BLOG

2020/01/27

【AWS WAFとクラウドWAFの違い】初心者にもわかりやすく解説

【目次】

1. はじめに
  a) WAFとは
  b) AWS WAFとは
  c) クラウドWAFとは
2. AWS WAFとクラウドWAFの違い
  a) 料金の共通点・違い
  b) 導入方法・手順の共通点・違い
  c) 運用していくうえでの共通点・違い
3. まとめ

 

  1. 1. はじめに
    AWS WAFとクラウドWAFについて違いを記載していきます。両者ともセキュリティ対策を行うための製品という点では共通していますが、所々で大きな違いがあります。具体的な違いを見ていきましょう。

    1. a) WAFとは
      まず、AWS WAFもクラウドWAFも、「WAF」というセキュリティ対策ツールです。WAFとは、「Web Application Firewall」の略です。主に、Webアプリケーションへの攻撃からWebサイトを保護するために用いられるツールです。OSI参照モデルでいうと第7層(アプリケーション層)を防御します。例えば、以下のような攻撃からWebサービスを防御します。

       ・SQLインジェクション攻撃
       ・クロスサイトスクリプティング攻撃
       ・OSコマンドインジェクション攻撃
       ・DDoS攻撃

      これらの攻撃は、どの攻撃も、被害にあってしまえば顧客情報の漏洩や、サービスの停止につながってしまいます。仮に顧客情報の漏洩などが起きてしまえば、会社の信頼は失墜してしまい、大きな損害を受けてしまう可能性があります。また、これらの攻撃を防ぐ方法は、セキュアなプログラミングによりWebアプリケーションを構築するか、WAFを導入するしかありません。セキュアなプログラミングは、高度なスキルを持った人材が必要であり、アプリケーションを継続的に改善していく仕組みも同時に必要です。したがって、WAFによってWebアプリケーションの攻撃を防御することが現在では一般的になっています。つまり、WAFは現代のWebアプリケーションをセキュリティ攻撃から防御するための要になっているといっていいでしょう。
       

    2. b) AWS WAFとは
      AWS WAFとは、通販大手Amazonの子会社が提供しているクラウドサービスの、AWS(Amazon Web Services)で提供されているSaaS型のWAFです。AWSは世界中にたくさんのデータセンターを持っており、AWS WAFはそれらのデータセンターで稼働しています。また、防御できるサービスも、基本的にはAWS上に構築したWebアプリケーションを防御します。
       
    3. c) クラウドWAFとは
      クラウドWAFはセキュリティ専門のベンダーやネットワーク機器会社が提供している、SaaS型のWAFです。クラウドWAFを提供している会社が管理するデータセンターやサーバ上で稼働しています。防御できるサービスは、AWSなどのクラウド上に構築したWebアプリケーションのほかにも、自社管理のオンプレミスサーバ上に構築したWebアプリケーションを守ることができます。

     

  2. 2. AWS WAFとクラウドWAFの違い
    AWS WAFとクラウドWAFについて、詳しい共通点と、違いについてみていきます。

    1. a) 料金の共通点・違い
      AWS WAFとクラウドWAFの料金に関する共通点について説明します。AWS WAFとクラウドWAFは、ともにオンプレミスのWAFより低価格であることが多いです。オンプレミスのWAFは初期費用が膨大で、場合によっては数百万円~数千万円かかってしまうこともあります。ただし、AWS WAFやクラウドWAFでも、正しく料金体系を理解しないと思わぬ高額な請求を受け取る羽目になるので、料金体系をきちんと理解する必要があります。

      次に、AWS WAFとクラウドWAFの、料金に関する違いについて説明します。AWS WAFはクラウドWAFと比べて料金が非常に安い場合が多いです。まず、AWS WAFは初期費用がかかりません。また、ランニングコストも月間最低20ドル程度から利用できます。一方で、クラウドWAFは、初期費用がない製品もありますが、一方で導入のためのライセンス費用がかかる場合があります。また、ランニングコストも様々な料金形態があります。例えば、アクセス数ベースの課金であったり、サービスのサポート費用として課金されたり、といった形式です。ただ、いずれの場合にしても、AWS WAFの方が総じて利用料金が安くなる場合が多いです。
       

    2. b) 導入方法・手順の共通点・違い
      AWS WAFとクラウドWAFの、導入方法・手順に関する共通点について説明します。両者とも、オンプレミスのWAFと比較して導入手順が少なく、短期間(数十秒~数日)で導入を行うことができます。

      次に、AWS WAFとクラウドWAFの、導入方法・手順に関する違いについて説明します。AWS WAFはクラウドWAFと比較して、圧倒的に導入手順が少なく、楽に導入をすることができます。最短で数十秒でWAFを導入することができます。ただし、基本的に、導入できる対象はAWS上に構築しているサービスに限られます。一方で、クラウドWAFは数十秒とまではいかないまでも、数分間~数日あれば導入できるサービスがほとんどです。また、オンプレミス環境に構築したWebアプリケーションサービスに対しても導入できるなど、柔軟な対応が可能であることがAWS WAFとの大きな違いです。
       

    3. c) 運用していくうえでの共通点・違い
      AWS WAFとクラウドWAFの、運用に関する共通点について説明します。AWS WAFも、クラウドWAFも、SaaSであるため機器の運用は不要です。実際の機器はAWSなどのサービス業者が管理するデータセンターにあるため、運用が楽です。ただし、その分性能やシグネチャ(攻撃をブロックするためのルール)の運用については考慮が必要です。例えば、クラウドWAFでオンプレミス上のWebアプリケーションを防御する場合、サービス業者のデータセンターから自社のデータセンターに、通信が遠回りしてくることになります。したがって、十分な性能試験が必要になります。

      つぎに、AWS WAFとクラウドWAFの、運用に関する違いについて説明します。AWS WAFは、自分で攻撃をブロックするためのルールの設定が必要で、運用のために高度なセキュリティの知識が要求されます。ただし、セキュリティ専門のベンダーが提供する「マネージドルール」を利用することで、セキュリティの知識が少なくても運用ができるようになっています。クラウドWAFは、運用のための機能が整っている場合が多いです。遮断レポートや遮断したIPリストなどを帳票として知らせてくれるなど、製品によって運用がしやすいようにさまざまな機能が用意されています。また、攻撃をブロックするためのルールについても自動で運用してくれるなど、AWS WAFに比べて運用が非常に楽な場合が多いです。
       

  3. 3. まとめ
    AWS WAFとクラウドWAFの違いについて表でまとめます。

    AWS WAF クラウドWAF
    料金 安い AWS WAFに比べて少々高い
    導入手順 非常に楽。数十秒で導入が可能。ただし基本的にはAWS上に構築したサービスを防御する。 AWS WAFにくらべて少々時間がかかる場合がほとんどだが、柔軟な設計が可能。
    運用 少々難しいが、マネージドルールなどを利用して、運用を楽にしていくことができる。 AWS WAFに比べて様々な機能が用意されており、運用が楽な場合が多い。

     
    このように、AWS WAFとクラウドWAFはそれぞれ特性があります。それぞれの違いを理解して、自社のWebサービスを防御するためにはどちらが適しているかを判断しましょう。

 

※下記のブログもご覧ください。
【WAFとWafCharmの違い】初心者にもわかりやすく解説

【AWS WAFとマネージドルールの違い】初心者にもわかりやすく解説