WAFの導入の必要性について

ワードプレス作成したサイトを運営する場合、WAFの導入は必要でしょうか？

WordPress に限らず、WAF の導入が必要かどうかは、セキュリティ要件により判断されるべきです。
では、セキュリティ要件は何によって決められるかと言うと、概ね以下で判断されます。

• 守るべきリソース
• それに対して想定される攻撃
• それを守るためのコスト

まずは判定のための材料を正しく揃え、判断してください。

raccy さんも記述してくれてますが、WAF は運用コストが大きく、守れる範囲がごく限定的なものなので、(マッチすると非常に効果的なのですが)小さなシステムではなかなか導入できません。先に運用コストを見積もってみて判断しても良いと思います。

まず、セキュリティについての考え方からです。

非常に残念ですが、セキュリティ対策において、「これだけすれば100%安全」というものは存在しません。また逆に、「これをしないと100%危険」というのも存在しません。セキュリティ対策というのは、対策にかかるコストをみながら、安全度をどれだけ高められるかのトレードオフを常に強いられるものです。セキュリティ対策にコストをかければかけるほどより安全にはなっていきますが、どこまで行っても100%にはなることはないことを意識する必要があります。

コスト0または低コストで行えるセキュリティ対策があります。例えば、プログラミングにおいてSQLインジェクション防止のためにプレースホルダーを使うというのがあります。この機能はほとんどの言語のSQLライブラリに備わっており、プログラマーが気をつけてコーディングするだけですので、非常に低コストです。かかるのはプログラマーに対する教育(できるプログラマーならものの数分で理解できるでしょう)のみと言っていいでしょう。他にも、各ソフトウェアやOSの設定一つで有効にでき、また、動作に影響がないセキュリティ対策もあります。こういった、低コストのセキュリティ対策はなるべく行っておくべきと考えられます。世間的には、こういった物が必要最低限とみなされています。

逆にコストがかかるものがあります。ウィルス対策やIDS/IPS等は定期的な定義ファイル取得のために、有償のサービスが必要でしょう。それは少なくない金額です。無償のサービスもありますが、その分品質が落ちるため、有償の物よりもリスクが高い可能性があります。入れる・入れない、そして、有償・無償、それらの選択はコストとリスクからバランス良く選択する必要が出てきます。

WAFについてはどうでしょう。WAFは少なくないコストがかかり、また、WAFによって防げるリスクも限定的です。

WAFのコストは次のような物があります。

1. WAFを動作させるためのリソースにかかるコスト

別サーバーであればそのサーバーを用意する必要があります。既存のWebサーバー上に組み込んだとしても、そのサーバーの計算資源を使うことになり、場合によっては、サーバーのスケールアップが必要でしょう。クラウドサービスの場合は自前でリソースは不要ですが、その料金にクラウド上のリソース使用量が含まれているだけに過ぎません。

1. WAFの購入料金・サポート料金のコスト

ModSecurityといった無償のWAFもありますが、サポートが欲しいのであれば有償のWAFを購入する必要があるでしょう。サポートが無い分、無償は無償で後述する運用コストが増大します。

1. 導入・運用のコスト

WAFにおいてこれが最もかかります。単にWAFを入れた場合、**多くのページは見えなくなります。**製品にもよりますが、WAFは、単純なHTTP/HTTPSのGETアクセスにHTML等の普通のWebページのファイルを返すぐらいしかできないように設定されているからです。ですので、ルールのカスタマイズは必須です。
このルールのカスタマイズが一番大変です。WAFによって拒否されたページがあったとき、「そのページへのアクセスは本当に正しいものか」「どのルールによって拒否されたのか」「そのルールを解除しても問題ないか」「ルール解除の範囲はどこまでにするか」と言ったことを考慮してルールを再設定します。これにはHTTP/HTTPSを初めとしたWebの仕組みやそのセキュリティに関する十分な知識が無いと難しいです。これができないと、WAFを導入したが、拒否を有効にすると見れなくなるので監視だけの設定にしているという無意味な運用に陥っているところも少なくありません。
ルールのカスタマイズは最初の導入時にしっかり作ればほぼ問題ありませんが、その後に再度必要になることが度々あります。新しい攻撃手法に合わせて新しいルールが提供された、保護対象のWebサイトでHTTP/2.0等を使った新機能を追加した、といった場合に、見えないサイトが出てくるときがあります。つまり、ルールをカスタマイズできる人が必須と言うことです。
中には、Wordpress専用のルールセットを用意しているWAFもあります。ただ、これらの製品であっても、基本はWordpress本体と有名なプラグインのみ対応で、マイナープラグインや自作のプラグインには対応していない場合があります。結局の所、カスタマイズは必須と言うことです。
運用は自分で行わず、委託するというのもあります。当たり前ですが、少なくないコストがかかります。自前でセキュリティエンジニアを雇うよりは安いですが。

運用まで含めたクラウド型WAFについて一度見積もってみてください。お手軽で入れられるような金額ではないはずです。しかし、商用サイトにおいては、リスクに対して想定される損害費用も大きいため、コストに見合うと考えられる場合は、導入した方が良いでしょう。しかし、その判断は経営者がするべきで、エンジニアはその判断材料を提供することに留めるべきです。

なお、WAFによって防げるリスクは、当たり前ですが、Web周りだけになります。Web以外からの侵入は防いではくれません。また、全く未知の方法による攻撃も、場合によっては防げなかったりします。ここら辺はウィルス対策やIPSなどと同じです。しかし、Wordpressやそのプラグインの未知脆弱性に対して、その攻撃手法が既存の物と類似している場合は、WAFによって防げる場合があります。そのようなWAFを入れて良かったと言う事例にあたることは極めて稀かも知れません。しかし、入れなかったために攻撃が成功し、顧客情報が漏洩した後に「なぜWAFを入れなかったのか？」と攻められます。そのリスクをどのように考えるかです。

最後に、WAF入れたら、何もしなくても安全というわけではありません。脆弱性が出たときのパッチ適用やアップデート、各ソフトウェア設定、ファイアウォールの導入など、あらゆる対策を組み合わせて安全性を高めるのであって、WAFはその一つに過ぎないと言うことです。

プログラミングで対処可能かもしれませんが、使用しているWordPressやプラグインについて、「常に絶対に何の脆弱性も無い」という保証もないので、無いよりはあった方が良いです。
ただし、正常な通信をブロックしてしまうこともあるので、除外ルールの作成(※)が必要になることもあります。
※プラグインだとWP SiteGuardなどが可能

追記：最近だと、追加費用無しWAFが利用できるレンタルサーバーも増えてきているので、そういうところをサーバー選びの基準としても良いと思います。