WAFに必要なコスト

2016年3月23日by 林正人

WAFを導入するに当たって避けては通れない話で、かつWAFの選択の重要な要素になるのが導入にかかるコストです。 特に、WAFは導入したら終わりではなく、常に防御に対するシグネチャの追加やログの精査・管理が必要です。そのため、それらのコストも考慮に入れる必要があります。導入を検討している企業の規模や業態により、システム管理の外注依存度やウェブセキュリティの知識のレベルが違うのでそれらを自社リソースで対応したほうが安いのか外注すべきかを判断することになります。

1.WAF のコスト

WAFのコストをざっくりとブレークダウンすると以下のようになります。様々な種類のWAFを選択する際に各費用がどのように考慮されるべきかを今回のブログでは解説します。

  • WAF機器・サービス自体のコスト
  • 設置先のコスト
  • WAF設定のコスト
  • WAF保守のコスト
  • 運用コスト
  • システム変更費用

当然、導入する機器・サービスごとにコストは大きく違いがでますので、一概には言えませんが大まかなイメージをつかんでいただければ幸いです。

1-1. WAF機器・サービス自体のコスト

WAFの導入形態によってコストに大きな違いがありますが、まず、導入に当たってハードウェア型やソフトウェア型の場合、その機器の購入費用というのがあります。(アプライアンス型の場合、リースなどの方法が提供されている場合もあります。)また、回線の冗長化をすると台数分費用がかかったり、WAFの防御の手法で必要機器が変わってきます。ソフトウェア型の場合、ソフトウェアのライセンスとソフトウェアをインストールするサーバのコストなどがあげられます。サービス型では、WAF を購入、保有する行為は行わないので運用コストでカバーされます。

1-2. 設置先のコスト

アプライアンス型の場合、まず追加ハードウェアが設置されるロケーション(データセンタやサーバルーム)のコスト(ラックスペース、電源) を考慮ください。ソフトウェア型の場合、ウェブサーバを運用している機器に導入するのか、別のWAF専用機器を用意するのかで費用が変わってきます。

1-3. WAF 設定のコスト

WAF 導入時に、お客様環境に導入するために、初期設定を行う費用です。WAF のインストールや設定、保守要員へのトレーニングなどがこの費用に当たりますが、各ベンダー、プロバイダー、WAFの提供形態毎に提供範囲が違いますので確認ください。また、WAFの導入に於いては、ウェブサーバ、ウェブアプリケーション、ネットワークの設定変更といった社内の工数も導入の必要条件となるので、これらの他部署の負担を考慮することも重要です。

1-4. WAF 保守のコスト(機器保守費用、シグネチャ更新費用等)

WAF の機器の保守には、アプライアンスやサーバの物理的な保守費用だけでなく、OS やWAF のセキュリティパッチの保守作業なども含まれます。さらにシグネチャを随時更新する必要があるので、その更新費用も含まれているかどうか確認してください。自社で保守を行う場合、この費用を抑えることが可能ですが、WAFのセキュリティパッチの更新を行うために十分なサポートが得られるのかWAF のサービスプロバイダに確認ください。また、契約したWAFの保守期間も期限があったりしますので、その際の切り替えコストも想定しておくと安心です。

1-5. 運用コスト

WAF を運用していく中で、誤検知が起こっていないかの確認や、攻撃のログの確認を行う必要があります。また、新たなシグネチャの導入判断だけでなく、更新時に誤検知が発生した場合は、セキュリティレベルを極力下げずに、どのような対応を取るかを判断・実施することも重要です。この作業を自社内で実施する事が困難な場合、ベンダーに運用内容やコストを確認する必要が発生します。

1-6.システム変更費用

通信量やウェブサイトの変更によりWAFのシステム(設定)変更の費用が掛かることが考えられます。 通信量の変更で現在の機器やシステムで対応できなくなる事は往々にしてあります。その時単純に機器やネットワークのアップグレードで対応できることもありますが、刷新が必要になる事も想定して頂くのが重要です。

2.導入WAFの形態による違い

一般的に想定される費用を提供形態ごとにまとめました(自社調べ、2016 年3 月現在)。WAF の製品や案件の規模により、費用は変化しますので、詳細はベンダー・サービスプロバイダ・販社にお問い合わせください。

提供形態 アプライアンス型 ソフトウェア型 サービス(クラウド)型
WAFライセンス 数十万円~数千万円 数十万円~ 運用コストに含む
設置先 データセンター費用
(サーバルーム拡張費用)等
ウェブサーバに導入する場合不要
(専用サーバにインストールする場合、ハードウェアと同様)
運用コストに含む
導入初期費用 数十万円 ~ 数十万円 ~ ~ 数十万円
保守 年間 数十万円 ~ 年間 十数万円 ~ 年間数万円~数十万円
(運用コストに含まれる場合も)
運用 月額 数十万円 ~ 月額 数十万円 ~ 月額数万円~ 数十万円
システム変更 導入コストに含む 導入コストに含む DNS/プロキシ/ロード バランサ設定変更

3.まとめ

今回のブログでは、導入の際に考慮すべきコストに関して注意すべき点を上げました。ここに上げたコストに加えて予算枠の設定時に重要なのは、購入して会社の資産として原価償却期間を設定して運用するのか、リースか、クラウドのサービスとして資産を保有せずに利用するかです。これらを総合的に判断して自社に最適なWAFを選択してください。