重要なのに知名度不足？ Webアプリ・ECサイトの守りに必須な“アレ”の基本を専門家に聞く（2/2 ページ）

[谷井将人，ITmedia]

WAFにもトレンドあり　クラウド・許可リスト・AIが進出

　これらの問題が発生した結果、各社がどのような対応に追われたかを想像すれば、WAFの重要性は理解できるだろう。そんなWAFも時代によってトレンドが変わっていっている。

　WAFには大きく分けて「拒否リスト型」と「許可リスト型」がある。

　「拒否リスト型は事前に“何をブロックするか”を定義する形式です。運用は比較的楽ですが、新たな手口が出るたびに検出ルールを設定しないといけないのが特徴です」（竹田さん）

　「許可リスト型は、“ブロックしないものは何か”を定義する形式です。未知の攻撃も防ぎやすいのがメリットですが、Webアプリを更新するたびにリストを変更するため、更新頻度を考えると運用が大変になりやすいです」（竹田さん）

　現在は許可リスト型が主流という。これは攻撃のブロック方法による分類だが、提供基盤による分類もある。現在の定番はクラウド型WAFで、WebアプリやECサイトのデータ・システムがクラウド上にあることも多いことから親和性が高い形態といえる。

　未知の手口や検出しにくい攻撃を検出するためにAIを活用するWAFも増えているという。ブラックリスト型は特に、指定していない手口をブロックできないため、最新の攻撃はスルーしてしまう可能性がある。これをAIの柔軟性でカバーできる他、逆に誤検知を減らすのにも使われている。

　「どんな情報セキュリティツール・サービスにも言えることですが、導入する際は各社のやりたいことと、掛けられるコストを考慮して選ぶのが重要です」（竹田さん）

WAF導入の天秤（情報処理推進機構「Web Application Firewall 読本 改訂第2版」より）

　ECサイト経由の商取引は年々拡大している。経済産業省の調査によると、2021年のB2C分野でのEC市場規模は20兆6950億円。特に「デジタル系分野」は20年に比べて12.38％の成長を見せている。

　この分野に参入しようとするのは経営上のメリットになるかもしれないが、情報セキュリティ対策を怠れば恩恵を得るどころか大きな痛手を負いかねない。その基盤を支えるのがWAFをはじめとする情報セキュリティ製品だ。

　逆にとらえるなら、「情報セキュリティ対策を万全にしているからこそ、成長領域に安心してチャレンジできる」ともいえる。WAFについて知るのも一つの投資と考えられるだろう。