インターネットやデバイスの進化によって、誰でも簡単に知りたい情報を検索できるようになりました。これには主にWebが使われています。Webはインターネット上に公開した文書や画像などを閲覧するためのシステムです。
インターネットが人々の生活に浸透してきた当初、Webは主に「情報を見る」ためのツールとして活用されていましたが、ecサイト（※）やSNS、クラウドサービスなどの登場により「生活やビジネスをアシストする」ためのツールとして活用されるようになりました。特に顧客や在庫、会計、営業などを管理する業務システムは導入する企業が増え、効率の良い働き方をサポートしています。
※ecサイト：インターネット上で商取引を行うWebサイトの総称です。ネットショップ、ネットオークション、コンテンツ配信サイト、予約サイトなどがあります。

このように私たちはWebの利便性を享受していますが、じつは脅威にもさらされています。それはサーバの乗っ取りや、サイバー攻撃によるものです。特に2015年から2020年の5年だけで見ても大規模サイバー攻撃は約9倍に増えており、セキュリティ対策は必須と言える状況です。

この必須対策の一つとして挙げられるのがWAFです。
WAFとは「Web Application Firewall」の略称で、「ワフ」と読みます。乗っ取りやサイバー攻撃を感知し、Webサイトを守るセキュリティシステムです。これをサーバに設置することで全てのアクセスを解析し、不正なアクセスを検知すればその通信を遮断します。

WAFには大きく分けて三つの種類があります。

アプライアンス型

WAF専用機器をWebサーバーの直前に設置するタイプで、ネットワーク型、ゲートウェイ型とも呼ばれます。
【メリット】
独立したハードウェアで稼働するため、Webサーバに影響を与える心配がありません。また、複数台のWebサーバにも対応できることから、大規模環境ではコストパフォーマンスが良いと言えるでしょう。さらに独自の構築が可能なので、目的にフィットした運用ができます。
【デメリット】
導入コストがかかるため、単体のWebサーバで展開する場合は向いていません。また、独自の構築が可能な反面、導入に時間がかかること、専門知識を有するスタッフの確保が必須なことから人的コストもかかります。

ホスト型

WebサーバーにWAFソフトウェアをインストールして使用します。ソフトウェア型と呼ぶこともあります。
【メリット】
専用機器を用意する必要がないので導入コストを抑えることができます。インストールしたらすぐ使えるため、短期間での導入が可能なこともメリットの一つです。
【デメリット】
実際にサイバー攻撃を受けた場合、その解析や処理のためCPUに負荷がかかり、サーバ全体の速度が遅くなったりサーバダウンを引き起こす可能性があります。また、複数台のWebサーバを運用する場合は、一台ずつにインストールが必要となるため、導入コストがかかります。

クラウド型

サービス提供会社のWAFをクラウド経由で利用します。サービス型とも呼ばれます。
【メリット】
ホスト型と同じくハードウェアなどの専用機器を用意する必要がないので、導入コストを抑えることができます。また、ソフトウェアのインストールも不要なので、三種類のタイプのうち最も早く導入できます。保守はサービス提供会社が行うため、人的コストも抑えることができます。
【デメリット】
サービス提供会社によってクオリティが異なるため、検知精度にはバラつきがあります。そのため、どのサービスを利用するか慎重に検討する必要があります。

Webサーバへの攻撃はその団体の不祥事などで炎上した場合だけと考えがちですが、実はどんな小さな企業のサーバでも日々攻撃にさらされているものです。WAFはその攻撃を検知し、攻撃からWebサーバを守る（アクセスを制限する）セキュリティです。扱うコンテンツや管理状況、予算などに応じて最適なサービスを検討し、導入してみてください。

関連記事：情報セキュリティインシデント