サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

【WAF製品】おすすめ18選を比較!無料ソフト・選び方も紹介



インターネット上ではさまざまなサービスが公開されていますが、それらの多くはWebサーバー上で動作しているアプリケーションです。このWebアプリケーションの脆弱性を悪用したサイバー攻撃による被害は、毎日のように発生しています。Webアプリケーションに対するサイバー攻撃を防御するための手段の一つがWAFです。この記事ではWAFの概要と、タイプ別のおすすめ製品について詳しく解説いたします。

WAFとは

WAFとはWebアプリケーションの脆弱性を悪用したサイバー攻撃を防御するためのシステムのことです。正式には、Web Application Firewallとつづり、「ワフ」と呼ばれることが多いです。

サーバーで動作するWebアプリケーションは、PHPやRubyなどのプログラミング言語で開発されるのが一般的ですが、プログラミングのバグで、脆弱性が発生し、サイバー攻撃に悪用されることがあります。例えば「クロスサイトスクリプティング」や「SQLインジェクション」などは代表的なサイバー攻撃です。

WAFはこのようなWebアプリケーションの動作を監視し、不正なふるまいを検知すると、動作をブロックしたり、ログを記録したりできます。このような機能によりWebアプリケーションのユーザーの情報漏洩を保護などのセキュリティ対策が実現できます。

WAFの機能・役割とは

WAFにはさまざまな機能と役割があります。WAFの機能と役割についてまとめました。

機能 機能の内容
動作のブロック あらかじめ登録されている不正な動作を検知したらブロックする機能
通信のログ保存 あらかじめ登録されている不正な動作を検知したらログに保存する機能
シグネチャの更新 シグネチャ(不正な通信パターン)を最新の状態に更新する機能
レポート機能 不正な通信、攻撃の種類、攻撃元など統計情報をレポートにして表示させる機能
IPアドレスブロック 特定のIPアドレスからの通信をブロックする機能
特定URLの除外機能 特定のURLへのアクセスを防御対象から除外する機能

ここで紹介した機能はWAFにはさまざまな製品があり、搭載されている機能も製品ごとに異なります。自社に必要な機能や、WAFに求める目的に応じて製品を選ぶと良いでしょう。

WAFのメリット・デメリット

Webアプリケーションの脆弱性対策としてWAFの導入は効果的ですが、メリットだけでなくデメリットもあります。

まずWAF導入のメリットは、脆弱性のあるWebアプリケーションが動作していても、WAFが導入されていれば、サイバー攻撃を防げることです。WAFによるセキュリティ保護はソフトウェアやシステムによるものなので、人間がリアルタイムで監視することなく動作します。そのため万が一のサイバー攻撃に対しても、迅速な対応が可能です。

またWebアプリケーションの開発において、脆弱性を完全になくすことは困難です。動作中のWebアプリケーションに脆弱性が発見されても、何らかの理由で修正できないこともあるでしょう。このような場合もWAFを導入しておくことで、サイバー攻撃を防ぐことができます。

一方、WAFには導入にコストがかかるというデメリットも無視できません。WAFにはさまざまな種類がありますが、高性能で高機能なWAFは高額ですし、WAFを導入したいサーバーの数が多ければ、その分、WAF導入の個数とも跳ね上ります。

また、どのようなWAFであっても、確実にサイバー攻撃から防御しきれると言えるものはありません。これは導入されたWAFの本来の性能や設定内容が理由となります。設定内容の理由としては、例えばWAFのAという設定により、Xという脆弱性が防御しきれなかったなどのケースです。

また逆にWebアプリケーションとして正常な機能であっても、WAFがサイバー攻撃と誤検知して動作をブロックしてしまうということもあります。これについてはWAFのホワイトリストの設定である程度の改善が可能です。

 WAFとファイアウォール、IDS/IPS、SSLとの違い

ネットワーク機器にはWAFのほかに、通常のファイアウォールやIDS/IPSがあります。これらとの違いについて説明します。

もともとWAFは、古くから使われていたファイアウォールの機能をもとに開発されたものです。ファイアウォールは、もともと設定されているルールにしたがって通信を許可したりブロックしたりする仕組みのことです。主に外部のネットワークと内部のネットワークの境界線に設置されることが多く、IPアドレスやポート番号、プロトコル、通信方向などを設定して通信を制御します。ファイアウォールは単純にこれらのルールによって通信を制御するだけなので、WAFのようにサイバー攻撃を検知して防御する機能は持ちません。

ほかのネットワーク機器としてIDSやIPSがあります。IDSは不正侵入検知システムとよばれ、ネットワークに生じた不正な通信を検知し管理者へ通信する機能を持ちます。IPSは不正侵入防止システムとよばれ、ネットワークに生じた不正な通信をブロックするところまで動作します。IDSやIPSもあくまで通信レベルでの制御によるものなので、WAFのようなWebアプリケーションのための防御とは言えません。

Webサイトのセキュリティ対策として古くからSSLという技術があります。SSLとはSecure Sockets Layerの略語で、Webサーバーとクライアントとの間の通信を暗号化する技術のことです。WAFはWebアプリケーションを導入しているWebサイトを保護するのに対して、SSLは通信を暗号化することでWebサイトの訪問者の情報を守ることを目的としています。

ファイアウォールやIDS/IPS、SSLは単独での使用でも効果がありますが、それぞれセキュリティ対策としての機能が異なります。そのため、できればWAFも含めて複数の対策を組み合わせて使うことが望ましいでしょう。

WAFの種類とは

WAFには導入形態により「アプライアンス型」「ソフトウェア型」「クラウド型」の3つに分類できます。これら3つを詳しく説明します。

アプライアンス型

アプライアンス型は、WAFの機能を持つ専用機器を自社に設置するタイプです。自社の環境に応じて独自のWAFシステムが導入でき、防御対象となるWebサーバーの台数が多い場合のコストパフォーマンスに優れています。しかし自社内にWAFを設置する場所の確保が必要であり、多額のコストが必要です。

ソフトウェア型

WAFの機能を持つソフトウェアを購入してサーバーにインストールするタイプです。専用機器は不要ですが、サーバーの数だけインストールしなければならないため、サーバー数が多いとコストは高くなります。

クラウド型

クラウドサービスとして提供されているタイプです。コストも非常に安く、簡単に導入できますが、WAFとしてのセキュリティ性能はそれほど高くなく、細かい設定のカスタマイズに対応していないものも多いです。またクラウドが障害などでサービス停止すると、WAFの機能も止まってしまいます。

WAF導入の必要性

さまざまなサービスがインターネットで提供されている現代では、Webアプリケーションは高度になり、中には多くのユーザーを抱えているものも少なくありません。このようなWebアプリケーションでは、たった一度のサイバー攻撃がサービスの命運を大きく変えることも少なくありません。そのためWebアプリケーションのセキュリティ対策としてのWAF導入の必要性は高まっているのです。

おすすめ無料WAF製品3選

WAFを導入したいけど、コストは抑えたいと考えている企業も多いでしょう。そこで、ここでは無料で導入することができるWAF製品や、無料トライアルプランがある製品を3つご紹介します。

AIONCLOUD


サイトhttps://www.aioncloud.com/ja/waf-jp/

AIONCLOUDは、累積出荷台数15,000台超の実績を誇るクラウド型WAFサービスです。ウェブサイトのトラフィックや訪問回数、受けた攻撃に関する詳細なステータスをリアルタイムで監視できるほか、さまざまな攻撃からWebサイトを保護してくれます。

万一、マルウェアを検出した場合は素早い対応で拡大を防止して、脅威を学習する機能も搭載。未知の不正に対しても、しっかりとセキュリティ保護が可能です。また、世界40ヵ所のIDCにサービスインフラを保有しており、脅威インテリジェントを自動で更新し続けています。

無料の場合は月に5GBまでの制限がありますので、まずはWAF製品を試してみたい、という場合におすすめです。

WAF BENKEI

サイトhttps://www.oro.com/cd/waf-benkei/

WAF BENKEIは、サーバやWebサイトを攻撃から守るクラウド型のWAFサービスです。クラウド型のため、ハードウェアやサーバの構築は不要で導入がしやすいこと、さらに運用の手間がかからないことが大きなメリットでしょう。防御できるサイバー攻撃は、クロスサイトスクリプティング・SQLインジェクション・ディレクトリトラバーサルなど多彩な手口に対応しています。

WAF BENKEIは2週間の無料トライアルサービスを提供していますので、まずはトライアルで製品の特長を体感してみると良いでしょう。

WafCharm

サイトhttps://www.wafcharm.com/

WafCharmは、AWS WAFやAzure WAFに特化したWAF自動運用サービスです。WafCharmを利用すれば、自社にセキュリティエンジニアがいなくてもAWS WAFやAzure WAFの運用を行うことができます。

WafCharmには30日間の無料トライアルプランがありますので、上記2つのWAF運用を考えている場合は、候補として検討してみることをおすすめします。

有料WAF製品のおすすめ15選

続いて、タイプ別におすすめのWAF製品を15個ご紹介します。

アプライアンス型

XG Firewall


サイトhttps://www.sophos.com/ja-jp/products/next-gen-firewall.aspx

XG Firewallは、業界初となる独自のセキュリティ機能を搭載した次世代セキュリティサービスです。専用アプライアンスによる柔軟性や接続性、信頼性を備えており、さまざまな機種で利用することができます。リアルタイム統合でアプリの可視化、脅威の監視と自動隔離を実現しており、XG Firewallを導入すればオールインワンで保護が可能です。大企業や教育機関となど、幅広い環境に対応しており、ユーザーごとの規模にあわせた機能と価格で利用することができるので、コスト削減にもなるでしょう。

Barracuda Web Application Firewall

サイトhttps://www.barracuda.co.jp/products/waf/

Barracuda WAFは、バラクーダネットワークスジャパン株式会社が提供しているWAFです。管理画面が日本語化されており、英語が苦手な方でも直感的に操作できます。ログファイルでは発生したサイバー攻撃と防護に使われたルールも確認できます。小規模サイトモデルから大規模サイトモデルまで、導入するWebサイトの規模に応じて5つのモデルから選択可能です。

 FortiWeb

サイトhttps://www.fortinet.com/jp/products/web-application-firewall/fortiweb

FortiWebは、フォーティネットジャパン株式会社が提供しているWAFです。フォーティネットジャパン株式会社は、ファイアウォールでは世界的にトップクラスのシェアを持つ会社です。ハードウェアアプライアンス型、仮想アプライアンス型、パブリッククラウド型の3つの形態のWAFが提供されており、WebアプリケーションのユーザーやWebサーバーの性能に応じて選択できます。AIベースの検知エンジンにより、誤検知を限りなく少なくした高レベルな検知能力が特徴です。

Imperva SecureSphere

サイトhttps://www.imperva.com/jp/
Imperva SecureSphereは、WAF市場で圧倒的な実績と信頼性を誇る製品で、金融や官公庁をはじめとする幅広い企業が導入している製品です。Imperva SecureSphereにより、Webアプリケーションに潜む脆弱性を攻撃者にさらさずに、攻撃を防御してくれます。複数のセキュリティエンジンと防御手段を組み合わせることで、セキュアなWebサイトの運営が可能です。
WAFが防御する対象は、Apache struts 脆弱性、OpenSSL脆弱性、SQLインジェクション、OSコマンドインジェクション、バッファ・オーバーフロー、ディレクトリトラバーサル、セッションハイジャック、ヘッダインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリー、リスト型アカウントハッキングなど幅広い攻撃に対応しています。

SecureSoft Sniper ONE

サイトhttps://www.securesoft.co.jp/products/one/
SecureSoft Sniper ONEは、独自の防御エンジンを持っている総合セキュリティサービスです。SecureSoft Sniper ONEでは、これまでのSniperシリーズの技術を統合しており、年々複雑化、高度化していく企業や各種機関へのネットワーク・サーバへの攻撃に対応しています。ユーザーに合わせた機能の組み合わせが可能なので、不要な機能を省きコストに見合った機能を実装することができます。

ソフトウェア型

InfoCage SiteShell

サイトhttps://jpn.nec.com/infocage/siteshell/

InfoCage SiteShellは、日本電気株式会社が提供しているWAFです。Webサーバーにインストールするソフトウェア型を採用しており、導入にあたりネットワーク構成の見直しは不要です。脆弱性のチェックだけ行い通信をブロックしないテストモードを使うことで、通信に影響を与えずにWebサーバーへの影響をチェックできます。NECのWebサーバー開発技術をもとに作成したブラックリストは、絶えず更新されているため、常に最新のサイバー攻撃への対応が可能です。

SiteGuard

サイトhttps://siteguard.jp-secure.com/lp2-siteguard
SiteGuardは、セキュリティ要件が厳しい官公庁やメガバンクなどの大企業をはじめ、効率的な運用が不可欠な大規模ホスティングサービス事業者など、100万サイト以上の導入実績を誇る純国産のWAF製品です。独自のカスタムシグネチャを作成することができ、柔軟なセキュリティ対策を実施できます。サポートも日本語でしっかりと対応してくれるので、運用時に困ったときにも頼れる存在となってくれるでしょう。

Clearswift SECURE Web Gateway

サイトhttps://www.clearswift.co.jp/
Clearswift SECURE Web Gateway は、高度なフィルタリング機能に加え、Avira、Sophos、Kaspersky の3つのウイルス対策エンジンを搭載している高機能WAF製品です。脅威の検出はもちろん、アクティブコードのサニタイゼーション(情報の除去)など、幾層もの保護レイヤーを装備しています。シマンテック社提供のURLデータベースによるポリシーベースのフィルタリング、コンテンツの内容に応じたアクセス制御などのほか、HTTP/S暗号化されたトラフィックの内部までを精査して、マルウェアの脅威、情報漏えいのリスクを完全回避します。

SmartCloud ソフトウェアWAF

サイトhttps://sc.nttcom.co.jp/sec/waf/softwarewaf/
SmartCloudはNTTコムウェアが提供するWAF製品です。SQLインジェクションやクロスサイトスクリプティングなど、ファイアウォールやIDS、IPSでは守れないWebアプリケーションの脆弱性を利用した不正アクセスを防御するセキュリティー対策を行うことができます。また、「ソフトウェアWAFオペレーションサービス」を導入することで、機密情報の取得やサービス停止を目的とした攻撃を防御することも可能に。最新の攻撃に対する予防保全や脆弱性の存在するWebサイトのセキュリティーを強化することができます。

クラウド型

Cloudbric

サイトhttps://www.cloudbric.jp/

Cloudbricは、クラウドブリック株式会社が提供しているWAFです。DNSの設定を変更するだけで導入できるクラウド型を採用しています。Webアプリケーションのトラフィック量に応じて、ハイパフォーマンスクラスとエコノミービジネスクラスから選択できます。シグネチャのアップデートが不要なロジカル分析WAF機能や、無料SSL証明書も利用できます。

攻撃遮断くん

サイトhttps://www.shadan-kun.com/

攻撃遮断くんは、株式会社サイバーセキュリティクラウドが提供しているWAFです。クラウド型を採用しており、手間をかけずに導入できます。完全に国産のWAFであるため、英語の苦手な管理者にとっては、ほかのWAFより運用しやすいと言えるでしょう。24時間365日の電話サポートが可能なので、いざという時にも安心です。複数サイトの導入にも、エンタープライズ向けのオプションを利用することで対応できます。

SmartConnect Network & Security

サイトhttps://cloud.nttsmc.com/sns/

SmartConnect Network & Securityは、エヌ・ティ・ティ・スマートコネクト株式会社が提供しているWAFです。通常のWAFの機能に加えて、UTM機能も搭載しており、ネットワークのセキュリティを包括的に強固できます。クラウド型を採用しており、セキュリティ部門の担当者が導入や維持に必要な作業を行ってくれるため、運用の負担も必要最小限で済みます。トラブル対応や急な設定変更にも24時間365日体制で対応しています。

Scutum

サイトhttps://www.scutum.jp/
Scutum(スキュータム)は、国内のクラウド型(SaaS型)WAF市場の売上シェア11年連続No.1を獲得している、WAFのトップブランド製品です。
SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性を狙った攻撃を防御し、情報漏えいや改ざんのリスクから企業のWebサイトを保護するWAF製品です。新たな脆弱性や攻撃手法に対して迅速に対応し、セキュリティとシステム運用のプロによるフルサポートで、誤検知の少ない最新のセキュリティ対策を常に提供している点も安心です。

AEGIS Security Systems

サイトhttps://aegis-ss.jp/
イージスは、さまざまな仮想サーバーに導入することができるクラウド型のWAF製品です。24時間365日監視をしており、攻撃を検知すると遮断と通知を即座に実施してくれます。さらに、攻撃の日時や攻撃手法、攻撃基点、攻撃の数と割合などを記載した「月次防御証明報告書」を毎月送付してくれるので、セキュリティ対策に常に万全の体制で臨むことが可能です。

BLUE Sphere

サイトhttps://bluesphere.jp/
BLUE Sphereは、さまざまなサイバー攻撃を対策し、サイバーセキュリティ保険で万一の事態にも備えられるクラウド型サービスです。WAF・DDoS防御・改ざん検知・DNS監視など、あらゆるセキュリティ対策をひとつにまとめることができるので、管理も一元化できます。付帯するサイバーセキュリティ保険では、損害賠償や費用損害を補償。また、利用料金は3か月の総データ量と平均帯域で変動するため、無駄なコストを省くことも可能です。

WAFを選ぶ際の注意点

WAFを選ぶときの注意点についてご紹介します。

性能

導入を検討しているWAFの性能が自社の要件を満たしていることは、WAF導入における最重要ポイントです。WAFの導入時には、複数のWAFを候補にして、それぞれの性能をしっかりと比較してから導入を決めましょう。

動作の軽さ

WAFの導入によりWebアプリケーションの動作の軽さに影響が発生しては意味がありません。特に多数のユーザーを持つWebアプリケーションへのWAFの導入には動作の軽さが重要なポイントとなります。

 価格・インストール台数

WAFの価格やインストール台数はWAFの種類によって大きく異なります。WAFにかかるコストには「導入コスト」「運用コスト」「メンテナンスコスト」などがあります。導入時だけでなく、運用中にかかるコストなどトータルで考えておくことが必要です。

相談は可能か

WAFの導入や運用についてはセキュリティの知識が求められるため、できれば導入を検討しているWAFを販売している会社に相談してから導入を決めると良いでしょう。また導入後にアフターサービスがある会社なラ安心です。

これまでの実績はどうなっているか

実際にWAFを導入している企業数や企業からの評価の声を確認して、WAFの導入前に実績を調べておきましょう。実績が豊富な製品の方が、当然優れていると評価できます。

具体的に運用可能か

実際にWAFを導入したとして、具体的に運用可能かどうか、あらかじめよく検討しましょう。その際、自社の現在の状況だけでなく、将来の状況も考慮すべきです。Webアプリケーションの機能や、Webサーバーの数などは将来変わる可能性があります。WAFを導入する際には、このような環境の変化に対応でき、将来も運用可能かどうかも検討しましょう。

まとめ

WAFについて、その概要とおすすめのWAF製品をご紹介しました。サイバー攻撃の高度化や複雑化が進み、サイバー攻撃の全てを防御することは困難な時代となりました。しかしできる限りのセキュリティ対策を施しておくことで、防ぐことができるサイバー攻撃はいくつもあります。そのための手段の一つがWAFの導入です。自社にてWebアプリケーションを公開しているのでしたら、ぜひWAFの導入を検討してみてはいかがでしょうか。

よくある質問

中小企業はサイバー攻撃にどう備えればよいですか?

すぐに対策を講じるには、セキュリティ対策ソフトを利用すると良いでしょう。おすすめのソフトをこちらで紹介しています。

どんな企業・組織がWAFを導入するべきですか?

ECサイトやオンラインショッピングの事業を行っている企業や、会員制のWebサイト運営、Web経由で他社へサービスを提供している組織は特にWAFの導入が望ましいでしょう。詳しくはこちらで解説しています。

WAFを導入したいが、いろいろなサービスがあってよく分かりません。

求めるセキュリティレベルや、技術者の運用状況、コストなどによって選定基準もさまざまです。WAFのサービスを提供している企業をまとめていますので、気になるところから資料請求を行い、比較をすることをおすすめします。こちらで資料請求できます。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。