前回に引き続き、セキュリティ対策でWebアプリケーションに特化したファイアウォールである「WAF」についてご紹介します。
WAFは、一般的に大きく分けて3つのタイプに分類できます。アプライアンス型、ソフトウェア型、クラウド型で、導入や運用方法がそれぞれ違います。
アプライアンス型
セキュリティに必要な専用機器(ハードウェアアプライアンス)をネットワーク上に設置し、ソフトウェアを利用する方法です。アプライアンスの購入と設置、それに加えて運用も自社で行います。トータルコストは他のWAFと比較すると高くなります。しかし、ネットワーク上で構築するタイプですから、大規模でも高いコストパフォーマンスが期待できます。
ソフトウェア型
既存のサーバーにソフトウェアをインストールするタイプのWAFです。専用機器の設置が不要のため、アプライアンス型より導入コストが手ごろで、短期間での導入が可能です。デメリットとして、ソフトウェアのインストールはサーバーごとに行うので、規模とコストが比例するという点があります。ですから、システム規模によっては、運用コストが膨らみ続けることもあり、導入する場合には十分な検討が必要になります。アプライアンス型と同じく運用は、自社で行います。
クラウド型
クラウド型WAFは、サーバーの構築や機器の購入などが不要です。ネットワークの設定変更を行えば、簡単に導入できるタイプとなります。費用面や導入期間などを比較すると、アプライアンス型やソフトウェア型に比べて効率的な運用が行える、というのがクラウド型のメリットです。またアプライアンス型やソフトウェア型とは違い、自社で運用しないので予算の見通しが立てやすい点も特徴です。近年は、メリットを考えてクラウド型を選択する企業が増えています。
セキュリティ市場で急成長を遂げている「WAF」をタイプごとにご紹介しましたが、1つに絞ることが難しい場合もあります。前回からご紹介しているシングテルの子会社である「Trustwave」のWAFは、オンプレミス・アプライアンス(ハードウェアまたは仮想)として導入しても柔軟に対応することができます。