Fujitsu Cloud Direct当社が提供するサービスを法人のお客様へ直接販売するサイトです。

CLOUD NAVIクラウドとは?からクラウドを支える技術や関連用語まで解説

FJcloud実践

【パートナーブログ】WAF導入時の選定ポイント5選

0000年00月00日

※本内容は株式会社セキュアスカイ・テクノロジーよりご寄稿いただいた記事となります。

最近、自社のWebサイトにWebアプリケーションファイアウォール(WAF)の導入を検討されているお客様から、「WAFを選定しようにも各社似たような説明で違いがわかりにくい」というご意見をいただく機会が増えています。 確かにインターネットで「WAF」と検索すると多くの企業がサービスを提供していますが、それぞれの違いを把握するのは容易ではありません。そこで、WAF選定を担当される方々に焦点を当てるべき重要なポイントをまとめました。根拠に基づいたWAF選定のためのヒントになれば幸いです。

目次

WAFの選定ポイント①「WAFの運用も含めたトータルの費用」

Webアプリケーションファイアウォール(WAF)のトータルコストを算出する際には、以下の要素を考慮する必要があります。

  • 初期導入費用
  • 月額・年額のライセンス費用
  • 保守・メンテナンス費用
  • 運用管理にかかる人的コスト

WAF自体は月額制の比較的安価なサービスもありますが、注意すべきはその他にかかる隠れたコストです。インフラ費用、保守費用、誤検知対応や新たな脅威への対策といった運用コストなど、基本料金とは別に様々な費用が発生する可能性があります。複数のWAFを比較検討する際には、これらトータルコストの観点から評価することが重要です。

WAFの選定ポイント②「最新の脆弱性や攻撃手法への対応力」

サイバー攻撃の手法は日々進化しています。WAF選定時には、最新の脆弱性や攻撃手法に対してどれだけ迅速に対応できるかという点を評価することが重要です。

具体的に確認すべきポイント

  • 新たな脆弱性への対応スピード
  • 対応状況の情報公開の迅速さと透明性
  • 過去の重大インシデントへの対応実績

近年では、Apache Log4jの脆弱性(Log4shell)のように社会問題となった大規模な脆弱性も発生しています。このような緊急性の高い脅威にいち早く対応できるWAFを選定することで、長期的な安全性を確保できます。

『世界が震撼したLog4jの脆弱性 脚光を浴びたWebセキュリティ対策「WAF」の真価』

WAFの選定ポイント③「WAFの運用体制」

WAFの運用方法には主に以下の選択肢があります。

  • 自社運用型:社内にWAF専任チームを設置
  • クラウド型:運用込みのマネージドサービスを利用
  • 外部委託型:専門のWAF運用事業者に外注

多くの企業ではWAF専任の担当者を置くことが難しいため、運用込みのクラウド型WAFサービスや、専門の運用事業者への外部委託が一般的です。

WAF運用で特に注意すべき業務。

  • 検知ロジック(シグネチャ等)やポリシーの定期的な更新
  • 誤検知発生時の迅速な対応
  • 新たな脆弱性の調査と対応優先度の判断

WAFは適切な設定と継続的な調整が必要です。専門的なWebセキュリティの知見がなければ、何が適切な対応かの判断が困難です。さらに、設定ミスが大きなセキュリティインシデントにつながるリスクもあります。自社の運用体制と照らし合わせて、最適な運用形態を選択することが重要です。

WAFの選定ポイント④「質の高いサポート体制」

WAF運用中に発生する問題は、WAF自体の機能だけでなく、インフラ環境やネットワーク機器との連携、ミドルウェア、サーバ証明書など多岐にわたります。こうした複雑な問題の切り分けには高度な専門知識が必要です。

質の高いサポートを判断するポイント

  • 24時間365日の障害対応体制
  • 専門的な知識を持つサポートチームの存在
  • セキュリティ情報の発信品質と頻度

これらの要素を事前に確認し、導入後のトラブル時に頼れるサポート体制があるかを評価しましょう。

WAFの選定ポイント⑤「安定性と継続性」

長期間にわたって安心して利用できるWAFを選ぶには、以下の要素を確認することが重要です。

  • サービス提供年数:長期間の安定稼働実績
  • 導入実績数:多くのユーザーに支持されている証拠
  • 情報公開の透明性:セキュリティポリシーや対応状況の公開姿勢

提供年数が長いことは、大規模なトラブルなく安定してサービスが継続されてきた証です。また、多くの導入実績があることは、そのサービスが市場で信頼を獲得していることを示しています。

セキュリティサービスは性質上、すべての情報を公開することは難しいものの、可能な範囲で積極的に情報を公開する姿勢があるかどうかも、信頼性の高いWAF選定の重要な指標となります。

クラウド型WAF Scutum のご紹介

Scutum(スキュータム)では、上記①から⑤のポイントを抑えつつ、誤検知を最小限に抑え、情報漏えい、不正ログイン、サイト改ざんなどの攻撃からWebサイトを守ります。

また新たな脆弱性への対応を重視しています。随時シグネチャ更新やエンジン調整を行い、お客様側では特に意識することなく、最新のセキュリティ対策を維持することが可能です。

Scutum、FJcloud-Vは、共に国内データセンターを利用しています。国内向けサイトの運用において、
①データが日本国内で管理されるため個人情報保護法に対応しやすい点
②日本語によるサポートが受けられる点
の双方で、運用上の大きなメリットがあります。
是非上記の観点も踏まえて、Scutumの導入をご検討ください。

FJcloud-V × Scutumで高可用/高セキュリティなWebシステムを

セキュアスカイ・テクノロジー社が提供する Scutum をご利用いただくことで、Webシステムのセキュリティおよび可用性を大幅に向上させることができ、より安心・安全にシステムを運用いただけます。

Scutum は、FJcloud-Vとの提携ソリューションであり、FJcloud-Vと組み合わせてご利用いただくことが可能です。

詳細の仕様についてはこちらからご覧ください。

また、FJcloud-Vと併せてご利用いただく際は、ぜひこちらからお申し込みください。

関連記事

テーマに沿った記事を一気見
お客様のニーズに合ったより良いサービスを提供するために、当ウェブサイトではCookieを使用しています。お客様は、Cookie受け入れについて同意するかしないかを選択できます。詳細は、当社のクッキーポリシーを確認してください。
同意しない 同意する
PageTop