CDNとWAFは併用がおすすめ！併用するメリットと構成例、注意点を解説

Webコンテンツのアクセス負荷を軽減するためのサービスといえばCDN、サイバー攻撃から保護するためのサービスはWAFが代表的です。

DDoS攻撃の規模がここ数年で増大するなど、サイバー攻撃が激化している昨今、セキュリティ対策を強固にするためには、CDNとWAFを組み合わせて導入することをおすすめします。

この記事ではCDNとWAFそれぞれの役割や併用のメリット、併用時の注意点などについてお伝えします。

CDN（Content Delivery Network／コンテンツ配信ネットワーク）とは、Webサイトやアプリ、動画やゲームなどのコンテンツを世界中の配信拠点にキャッシュ（コピー）し、コンテンツを届ける仕組みのことです。配信元であるオリジンサーバーへのアクセス負荷を軽減するという効果があります。またユーザーがアクセスした場所に近いキャッシュサーバーからコンテンツが配信されることになるため、配信の高速化が図れます。これにより、ユーザーの画面でページ表示速度が上がり、ユーザーのコンテンツへの満足度向上が見込めるのです。

CDNはアクセス負荷軽減のほか、セキュリティ対策としても有効で、主にDDoS攻撃への対策ができます。DDoS攻撃とは、不特定多数のコンピューターからサーバーへ大量にアクセスして負荷をかけ、システムダウンや応答速度の遅延などを狙うサイバー攻撃です。近年では国家のサイトや金融機関など、社会的に重要なインフラへのサイバー攻撃にも利用されています。

CDNを利用していれば、DDoS攻撃を受けた場合に攻撃先がキャッシュサーバーとなり、負荷が分散されるためオリジンサーバーへの影響を低減できます。

ただし厳密には、CDNはセキュリティサービスではありません。サイバー攻撃の検知ができず、DDoS攻撃以外のサイバー攻撃は防御できない点には注意が必要です。

参考コラム：CDNとは？CDNの基本からメリット・デメリット、業者選定のポイントを解説

WAF（Web Application Firewall）とは、Webアプリケーションの前面やネットワークに配置するセキュリティ対策です。Webアプリケーションの脆弱性を突く攻撃を検出し、サイバー攻撃の影響を低減します。
WAFは3つの形態があります。

　・クラウドサービスを使う「クラウド型WAF」
　・オンプレミス環境において専用機器で防御する「アプライアンス型WAF」
　・サーバーにソフトウェアをインストールするタイプの「ソフトウェア型WAF」

WAFで防げるサイバー攻撃は幅広く、例えば下記が挙げられます。

　・SQLインジェクション：データベースにアクセスするための言語SQLを悪用し、不正な命令を実行させる攻撃
　・パスワードリスト攻撃：入手済みのIDとパスワードの組み合わせのリストを用いてログインを試みる攻撃
　・ゼロデイ攻撃：脆弱性を修正するプログラムが適用される前に行われる攻撃
　・クロスサイトスクリプティング（XSS）：Webページに悪意あるスクリプト等が埋め込まれる攻撃。利用者がそのWebページにアクセスすると不正な処理が利用者のブラウザで実行される
　ほか

WAFはこれらのサイバー攻撃を検知・遮断し、攻撃手段や攻撃元を記録します。それらのログ情報からセキュリティ対策の改善も図れます。
ただしWAFは不正アクセスには対応できるものの、DDoS攻撃や単なるアクセス過多のように、正常な通信によるサーバー負荷は軽減できません。

WAFについて詳しく知りたい方には以下のコラムがおすすめです。

参考コラム：WAFとは？ファイアウォールとの違いや仕組み、導入ポイントを解説

CDNとWAFを併用すると、次のようなメリットがあります。

サイバーセキュリティ対策を強化できる

WAFとCDNを組み合わせると、Webアプリケーションの防御に加えDDoS対策も行うことが可能です。

WAFは、異常な通信や指定した攻撃元からのアクセスを検知し、遮断できます。特に、Webアプリケーションの脆弱性を突いた攻撃であるSQLインジェクションやクロスサイトスクリプティングに対して有効です。

しかしサイバー攻撃がDDoS攻撃の場合は、正常な通信で大量のデータをサーバーに送るという性質上、WAFはDDoS攻撃を正常な通信と判断してしまう可能性があります。WAFとCDNの併用により、通信をCDNに経由させて攻撃の通信量を減らし、WAFやオリジンサーバーへの負荷を下げるという、包括的なセキュリティ対策が可能となるのです。

コンテンツの表示速度を改善できる

CDNはそもそもアクセスを分散させ、コンテンツの表示速度を向上させることが目的の仕組みです。WAFだけを経由する場合、全通信がWAFを経由するため、コンテンツの表示速度が遅くなる可能性があるのです。

WAFとCDNを組み合わせると、クライアントからのリクエストをCDNが最初に受けられます。CDNがキャッシュを返し、必要な通信のみWAFにアクセスすることになるため、表示速度が改善されます。

コスト削減ができる

クラウド型WAFとCDNを組み合わせる場合は、コスト削減が期待できます。クラウド型WAFは、利用料は通信量に従って課金されることになります。クラウド型WAFとCDNを併用する場合は、CDNによってWAFへの通信量が減るため、コストも低減できます。ただしWAFやCDNは有料のサービスもあります。
コスト削減の効果は、WAFの料金体系やCDNの利用状況によって異なることにご注意ください。

アクセリアのCDNとクラウド型WAFサービスの併用例を各WAFサービスページでご紹介しています。
詳しくは下記をご参照ください。
▶【クラウド型WAFサービス】
　機能や価格など様々なご要望に合わせ、適切なWAFサービスをご提案いたします

CDNとWAFを併用する場合の構成として多いのは、CDNを配置しその後ろにWAF、WAFの後ろにサーバーを配置するという階層型構造です。この形であれば、CDNはキャッシュのない通信のみをWAFに送信するため、WAFやオリジンサーバーへの通信量が減るメリットが生まれます。またCDNを導入済みの環境へのWAF導入や、WAFを導入済みの環境へのCDN導入も可能です。

CDNとWAFの併用にはメリットがありますが、一部のケースでうまく稼働しない場合もあるため、細かい設定について確かめておくことが必要です。懸念点となりがちなポイントの例を挙げます。

WAFサービスによっては正しく攻撃を検知できなくなる可能性がある

WAFサービスによっては、クライアントのIPを判断できず、正しく攻撃を検知できなくなる可能性があります。

多くのケースで用いられる「CDNを経由してWAFへ」という構造の場合、WAFはCDNからアクセスを受けることになります。WAFはCDNからの通信と判断しクライアントのIPがわからなくなるため、サイバー攻撃であっても正常な通信と判断してしまうのです。ただし、クライアントのIPがわかる仕組みを採用しているサービスもあるため、導入検討の際に確認しておくと良いでしょう。

ネイキッドドメインが設定できないCDNサービスがある

ネイキッドドメインとは、例えば「https://www.aaaa.com」ではなく「https://aaaa.com」というように、wwwを持たないドメインを指します。

CDNを利用するにあたっては、DNSのCNAMEレコードと呼ばれる設定を変更することになります。しかしCNAMEでは基本的に、ネイキッドドメインを使うことができません。ネイキッドドメインでもCDNを導入できる方法はあるものの、設定が複雑になる可能性を考えておく必要があります。

CDNサービスの中にはネイキッドドメインに対応していることを特長としているものもあり、対応可能なサービスを選ぶのもひとつの手です。

ここまで、CDNとWAFの併用について解説しました。CDNとWAFを併用することでコストを下げつつ、コンテンツの表示速度改善、セキュリティ対策の強化ができます。サービスの組み合わせによっては細かな設定の部分でつまずくこともあるため、ベンダーと相談のうえで進めることがおすすめです。

アクセリアでは、機能や価格など様々なご要望に合わせ、適切なWAFサービスをご提案いたします。



【Scutum（株式会社セキュアスカイ・テクノロジー）】
「誤検知の少ない、高い防御性能」「豊富な実績と安心の運用体制」「クラウド型のメリット」のすべてが高いレベルでバランスの取れたWAF。

【攻撃遮断くん（株式会社サイバーセキュリティクラウド）】
開発からサポートまですべて国内で行う国産クラウド型WAFだからこそ、安心、安全、導入しやすいを実現。

またCDNについても、アクセリアでは3種類のCDNサービスを用意しています。中でもWAFだけでなく各種セキュリティ機能も豊富な「Cloudflare（クラウドフレア）」の導入においては、20年以上にわたる自社開発CDNの開発と運用で培った経験とノウハウを駆使したサポートをご提供しています。