CDNとWAFの違いとは？併用するメリットと構成例、注意点を解説

Webサイトの開設時、あるいはアクセスの増加時など、安定稼働のための仕組みは折に触れて強化する必要性が出てきます。
アクセスの負荷軽減とセキュリティの対策となるサービスといえば、CDNとWAFが代表的です。では、CDNとWAFはどちらを導入するべきなのでしょうか。併用は可能なのでしょうか。

この記事ではCDNとWAFの違いや、併用時の注意などについてお伝えします。

まずはCDNとWAFの概要と、できることの違いをご紹介しましょう。

CDNとは

CDN（Content Delivery Network／コンテンツ配信ネットワーク）とは、Webサイトやアプリ、動画やゲームなどのコンテンツを世界中の配信拠点にキャッシュ（コピー）し、コンテンツを届ける仕組みのことです。配信元であるオリジンサーバへのアクセス負荷を軽減し、コンテンツ配信の高速化を図れます。また運用コストの削減が可能なことや、SEO対策としてもメリットがあることが特徴です。

CDNについて詳しく知りたい方には以下のコラムがおすすめです

参考コラム：CDNとは？CDNの基本からメリット・デメリット、業者選定のポイントを解説

WAFとは

WAF（Web Application Firewall）とは、Webアプリケーションの前面やネットワークに配置するセキュリティ対策です。Webアプリケーションの脆弱性を突く攻撃を検出し、サイバー攻撃の影響を低減します。
WAFは3つの形態があります。

・クラウドサービスを使う「クラウド型WAF」
・オンプレミス環境において専用機器で防御する「アプライアンス型WAF」
・サーバにソフトウェアをインストールするタイプの「ソフトウェア型WAF」

WAFについて詳しく知りたい方には以下のコラムがおすすめです

参考コラム：WAFとは？ファイアウォールとの違いや仕組み、導入ポイントを解説

CDNでできるセキュリティ対策

CDNは先に書いた通り主にアクセス負荷対策として用いられますが、セキュリティ対策としても有効なことが知られています。

CDNでできるセキュリティ対策は、主に「DDoS攻撃」への対策です。
DDoS攻撃とは、不特定多数のコンピュータからサーバへ大量にアクセスしてサーバに負荷をかけ、システムダウンや応答速度の遅延を狙うものです。近年では国家のサイトへのサイバー攻撃にも使われています。
CDNを利用すれば、サイバー攻撃の攻撃先がキャッシュサーバとなって負荷が分散されるため、オリジンサーバへの影響を低減できます。その反面、CDNはWebアプリケーションの脆弱性を突く攻撃を防ぐことはできません。

WAFでできるセキュリティ対策

一方のWAFで防げるサイバー攻撃は幅広く、例えば下記が挙げられます。

・SQLインジェクション
・パスワードリスト攻撃
・ゼロデイ攻撃
・クロスサイトスクリプティング

これらの攻撃の検知や遮断を行い、さらに攻撃手段や攻撃元などを記録し、ログ情報からセキュリティ対策の改善を図れます。

WAFだけでもある程度のサイバー攻撃を防ぐことができますが、CDNと組み合わせることで、よりセキュリティ対策が強固となります。
CDNとWAFを併用する場合の構成として多いのは、CDNを配置しその後ろにWAF、WAFの後ろにサーバを配置するという階層型構造です。この形だと、CDNはWAF経由でサーバからコンテンツのキャッシュを行うことができ、メリットが大きくなります。またCDNを導入済みの環境へのWAF導入や、WAFを導入済みの環境へのCDN導入も可能です。

CDNとWAFを併用すると、次のようなメリットがあります。

サイバーセキュリティ対策を強化できる

WAFとCDNと組み合わせると、Webアプリケーションへの対策に加えDDoS対策もすることが可能です。
WAFは、異常な通信や指定した攻撃元からのアクセスを検知し、遮断できます。しかしDDoS攻撃の場合は、正常な通信で大量のデータをサーバに送るという方式であるため、WAFは攻撃を正常な通信と判断してしまう可能性があります。通信をCDN経由とすることで、攻撃の通信量を減らし、WAFやオリジンサーバへの負荷を下げることが可能となるのです。

Web表示の高速化を行いながらWAFでセキュリティ対策ができる

CDNはそもそもアクセスを分散させ、コンテンツの表示速度を向上させることが目的の仕組みです。WAFだけを経由する場合、全通信がWAFを経由するため、コンテンツの表示速度が遅くなる可能性があります。WAFとCDNを組み合わせると、CDNがキャッシュを返し、必要な通信のみWAFにアクセスすることになるため、表示速度が改善されます。

コスト削減ができる

クラウド型WAFとCDNを組み合わせる場合は、コスト削減が期待できます。クラウド型WAFは、利用料は通信量に従って課金されることになります。クラウド型WAFとCDNを併用する場合は、CDNによってWAFへの通信量が減るため、コストも低減できます。

アクセリアのCDNとクラウド型WAFサービスの併用例をWAFサービスページでご紹介しています。
詳しくは下記をご参照ください。
　▶クラウド型WAFサービス Scutum（スキュータム）

CDNとWAFの併用にはメリットがありますが、一部のケースでうまく稼働しない場合もあるため、細かい設定について確かめておくことが必要です。懸念点となりがちなポイントの例を挙げます。

WAFサービスによっては正しく攻撃を検知できなくなる可能性がある

WAFサービスによっては、クライアントのIPを判断できず、正しく攻撃を検知できなくなる可能性があります。

多くのケースで用いられる「CDNを経由してWAFへ」という構造の場合、WAFはCDNからアクセスを受けることになります。WAFはCDNからの通信と判断しクライアントのIPがわからなくなるため、サイバー攻撃であっても正常な通信と判断してしまうのです。ただし、クライアントのIPがわかる仕組みを採用しているサービスもあるため、導入検討の際に確認しておくと良いでしょう。

ネイキッドドメインが設定できないCDNサービスがある

ネイキッドドメインとは、例えば「https://www.aaaa.com」ではなく「https://aaaa.com」というように、wwwを持たないドメインを指します。
CDNを利用するにあたっては、DNSのCNAMEレコードと呼ばれる設定を変更することになります。しかしCNAMEでは基本的に、ネイキッドドメインを使うことができません。ネイキッドドメインでもCDNを導入できる方法はあるものの、設定が複雑になる可能性を考えておく必要があります。
CDNサービスの中にはネイキッドドメインに対応していることを特長としているものもあり、対応可能なサービスを選ぶのもひとつの手です。

ここまで、CDNとWAFの併用について解説しました。

アクセリアでは、クラウド型WAF「Scutum（スキュータム）」の導入サービスを提供しています。「Scutum（スキュータム）」はさまざまなセキュリティ機能を備え、1日平均1,240億件の脅威をブロックするクラウド型WAFです。
新たな脆弱性や攻撃手法に対して迅速に対応し、セキュリティとシステム運用のプロによるフルサポートで、最新のセキュリティ対策を提供します。

　▶クラウド型WAFサービス Scutum（スキュータム）

CDNとWAFを併用することでコストを下げつつ、企業ごとの状況や課題に沿ってセキュリティ対策を強化できます。
またCDNについても、アクセリアでは3種類のCDNサービスを用意しています。中でもWAFだけでなく各種セキュリティ機能も豊富な「Cloudflare（クラウドフレア）」の導入においては、20年以上にわたる自社開発CDNの開発と運用で培った経験とノウハウを駆使したサポートをご提供しています。

　▶Cloudflare導入・運用支援サービス Solution CDN