増加の一途をたどるレンタルサーバーに対する外部からの攻撃に対するセキュリティとして、「Webアプリケーションファイアウォール(WAF)」を導入するレンタルサーバーも徐々に増えてきました。
WAF は WordPress などの CMS にとってのセキュリティ対策として非常に有効なものですが、クライアントとサーバー間で通信をチェックする機能であるため、通信速度に影響を与えることが考えられます。
そこで、実際に WAF を利用した際に Web サイトの表示速度にどのくらいの影響があるのかを調べてみました。
※2016/9/2 お名前.comレンタルサーバーのWAF提供開始に伴い、追記あり
Webアプリケーションファイアウォール(WAF)とは?
「Webアプリケーションファイアウォール(WAF)」は、Web サイトを対象にした外部からの不正アクセスをブロックする機能です。
ブロックする不正アクセスの例としては、以下のようなものが挙げられます。
- 認証関連の攻撃(ユーザー名・パスワード総当たり など)
- クライアント側での攻撃(クロスサイトスクリプティング など)
- コマンド実行・バッファオーバーフロー(コマンドインジェクション、SQL インジェクション など)
- 情報の書き換え など
これは、静的なコンテンツ(html、画像、css)には効果がありませんが、PHP や CGI を利用したサイトの場合には有効です。WordPress 全盛の今の時代には、非常に効果的セキュリティ機能といえますね。
WAF が利用できるレンタルサーバー
当サイトで紹介しているレンタルサーバーの中で、WAF が利用できるのは以下のサーバーです。
- カゴヤ
- さくらインターネット
- heteml
- ロリポップ
- お名前.comレンタルサーバー
上記のレンタルサーバーでは、当サイトで紹介している各プランであれば無料で利用できます。また、WADAX ではオプション料金を払うことで WAF を利用できるようになります。
今回は無料で利用できる上記の 5社を使用して、WAF 利用時の表示速度の影響を確認してみました。
WAF の ON/OFF でサイトの表示速度をチェック
それでは、実際に WAF の利用有無でサイトの表示速度に違いがあるかを確認してみましょう。速度のチェックには、他のテストでも利用した、まったく同じコンテンツと画像を使用した WordPress サイトを使用します。
速度の測定は、サイトの表示速度をチェックできる Webツールを使用し、WordPress のサイトの WAF を ON/OFF して、その表示速度を測定します。
Google PageSpeed Insights
まず、利用したのは「Google PageSpeed Insights」です。
これは Google が提供している有名なツールで、Webサイトの表示速度のパフォーマンスをチェックし、そのパフォーマンスを改善するための方法を詳しく教えてくれるものです。
Google PageSpeed Insights で出力された各サイトの情報の中から「応答速度」を確認し、WAF の ON/OFF での違いを比較してみます。
表に書かれている項目の意味は以下のような感じです。
- モバイル:モバイルでの表示速度に関する評価(100点満点)
- 応答速度:モバイルでの応答速度(秒)
- PC:パソコンでの表示速度に関する評価(100点満点)
- 応答速度:パソコンでの応答速度(秒)
なお、Google PageSpeed Insights の場合、応答速度が改善が必要な項目と評価されないと実際の応答速度が表示されないため、応答速度の速いカゴヤは確認できませんでした。
以下がその結果の一覧です。
| WAF 有効 | WAF 無効 | |||||||
|---|---|---|---|---|---|---|---|---|
| モバイル | 応答 速度 | PC | 応答 速度 | モバイル | 応答 速度 | PC | 応答 速度 | |
| カゴヤ | 66 | – | 77 | – | 66 | – | 77 | – |
| 66 | – | 77 | – | 66 | – | 77 | – | |
| さくらインターネット | 62 | 0.56 | 74 | 0.56 | 71 | 0.53 | 87 | 0.52 |
| 64 | 0.57 | 75 | 0.53 | 72 | 0.54 | 87 | 0.55 | |
| heteml | 73 | 0.34 | 88 | 0.34 | 73 | 0.33 | 88 | 0.32 |
| 73 | 0.34 | 88 | 0.33 | 73 | 0.33 | 88 | 0.33 | |
| ロリポップ | 72 | 0.37 | 88 | 0.39 | 72 | 0.39 | 88 | 0.39 |
| 72 | 0.37 | 88 | 0.36 | 73 | 0.34 | 88 | 0.35 | |
| お名前.com | 63 | 1.10 | 74 | 0.95 | 65 | 0.44 | 76 | 0.44 |
| 65 | 0.75 | 76 | 0.62 | 63 | 0.57 | 74 | 0.48 | |
太字になっているところが、比較的はっきりと差分が出ているところです。
注目したいのがさくらインターネットです。WAF を 有効にしたときより、無効にしたときのほうが、モバイル・PC 共に評価も応答速度も上がっています。(一か所だけ逆になっているところもありますが)。お名前.comレンタルサーバーも応答速度は向こうのほうが速いですね。
他社に関しては、応答速度に若干の差があるものの、評価に関してはまったく変化がありません。
GTmetrix
Google PageSpeed Insights では、あまりはっきりした結果がでなかったので、次に同じ表示速度測定ツールである「GTmetrix」で確認をしてみました。
こちらも同じように URL を入力するだけで、詳しい改善項目などを教えてくれます。
こちらで比較した情報は、以下の 5つです。
- PageSpeed:Google PageSpeed Insights の評価を表示
- Rank:Google PageSpeed Insights の評価からランクを表示
- YSlow:Yahoo! のサイト速度計測サービス「YSlow」の評価を表示
- Rank:YSlow の評価からランクを表示
- Page Load Time:ページの読み込み速度(秒)
以下がその結果の一覧です。
WAFあり | WAFなし | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| PageSpeed | Rank | YSlow | Rank | Page Load Time | PageSpeed | Rank | YSlow | Rank | Page Load Time | |
| カゴヤ | 42% | F | 78% | C | 1.8 | 42% | F | 78% | C | 1.4 |
| 42% | F | 78% | C | 1.8 | 42% | F | 78% | C | 1.5 | |
| さくらインターネット | 59% | E | 84% | B | 2.2 | 90% | A | 91% | A | 1.8 |
| 59% | E | 84% | B | 2.5 | 90% | A | 91% | A | 2.4 | |
| heteml | 88% | B | 85% | B | 1.6 | 88% | B | 85% | B | 1.8 |
| 88% | B | 85% | B | 1.7 | 88% | B | 85% | B | 1.8 | |
| ロリポップ | 90% | A | 85% | B | 1.6 | 90% | A | 85% | A | 1.4 |
| 90% | A | 85% | B | 1.8 | 90% | A | 85% | A | 1.4 | |
| お名前.com | 81% | B | 65% | D | 1.4 | 81% | B | 65% | D | 1.6 |
| 81% | B | 65% | D | 2.1 | 81% | B | 65% | D | 3.1 | |
こちらも太字になっているところが、割合はっきりと差分が出ているところです。こちらでもさくらインターネットで、WAF OFF 時にいずれの評価・読み込み速度がともに大幅な向上が見られました。
また、カゴヤでは PC の読み込み速度の向上、Google PageSpeed Insights では差が出なかったロリポップでは YSlow の評価と読み込み速度に向上が見られました。
残る heteml と お名前.comレンタルサーバーは、WAF を ON にしていたほうが読み込み速度が速いという結果が出ています。(お名前.com は、各回毎のブレがかなり大きかったですが)
なお、GTmetrix の「PageSpeed」の項目は Google PageSpeed Insights の評価を読み込んでいるはずなのですが、どうして Google PageSpeed Insights の結果と異なるのかは、よくわかりませんでした。
WAF のサイトの表示速度に対する影響についてのまとめ
以上、WAF の利用有無で、どのくらい表示速度に影響があるのかを確認してみました。
Google PageSpeed Insights と GTmetrix のいずれの結果でも、はっきりとした違いが見られたのはさくらインターネットです。さくらインターネットの場合は、他社と比較して WAF の表示速度に対する影響が大きいようですね。
各社利用している WAF のソフトをはじめ、サーバー自体の環境・設定などがそれぞれ異なると思いますので、実際にどのくらいの差があるのかは、レンタルサーバーによっても違うのでしょう。
また、今回はそれぞれ 2回ずつしか実施していないので、もっと時間帯を変えて多い回数で実施すればまた少し違った結果が出たかもしれません。
WAF 自体はセキュリティ対策として非常に有効なものだと思いますので、利用できるのであれば積極的に利用したほうがいいと思います。ただ、少なからず表示速度に影響がある可能性を考慮して、あわせて Google PageSpeed Insights や GTmtrix などを活用し、表示速度改善も図るといいかもしれません。
