現在 376 記事を公開中です

オンラインサロンオーナーなら知っておくべき「WAF」セキュリティの実際

比べる脆弱性診断ツールあれこれ

「サイバーインシデントがなくなるその日まで」をキャッチコピーに、日本全国からのインターネットセキュリティ上の諸問題の情報の届け出を受け付けている一般社団法人「JPCERTコーディネートセンター(旧:コンピューター緊急対応センター)」に、過去16年間寄せられた報告のうち、実に7割をも占めたのがwebアプリケーションの脆弱性に関する情報だったといいます。

オンラインサロンを事業として運営していく以上、インターネットに数々存在するアプリケーションを活用しないわけにはいきません。

今回はそのアプリケーションの脆弱性を悪用したネット犯罪から私たちを守ってくれるツール、WAFについて詳しくみていきます。

FW、IPSを既に導入していても更に必要なWAF

事業者としてオンラインサロンを運営している方なら、当然基本のセキュリティであるファイヤウォールやIPSについてはすでにしっかりと導入を検討なさっていることと思います。

FWで、不審なポート番号やIPアドレスからのアクセスをはじいていくことはもはや常識ですし、更にそこに加えて、ファイル共有のリスクに備えたりOSの脆弱性対処もできるIPSも導入していれば、殆どのアクセスを通じた犯罪からは身を守れている!…と思ってしまいがち。

しかし冒頭でも述べたように、現在のネット犯罪の多くが「アプリケーション」を悪用してものであることは知っておかねばならないでしょう。

現代のオンラインサロンにおいては、ユーザーに、サロン内でフォームへの入力を行ってもらうなどは日常茶飯事。そのような際を狙ってくるアプリケーション脆弱性悪用ネット犯罪も多いのです。まさにWAFとは、こうした最先端のネット犯罪に対応したセキュリティツールといえるもの。

WAFを導入すれば、オンラインサロンにログインしているユーザーが使用しているアプリケーション全てにおいて承認されていない不審な動作が行われていないかを監視し、情報の流出などのリスクを未然に防ぐことができるのです。

一般に導入できるWAFには3つの種類が!

現状導入できるWAFには異なる3つのタイプがあります。早速、それぞれの違いを見ていきましょう。

・ホスト型WAF(ソフトウェア型WAF)

webサーバーに直接インストールして使用するもので、ハードウェアを追加せずに済む為コスト面でのメリットがあります。

しかし反面、関わっているwebサーバーの数が多い時には逆にコスト面で不利になることも。

・ゲートウェイ型WAF(ネットワーク型WAF)

リバースプロキシ、もしくはブリッジとして、汎用サーバーにインストールするか、専用ハードウェアとして設置します。

初期投資はかかるものの、一度設置した後は複数のwebサーバーをこのWAFで保護できることになるので状況によってはこちらの方がお得となります。

・サービス型WAF

最も初期費用を安く抑えられるのが、このタイプのWAFです。

ゲートウェイ型WAFを使用しているサービス提供事業者の所有するWAFを、複数のサービス利用者でクラウドなどの形で共有するイメージです。

すぐに導入でき、初期費用は掛からない反面、月額使用料が高額になるケースがほとんどです。

自分にぴったりのWAFはどれなのか?専門業者なら安心

オンラインサロン構築専門の業者に導入相談をするメリットは、事前のリスクや時間の無駄をはぶき、こうした様々な方法と自分や、自分の顧客のニーズをすり合わせ、納得いくまで検討をしてから選ぶことができること。

自分一人で検索した情報のみで契約まで進んでしまう前に、こうした専門家への相談を検討してみる価値はとても高いものだと言えるでしょう。