバのみを保護したいケースに向いています。
なお、アプライアンス型とソフトウェア型をあわせて、オンプレミス型と呼称します。オンプレミス型のWAF製品については、以下の記事で詳しく解説しています。
クラウド型WAF:アプライアンス型より導入・運用しやすい
クラウド型WAF(サービス型WAF)は、インターネット経由で提供されるWAFサービスです。ユーザー側で物理的な機器やソフトウェアを設置する必要がなく、申し込み後に設定を済ませればすぐに利用できます。
導入・運用の手間が少なく、メンテナンス不要であるため、社内にセキュリティ専任者がいない企業にもおすすめです。ただし、トラフィック量に応じた料金体系や、ベンダー依存によるカスタマイズ制限といったデメリットもあります。
以下ではクラウド型のWAF製品を紹介していますので参考にしてみてください。
アプライアンス型WAFを導入するときのポイント
最後に、WAFを選ぶときのポイントを見ていきましょう。
自社のセキュリティ状況を把握する
まずは自社が求めるセキュリティ対策ができるWAFであるかどうかが重要です。しかし、自社の求めるセキュリティ対策といっても、自社の現状を把握しないことには当然実現できません。
導入する製品を決める前に、自社にどんなセキュリティ対策が必要なのか分析して、しっかりと導入目的を固めておく必要があるでしょう。
運用のしやすさを考慮する
WAFを導入するときは、運用のしやすさも重要です。例えば、自社にセキュリティ担当者がいる場合、アプライアンス型で運用したほうがより簡単に自社の求めるセキュリティ対策に近づく可能性もあります。
反対に、自社にセキュリティ担当者がいない場合は、トラブル時や運用コストのことを考えるとアプライアンス型以外の導入形態を利用するのが賢明でしょう。自社が導入後、しっかりとWAFを運用していけるかというポイントに着目することは極めて重要な要素です。
とはいえ、同じアプライアンス型の中でも運用のしやすさは変わってきます。そのため、製品選びの基本となるのはやはり製品について理解することだと言えるでしょう。まずは以下の記事から製品を比較し、製品についての知識を増やしてみてください。
まとめ
大規模な運用に向いているアプライアンス型のWAFを導入すれば、複数のWebサーバの対策ができます。WAFには他にもソフトウェア型やクラウド型があり、それぞれ導入コストや運用のしやすさが異なります。
最適なWAFを選ぶためには、自社が求めるセキュリティ対策を明確にし、他の形態についても理解を深めた上で製品情報を確認しましょう。以下のボタンから製品情報の資料請求ができますので、一度利用してみてはいかがでしょうか。
