はじめに
おはこんばんにちは。キティちゃんです。最近は突然の頭痛に悩まされたりしています。今回はAWS WAFについて書いてみようと思います。
きっかけ
AWS WAFもクラウド設計するうえで重要なセキュリティ対策の一つとして挙げられるため書いておこうと思いました。
AWS WAFとは
お客様が定義する条件に基づきウェブリクエストを許可、ブロック、または監視するルールを設定し、Webアプリケーションを攻撃から保護してくれるサービスです。
通常のWAFとどう違うの?
基本的には同じですが、何より個別にソフトウェアをインストールしたり、アプライアンス機器を導入する必要がないため、初期費用が抑えることができます。また、AWS WAFの場合、従量課金制となるのも、特徴の一つと言えるでしょう。
デメリットはない?
初期費用も抑えられて、従来のものと基本的には同じであれば完璧にも感じますが、デメリットもあります。例えばですが、高い専門性が求められてしまう点です。AWS WAFで脆弱性を検知するためには、検知できるようなシグネチャを更新する必要があります。シグネチャを更新する作業は攻撃に対しての知識といった専門性はもちろんのこと、運用者が常に最新の情報を収集することが求められます。そのため、正しく運用することができる人材を確保する必要があります。
所感
AWS WAFを導入することで、アプリケーションに対しての攻撃を防御することが可能となります。ですが、専門的な知識が必要となるため、初心者の方やセキュリティの知見がない人が扱うには難しいと思われます。使用する場合は、より専門的な知識を有する技術者も必要になるので結果的に費用は大きくなってしまうのではないかと考えます。AWS WAFだけで完璧なセキュリティを作れるわけではありませんが、アプリケーションのセキュリティ対策をしたい場合、AWS WAFは大いに役立つと思うので、あとは費用をかけるかどうか選択の問題かなと思います。
まとめ
今回はAWS WAFについて書いてみました。正しく運用するためには専門的な知識が必要となりますので、セキュリティ系の人材がいない企業にとっては悩ましい問題となるかもしれません。また、従来のWAFとは異なり、ソフトウェアを別途インストールしたり、アプライアンス機器を導入する必要がないため、初期費用を抑えられるという点はメリットかもしれませんが、専門知識を有する人材を確保するので±0になる可能性がありそうですね。必ずしもAWS WAFに拘る必要はないかもしれません。
参考
・『AWS WAF 一般的な攻撃からウェブアプリケーションを保護』
https://aws.amazon.com/jp/security-hub/
・『AWS WAFとは?用途・メリットや料金体系から設定方法まで解説』
https://business.ntt-east.co.jp/content/cloudsolution/column-39.html#section-14