【登壇レポート】WAF基礎編➁

2025年10月1日に、スカイアーチ社との協賛ウェビナーに、当社小松が登壇させていただきました。その中から内容を抜粋し、スライドと共に紹介していきます。

WAFほかのセキュリティに比べて難しい理由

ひと昔前までのWAFの印象と言えば、「高い」「難しい」でした。その最大の理由としては、アプリケーション側とネットワーク/セキュリティ側の両面を理解し導入する必要があるということです。

一般的に、アプリケーションを開発するエンジニアと、ネットワークやセキュリティを管轄するエンジニアは異なります。そのため、実際の導入はそれぞれのエンジニアがすり合わせを行い、導入製品を決定し、その設定を投入する必要があるのです。

「でもそれは、どの製品の導入にでも当てはまることでは？」と思われますが、WAFはルールの設定によって、誤検知を起こしてしまうことがあります。要は、アプリケーションのバグや、セキュリティの設定の不備という単体で誤検知は完結しないケースが多いのです。

それが、この一般的なWAFの導入手順に如実に表れています。

ヒアリングを行い、セキュリティルールの設計をした後に、一度「検知モード」にして、誤検知がないか確認を行います。そしてその結果を見てチューニングを実施したのち、本番導入（ブロックモード）を行うのです。

この、「アプリケーション」、「ネットワーク」単体でセキュリティの導入が完結しないということが、WAFが難しいと言われるゆえんだと思います。

2005年頃～　アプライアンスWAF

ロードバランサ型　⇒正しい通信を定義（ホワイトリスト型）し、インラインで導入する

スニファ型　⇒最新のルールを更新（ブラックリスト型）し、まずは検知を行う

アプライアンス機器が1000万円/台～の金額で、冗長化すればその2倍、導入費等も考慮するとWAFの導入には数千万はかかっていた。そのため官公庁やインフラ企業などの、社会的に最重要な組織やシステムのみへの導入に留まっていた。

2012年頃～　クラウドWAF

クラウドサービスとしてWAFを提供することで、DNSを向けてあげるだけでWAFが導入できるかつ、費用も数万円～と、WAFの民主化が進んだ。

現在は、CDNやDoSサービスとの組み合わせ、その一機能としてWAFが導入されるケースも増えている。

2015年頃～　パブリッククラウドWAF

サーバ環境がクラウドサービス上で動くことが当たり前となり、クラウド事業者側にて純正のWAFを提供するようになりました。

これにより、時間単位でWAFが利用できるようになり、一つのコンソール上でセキュリティ環境も構築できるようになりました。

このように現在では、WAFもかなり一般化し、各社の状況に応じて様々なWAFを選べる時代になっております。

Webに公開するサービスには、WAFも導入する。

セキュリティ製品が正しい理解と共に、当たり前に導入されていくことを願っています。

本登壇の詳細につきましては、以下より資料のダウンロードが可能となっておりますので、ぜひご覧ください。