サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

【2021年最新比較】WAFとは?おすすめ製品6選!選ぶ際の注意点まで

  • LINEで送る


インターネット上ではさまざまなサービスが公開されていますが、それらの多くはWebサーバー上で動作しているアプリケーションです。このWebアプリケーションの脆弱性を悪用したサイバー攻撃による被害は、毎日のように発生しています。Webアプリケーションに対するサイバー攻撃を防御するための手段の一つがWAFです。この記事ではWAFの概要と、企業規模別のおすすめ製品について詳しく解説いたします。

 WAFとは

WAFとはWebアプリケーションの脆弱性を悪用したサイバー攻撃を防御するためのシステムのことです。正式には、Web Application Firewallとつづり、「ワフ」と呼ばれることが多いです。

サーバーで動作するWebアプリケーションは、PHPやRubyなどのプログラミング言語で開発されるのが一般的ですが、プログラミングのバグで、脆弱性が発生し、サイバー攻撃に悪用されることがあります。例えば「クロスサイトスクリプティング」や「SQLインジェクション」などは代表的なサイバー攻撃です。

WAFはこのようなWebアプリケーションの動作を監視し、不正なふるまいを検知すると、動作をブロックしたり、ログを記録したりできます。このような機能によりWebアプリケーションのユーザーの情報漏洩を保護などのセキュリティ対策が実現できます。

WAFの機能・役割とは

WAFにはさまざまな機能と役割があります。WAFの機能と役割についてまとめました。

機能 機能の内容
動作のブロック あらかじめ登録されている不正な動作を検知したらブロックする機能
通信のログ保存 あらかじめ登録されている不正な動作を検知したらログに保存する機能
シグネチャの更新 シグネチャ(不正な通信パターン)を最新の状態に更新する機能
レポート機能 不正な通信、攻撃の種類、攻撃元など統計情報をレポートにして表示させる機能
IPアドレスブロック 特定のIPアドレスからの通信をブロックする機能
特定URLの除外機能 特定のURLへのアクセスを防御対象から除外する機能

ここで紹介した機能はWAFにはさまざまな製品があり、搭載されている機能も製品ごとに異なります。自社に必要な機能や、WAFに求める目的に応じて製品を選ぶと良いでしょう。

WAFのメリット・デメリット

Webアプリケーションの脆弱性対策としてWAFの導入は効果的ですが、メリットだけでなくデメリットもあります。

まずWAF導入のメリットは、脆弱性のあるWebアプリケーションが動作していても、WAFが導入されていれば、サイバー攻撃を防げることです。WAFによるセキュリティ保護はソフトウェアやシステムによるものなので、人間がリアルタイムで監視することなく動作します。そのため万が一のサイバー攻撃に対しても、迅速な対応が可能です。

またWebアプリケーションの開発において、脆弱性を完全になくすことは困難です。動作中のWebアプリケーションに脆弱性が発見されても、何らかの理由で修正できないこともあるでしょう。このような場合もWAFを導入しておくことで、サイバー攻撃を防ぐことができます。

一方、WAFには導入にコストがかかるというデメリットも無視できません。WAFにはさまざまな種類がありますが、高性能で高機能なWAFは高額ですし、WAFを導入したいサーバーの数が多ければ、その分、WAF導入の個数とも跳ね上ります。

また、どのようなWAFであっても、確実にサイバー攻撃から防御しきれると言えるものはありません。これは導入されたWAFの本来の性能や設定内容が理由となります。設定内容の理由としては、例えばWAFのAという設定により、Xという脆弱性が防御しきれなかったなどのケースです。

また逆にWebアプリケーションとして正常な機能であっても、WAFがサイバー攻撃と誤検知して動作をブロックしてしまうということもあります。これについてはWAFのホワイトリストの設定である程度の改善が可能です。

 WAFとファイアウォール、IDS/IPS、SSLとの違い

ネットワーク機器にはWAFのほかに、通常のファイアウォールやIDS/IPSがあります。これらとの違いについて説明します。

もともとWAFは、古くから使われていたファイアウォールの機能をもとに開発されたものです。ファイアウォールは、もともと設定されているルールにしたがって通信を許可したりブロックしたりする仕組みのことです。主に外部のネットワークと内部のネットワークの境界線に設置されることが多く、IPアドレスやポート番号、プロトコル、通信方向などを設定して通信を制御します。ファイアウォールは単純にこれらのルールによって通信を制御するだけなので、WAFのようにサイバー攻撃を検知して防御する機能は持ちません。

ほかのネットワーク機器としてIDSやIPSがあります。IDSは不正侵入検知システムとよばれ、ネットワークに生じた不正な通信を検知し管理者へ通信する機能を持ちます。IPSは不正侵入防止システムとよばれ、ネットワークに生じた不正な通信をブロックするところまで動作します。IDSやIPSもあくまで通信レベルでの制御によるものなので、WAFのようなWebアプリケーションのための防御とは言えません。

Webサイトのセキュリティ対策として古くからSSLという技術があります。SSLとはSecure Sockets Layerの略語で、Webサーバーとクライアントとの間の通信を暗号化する技術のことです。WAFはWebアプリケーションを導入しているWebサイトを保護するのに対して、SSLは通信を暗号化することでWebサイトの訪問者の情報を守ることを目的としています。

ファイアウォールやIDS/IPS、SSLは単独での使用でも効果がありますが、それぞれセキュリティ対策としての機能が異なります。そのため、できればWAFも含めて複数の対策を組み合わせて使うことが望ましいでしょう。

WAFの種類とは

WAFには導入形態により「アプライアンス型」「ソフトウェア型」「クラウド型」の3つに分類できます。これら3つを詳しく説明します。

アプライアンス型

アプライアンス型は、WAFの機能を持つ専用機器を自社に設置するタイプです。自社の環境に応じて独自のWAFシステムが導入でき、防御対象となるWebサーバーの台数が多い場合のコストパフォーマンスに優れています。しかし自社内にWAFを設置する場所の確保が必要であり、多額のコストが必要です。

ソフトウェア型

WAFの機能を持つソフトウェアを購入してサーバーにインストールするタイプです。専用機器は不要ですが、サーバーの数だけインストールしなければならないため、サーバー数が多いとコストは高くなります。

クラウド型

クラウドサービスとして提供されているタイプです。コストも非常に安く、簡単に導入できますが、WAFとしてのセキュリティ性能はそれほど高くなく、細かい設定のカスタマイズに対応していないものも多いです。またクラウドが障害などでサービス停止すると、WAFの機能も止まってしまいます。

WAF導入の必要性

さまざまなサービスがインターネットで提供されている現代では、Webアプリケーションは高度になり、中には多くのユーザーを抱えているものも少なくありません。このようなWebアプリケーションでは、たった一度のサイバー攻撃がサービスの命運を大きく変えることも少なくありません。そのためWebアプリケーションのセキュリティ対策としてのWAF導入の必要性は高まっているのです。

WAF大企業向け3選

大企業向けのWAFを3つご紹介します。

Barracuda Web Application Firewall


サイトhttps://www.barracuda.co.jp/products/waf/

Barracuda WAFは、バラクーダネットワークスジャパン株式会社が提供しているWAFです。管理画面が日本語化されており、英語が苦手な方でも直感的に操作できます。ログファイルでは発生したサイバー攻撃と防護に使われたルールも確認できます。小規模サイトモデルから大規模サイトモデルまで、導入するWebサイトの規模に応じて5つのモデルから選択可能です。

InfoCage SiteShell

サイトhttps://jpn.nec.com/infocage/siteshell/

InfoCage SiteShellは、日本電気株式会社が提供しているWAFです。Webサーバーにインストールするソフトウェア型を採用しており、導入にあたりネットワーク構成の見直しは不要です。脆弱性のチェックだけ行い通信をブロックしないテストモードを使うことで、通信に影響を与えずにWebサーバーへの影響をチェックできます。NECのWebサーバー開発技術をもとに作成したブラックリストは、絶えず更新されているため、常に最新のサイバー攻撃への対応が可能です。

 FortiWeb


サイトhttps://www.fortinet.com/jp/products/web-application-firewall/fortiweb

FortiWebは、フォーティネットジャパン株式会社が提供しているWAFです。フォーティネットジャパン株式会社は、ファイアウォールでは世界的にトップクラスのシェアを持つ会社です。ハードウェアアプライアンス型、仮想アプライアンス型、パブリッククラウド型の3つの形態のWAFが提供されており、WebアプリケーションのユーザーやWebサーバーの性能に応じて選択できます。AIベースの検知エンジンにより、誤検知を限りなく少なくした高レベルな検知能力が特徴です。

WAF中小企業向け3選

引き続き、中小企業向けのWAFを3つご紹介します。

攻撃遮断くん

サイトhttps://www.shadan-kun.com/

攻撃遮断くんは、株式会社サイバーセキュリティクラウドが提供しているWAFです。クラウド型を採用しており、手間をかけずに導入できます。完全に国産のWAFであるため、英語の苦手な管理者にとっては、ほかのWAFより運用しやすいと言えるでしょう。24時間365日の電話サポートが可能なので、いざという時にも安心です。複数サイトの導入にも、エンタープライズ向けのオプションを利用することで対応できます。

Cloudbric

サイトhttps://www.cloudbric.jp/

Cloudbricは、クラウドブリック株式会社が提供しているWAFです。DNSの設定を変更するだけで導入できるクラウド型を採用しています。Webアプリケーションのトラフィック量に応じて、ハイパフォーマンスクラスとエコノミービジネスクラスから選択できます。シグネチャのアップデートが不要なロジカル分析WAF機能や、無料SSL証明書も利用できます。

SmartConnect Network & Security

サイトhttps://cloud.nttsmc.com/sns/

SmartConnect Network & Securityは、エヌ・ティ・ティ・スマートコネクト株式会社が提供しているWAFです。通常のWAFの機能に加えて、UTM機能も搭載しており、ネットワークのセキュリティを包括的に強固できます。クラウド型を採用しており、セキュリティ部門の担当者が導入や維持に必要な作業を行ってくれるため、運用の負担も必要最小限で済みます。トラブル対応や急な設定変更にも24時間365日体制で対応しています。

WAFを選ぶ際の注意点

WAFを選ぶときの注意点についてご紹介します。

性能

導入を検討しているWAFの性能が自社の要件を満たしていることは、WAF導入における最重要ポイントです。WAFの導入時には、複数のWAFを候補にして、それぞれの性能をしっかりと比較してから導入を決めましょう。

動作の軽さ

WAFの導入によりWebアプリケーションの動作の軽さに影響が発生しては意味がありません。特に多数のユーザーを持つWebアプリケーションへのWAFの導入には動作の軽さが重要なポイントとなります。

 価格・インストール台数

WAFの価格やインストール台数はWAFの種類によって大きく異なります。WAFにかかるコストには「導入コスト」「運用コスト」「メンテナンスコスト」などがあります。導入時だけでなく、運用中にかかるコストなどトータルで考えておくことが必要です。

相談は可能か

WAFの導入や運用についてはセキュリティの知識が求められるため、できれば導入を検討しているWAFを販売している会社に相談してから導入を決めると良いでしょう。また導入後にアフターサービスがある会社なラ安心です。

これまでの実績はどうなっているか

実際にWAFを導入している企業数や企業からの評価の声を確認して、WAFの導入前に実績を調べておきましょう。実績が豊富な製品の方が、当然優れていると評価できます。

具体的に運用可能か

実際にWAFを導入したとして、具体的に運用可能かどうか、あらかじめよく検討しましょう。その際、自社の現在の状況だけでなく、将来の状況も考慮すべきです。Webアプリケーションの機能や、Webサーバーの数などは将来変わる可能性があります。WAFを導入する際には、このような環境の変化に対応でき、将来も運用可能かどうかも検討しましょう。

まとめ

WAFについて、その概要とおすすめのWAF製品6つをご紹介しました。サイバー攻撃の高度化や複雑化が進み、サイバー攻撃の全てを防御することは困難な時代となりました。しかしできる限りのセキュリティ対策を施しておくことで、防ぐことができるサイバー攻撃はいくつもあります。そのための手段の一つがWAFの導入です。自社にてWebアプリケーションを公開しているのでしたら、ぜひWAFの導入を検討してみてはいかがでしょうか。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


メルマガ登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はこちら

SNSでもご購読できます。