無料メルマガ登録でプレゼント！書籍「セキュリティ対策の基礎知識」

サイバー攻撃の種類はさまざまあり、一つのセキュリティソフトでは対処できるだけのキャパシティを超えてしまいます。また、攻撃も高度化・複雑化が日々進んでいるので、セキュリティ対策は強固にしなければいけません。

数あるセキュリティ対策ソフトのなかでも、「クラウド型WAF」は特に注目を集めています。今回は、クラウド型WAFの特徴や対応できる攻撃の種類、おすすめの製品を20製品紹介します。

クラウド型WAFに興味を持っている方や、導入を検討している方はぜひ参考にしましょう。

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから

クラウド型WAFとは？

クラウド型WAFは、クラウド上でさまざまな脅威からWebアプリケーションの防御を可能にしたサービスです。Webサイト上のアプリケーションを管理し、サイバー攻撃から守る役割を持っています。

クラウド型WAFは、クラウドを経由するので、運用に必要な機器を準備する必要はありません。導入の手間が少なく、低コストでの運用が可能であるところもクラウド型の特徴です。

クラウド型WAFの仕組み・検知方式

クラウド型WAFには、2種類の検知方式があり、一つは定義づけした攻撃パターンのアクセスを遮断する「ブラックリスト方式」です。もう一つは正常なプログラムの定義づけをして、アクセスの許可をとる「ホワイトリスト方式」です。

ここでは、ブラックリスト方式とホワイトリスト方式の仕組みや検知方法について解説します。

ブラックリスト方式

「ブラックリスト方式」とは、攻撃パターンを把握している場合、WAFに攻撃パターンを認識させ不正なプログラムを遮断します。

シグネチャと呼ばれる定義されているパターンの一覧と通信を照合し、一致した通信を遮断します。

不正なプログラムに対してブロックするツールであるため、正常なプログラムを妨げる心配はありません。

ホワイトリスト方式

ブラックリスト方式とは逆の手法をとっているのが、ホワイトリスト方式です。安全性が確立された通信パターンであると認識させ、安全な通信パターン以外を遮断させます。

ホワイトリストの作成を自動化すれば、運用コストを抑えながらセキュリティ対策の強化が可能です。

安全だと認識させたパターン以外は遮断するため、新たな攻撃パターンが発生してもブロックしてくれます。逆にあらかじめ正常な通信パターンを認識させないと、問題のないプログラムでも遮断してしまう恐れがあるため注意が必要です。

クラウド型WAFで対応可能な攻撃の種類

クラウド型WAFで、Webアプリケーションを狙った多くの攻撃に対処が可能です。

ここでは、クラウド型WAFで対応可能な攻撃の種類について解説します。

パスワードリスト攻撃

「パスワードリスト攻撃」は、ユーザーが複数のサイトで使用しているID・パスワードを悪用して、不正ログインをする手法です。

パスワードリスト攻撃により、クレジットカード情報や会員データの漏えいなど、個人情報が抜き取られる被害が起きてしまいます。

XSS（クロスサイトスクリプティング）攻撃

「XSS（クロスサイトスクリプティング）攻撃」は、入力フォームが設置されているサイトに不正なスクリプトを埋め込みます。その後ユーザーが入力した際に、スクリプトが実行される攻撃方法です。

スクリプトが実行されると、ユーザーを別サイトへ誘導させマルウェアへ感染させます。感染したユーザーは、入力した情報を攻撃側に流出してしまいます。

ディレクトリ・トラバーサル（パストラバーサル）

「ディレクトリ・トラバーサル（パストラバーサル）」は、攻撃側がネットワーク上で閲覧できるディレクトリから侵入します。その後、本来は公開されていないディレクトリにアクセスする攻撃方法です。

攻撃側は企業の機密情報や個人情報を抜き取るほか、データの改ざんを行います。

DoS攻撃・DDoS攻撃

「DoS攻撃・DDoS攻撃」は、攻撃側が乗っ取ったコンピュータからサーバーへの攻撃を行い、Webサイトの停止を行います。

乗っ取られる機器はパソコンだけでなく、ルーターや防犯カメラなどにも及びます。

POODLE攻撃

「POODLE攻撃」は、暗号化通信の脆弱性を悪用して、Webサイトに保管されている個人情報を抜き取る攻撃方法です。

現在はまだ被害報告がされていませんが、POODLE攻撃が発見された時は大きな問題となったケースがありました。

バッファーオーバーフロー

「バッファーオーバーフロー」は、Webサーバーへキャパシティ以上の不正データを送り、サーバーダウンを引き起こす攻撃です。ダウンしたサーバーへ侵入し、悪質なプログラムを挿入して情報を盗み取ったりデータを破壊します。

過去には行政へ侵入した事件が発生し、Webサイトの改ざん被害がありました。

SQLインジェクション

「SQLインジェクション」は、入力フォームや検索ワードを入力するボックスに不正操作を実行するSQL文を意図的に挿入。その後データベース内のデータの改ざんや操作を行う攻撃方法です。

SQLインジェクションは、Webアプリケーションの仕組みを利用した悪質な攻撃手法です。

OSコマンドインジェクション

「OSコマンドインジェクション」は、OSコマンドを送り、サーバーへの不正アクセスを試みる攻撃です。

OSコマンドインジェクション攻撃を受けると、サーバーのデータ改ざんや削除の被害を受けるリスクがあります。

一つのサーバーだけにとどまらず、連鎖的にほかのサーバーへの攻撃が発生するケースもあるので、注意が必要です。

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから

クラウド型WAFのメリット・デメリット

クラウド型WAFには機器の設置をする必要がなく、ベンダーに運用を任せられるのがメリットです。一方で、ベンダーに運用を任せるので自由なカスタマイズが難しいというデメリットもあります。

ここではクラウド型WAFのメリット・デメリットについて深掘りします。メリットとデメリットを把握したうえで導入を検討しましょう。

メリット

クラウド型WAFはインターネット上で完結できるツールのため、専用の機器を導入する必要がありません。

さらに導入もベンダーとの契約とネットワークの設定変更で完了できます。また、運用はベンダーに一任できるので、自社で知識のあるスタッフを用意する必要もありません。、このように導入決定から運用まで多くの時間を割く必要がないのが、クラウド型WAFの大きなメリットです。

デメリット

クラウド型WAFは運用・管理をベンダーに一任できるメリットがある一方で、自社で管理ができないため自由度が劣るデメリットが挙げられます。

またクラウド型WAFのデメリットは料金面にもあります。クラウド型WAFは、利用した分だけ料金が発生する製品が一般的です。

そのため監視対象が多かったり通信量が増えていくと、想定外の料金が請求される恐れがあります。

クラウド型WAFを選ぶ際のポイント

クラウド型WAF製品を選ぶ際、見るべきポイントはさまざまあります。ここでは、クラウド型WAFを選ぶ際のポイントを以下の6点から紹介します。

• 導入目的と防御できる攻撃の種類が合っているか
• 初期費用や運用コストは予算内か
• 運用サポートは付いているか
• 自社と類似している企業の導入実績があるか
• 無料トライアルで使用感を確認する
• Webサイトの処理性能への影響がないか

上記のポイントを把握したうえで製品を選びましょう。

導入目的と防御できる攻撃の種類が合っているか

WAFはすべての攻撃を防御できるわけではありません。WAFはWebサイトへ不正アクセスがないかの監視や、ログの解析に特化した対策を行うものです。

そのため導入する目的とWAFで防御できる攻撃の種類を照らし合わせて、導入の可否を決めましょう。

初期費用や運用コストは予算内か

導入に際してどのくらいのコストが発生するのかや、運用するうえでの維持費が予算内で収まるかの確認が重要です。

クラウド型WAFは、通信量や管理する対象が増えるほどコストが増えます。製品の選定をする前に、管理する範囲を把握したうえで製品を選びましょう。

運用サポートは付いているか

クラウド製品を提供するベンダーに、運用サポートがあるか確認をしておきましょう。

クラウド型WAFの運用全般を担ってくれる場合や、WAFの導入のみで運用は自社に任せる場合など、運用サポートはベンダーによってさまざまです。

運用を自社で行わない場合は、メールや電話でのサポートがあるWAFを選ぶとよいでしょう。

自社と類似している企業の導入実績があるか

クラウド型WAFを導入する際は、導入実績を確認して自社と似たような業種でも運用がされているかを確認しましょう。

特に会社の規模によって導入すべきWAFが異なります。そのため自社と同様の業界や業種を見つけてベンダーへ問い合わせれば、自社に適したWAFを導入できます。

無料トライアルで使用感を確認する

導入に失敗してしまえば、余計なコストを払うリスクがあります。

失敗を抑えるためにも、無料トライアルを利用して試験的に運用をしましょう。無料トライアルを通して製品の長所と短所を洗い出し、本格的に導入しても問題ないか判断をするとリスクも抑えられます。

Webサイトの処理性能への影響がないか

Webサイトのアクセスが多い状態でクラウド型WAFの分析に時間がかかってしまうと、ユーザーも不便に感じてしまいます。

アクセスがピークに達している状態でも、余力を持って分析ができるだけのスペックを持っている製品の導入を検討しましょう。

クラウド型WAF製品おすすめ20選

クラウド型WAFには、さまざまな製品が用意されています。

ここではクラウド型WAF製品を20製品紹介しますので、導入を検討している方は製品の内容を熟読して検討をしましょう。

攻撃遮断くん

サイトhttps://www.shadan-kun.com/
「攻撃遮断くん」は、既知の攻撃のみならず、未知の脅威の発見にも対応しています。誤検知対策も万全で、万が一誤検知が発生しても迅速に対応が可能です。

また最短1日で導入が可能で、現在使用しているシステムを変更せずに当日中の運用開始ができます。

Cloudbric WAF+

サイトhttps://www.cloudbric.jp/cloudbric-waf/
「Cloudbric WAF+」は、企業のセキュリティ対策に必須のツールを一元化して提供している製品です。Webに関連するシステムの規模に関係なく、すべての企業に対して十分なセキュリティ環境を構築します。

またSSL証明書の発行で3ヶ月ごとに自動更新をしてくれるため、導入・管理コストの削減を実現します。

BLUE Sphere

サイトhttps://bluesphere.jp/

「BLUE Sphere」は、DDoS攻撃からの防御や改ざん検知などの脅威に対する防御体制を構築できるサービスです。万が一の情報漏えいに対する損害賠償補償や、事故原因の調査費用などをサポートしてくれます。

またセキュリティの脆弱性診断やWebサイトの不具合が発生した際に、原因の特定・復旧を行う「フォレンジック診断」が用意されています。さらに別途サービスを追加すれば、企業全体のセキュリティの保護も可能です。

PrimeWAF

サイトhttps://security.valtes.co.jp/primewaf/
「PrimeWAF」は、複雑な操作を必要としないため、専門的な知識を持っていなくても簡単にセキュリティ対策を構築できるサービスです。

検知した不正な通信ログ等、Webサイトの状況をわかりやすく確認できます。

また初期費用はかからず、使用した分に応じて料金が決まる従量課金制を採用しているため、必要量に応じてコストを抑えられます。

マネージドWAFサービス

サイトhttps://www.secomtrust.net/service/kanshi/waf.html
「マネージドWAFサービス」は、ユーザーのネットワーク環境によって構築したWAFを設置。24時間365日体制での有人監視や、レポート提供などを行うサービスです。

システムの脆弱性を狙った攻撃も確実に防げます。

またメーカー向けのシグネチャだけでなく、個別のシグネチャの作成にも対応。クレジットカード番号の外部流出に対する防止機能も実装されています。

Scutum

サイトhttps://www.scutum.jp/
「Scutum」は、未知の脆弱性への対応を重視しており、最新のセキュリティ対策に則って運用を行っています。

新たな脅威を検知した際、すぐにメーカーで防御可能か調査を行います。まだ対応できていない状態の場合には、検知システムや防御ロジックを見直し、迅速に対応できる体制を構築します。

Imperva WAF

サイトhttps://www.imperva.com/ja/web-application-firewall-waf/
「Imperva WAF」は、ポリシーの作成とルールの適用を自動化することで、ユーザーのネットワークを迅速に守ります。

「ダイナミック・プロファイリング技術」を用いて、ホワイトリストを自動で作成します。この技術によって、正当な通信を止めずに確実な攻撃の特定が可能です。

AEGIS Security Systems

サイトhttps://aegis-ss.jp/
「AEGIS Security Systems」は、AIエンジンを用いてゼロデイ攻撃や複雑化された攻撃に自動で対応可能です。

シグネチャの更新も不要で、運用に必要な作業もすべて一任できます。

また最短で当日中の運用開始も可能。日本人エンジニアが作成したわかりやすい運用レポートが、毎月送付されます。

AIONCLOUD　WAF

サイトhttps://www.aioncloud.com/ja/waf-jp/
「AIONCLOUD　WAF」は、AI基盤のテクノロジーを利用して、過検知や誤検知率を抑えます。

また管理機能は初心者向けから上級者向けまで用意されており、ユーザーにあわせて豊富な設定が可能です。

Barracuda Web Application Firewall

サイトhttps://www.barracuda.co.jp/products/waf/
「Barracuda Web Application Firewall」は、シグネチャベースのポリシーと強固な異常検出機能を組み合わせています。

大規模なDDoS攻撃に対しても、アプリケーションへの被害が及ぶ前に攻撃の遮断が可能です。

従来のソリューションの管理とシステムの負荷をかけずに、DDoS攻撃から守ります。

WafCharm

サイトhttps://www.wafcharm.com/jp/
「WafCharm」は、運用に関して最適なルールを自動生成するため、WAFの運用に必要な知識や人材の確保をすることなく、高度なセキュリティ環境の構築が可能です。

また当日中の導入も可能で、運用のサポートも充実。専任スタッフも用意されるので、新規脆弱性にも迅速な対応が可能です。

SmartConnect Network & Security

サイトhttps://cloud.nttsmc.com/sns/waf.html
「SmartConnect Network & Security」は、WAF・インフラ運用・高度なセキュリティ管理を一元化した製品です。

拠点ごとにUTMの導入をする必要がなく、すべての拠点からクラウド上にまとめて接続するだけで利用が可能。インターネット環境もまとめることで、コストダウンにもつながります。

またログの分析や設定管理などを行う場合は、セキュリティ対策のオペレーションを外注できるオプションが用意されています。

CloudCoffer on Cloud

サイトhttps://www.cloudcoffer.jp/cloudcoffer-on-cloud/
「CloudCoffer on Cloud」は、AIエンジンを備えたWAFをクラウド上で利用できる製品です。

既知の攻撃はもちろん、シグネチャ方式のWAFで検出困難なゼロデイ攻撃や、複雑化された攻撃もAIエンジンで検出が可能です。

secuWAF

サイトhttps://www.secuwaf.com/
「secuWAF」は、直感的なUI操作が可能なモニタリングや、個別にカスタマイズ可能なユーザーインターフェースなど、情報の可視化にこだわりがある製品です。

またセキュリティ機能は自動でアップデートされるので、常に最新の状態で攻撃を防いでくれます。

さらには専門のエンジニアによる、Webアプリケーション診断サービスが標準で用意されています。

Trend Micro Deep Security

サイトhttps://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/deep-security.html
「Trend Micro Deep Security」は、物理・仮想・クラウド・コンテナの脆弱性に対して「仮想パッチ」を適用して、足がかりとなる攻撃の阻止が可能です。

また世界のさまざまな国で活動しているセキュリティエキスパートによって、24時間体制でサポートを行います。

SiteGuard Cloud Edition

サイトhttps://siteguard.jp-secure.com/siteguard-cloud-edition
「SiteGuard Cloud Edition」は、低価格でありながら高速アクセスで快適なセキュリティ対策が可能な製品です。

すべてのプランに国別フィルタを設置し、世界情勢を考慮したアクセス制御が可能。SQLインジェクションを始めとした攻撃から、Webサイトを守ります。

管理画面も直感的な操作が可能で、専門的な知識がなくとも最小限の設定でWebサイトの管理ができます。

TrustShelter

サイトhttps://www.ntt-tx.co.jp/products/trustshelter/waf/
「TrustShelter」は、不正ログイン対策やDDoS攻撃対策など、重要なセキュリティ機能を一括で備えた製品です。

パスワードリスト攻撃のような、アカウントを乗っ取って不正アクセスを試みる攻撃も遮断が可能。

またアクセス制御が必要と判断した場合には設定作業も支援してくれるなど、サポートも充実しています。

BIG-IP Application Security Manager（ASM）

サイトhttps://www.networld.co.jp/product/f5/pro_info/f5_networks0002/20211123200857.html
「BIG-IP Application Security Manager（ASM）」は、情報のマスキングを実施し、情報漏えいの危険性を低減する製品です。

重要情報を隠すことで、大切なサイトへの不正アクセスを防ぎます。

デジサート クラウド型WAF

サイトhttps://www.digicert.com/jp/waf/waf-information-center
「デジサート クラウド型WAF」は、すでに導入しているシステムの変更をせずに、高度なセキュリティ対策を行える製品です。

またWebアプリケーションの脆弱性診断を行うために、常時最新情報を反映して運用しています。未知の脆弱性が発見されたときには、防御シグネチャを見直し、迅速な対応ができる体制があります。

CyberNEO

サイトhttps://www.cybermatrix.co/cyberneo/
「CyberNEO」は、セキュリティ分析に特化したAIを使用し、不正プログラムに自動対応する機能を管理・運用する製品です。

セキュリティに関する運用は、AIがメインとなってリアルタイムでのログ分析ができます。

またAIでは担えないようなトラブルがあった際は、電話や問い合わせフォームからの連絡も可能です。さまざまなサポート体制を備えているので、緊急を要する事態にも対応できます。

クラウド型WAF製品比較一覧

上記で解説したクラウド型WAF製品の特徴を表にまとめました。料金やサポート体制が異なりますので、製品を検討する際の参考にしてください。

よくある質問

ここではクラウド型WAFに関する疑問や、クラウド型以外のWAFについての質問を紹介します。

Q1.クラウド型WAF以外の種類はありますか？

WAFにはクラウド型のほかに、アプライアンス型とソフトウェア型があります。

アプライアンス型はWAF専用の機器を導入して、自社で運用を行います。設置場所の確保が必要ですが、自社独自でカスタマイズしたシステムでの運用が可能です。また自社に適したセキュリティ対策が立てられる点が特徴です。

一方ソフトウェア型は既存のサーバーに、WAF専用のソフトウェアをインストールして運用します。専用の機器を導入する必要がなく、導入までの期間も短いので、できるだけ早めに運用を始めたい企業に適しています。

Q2.クラウド型WAFを導入していればセキュリティ対策は完璧ですか？

クラウド型WAFのみでは、すべてのサイバー攻撃を防げません。

クラウド型WAFは、Webアプリケーションの保護に特化したセキュリティツールです。ソフトウェアやOSへの攻撃のほか、インフラへの攻撃には対応していません。

そのためWAFを導入する際は、ファイアウォールやIPS/IDSなどもあわせて導入するとよいでしょう。

まとめ

クラウド型WAFはWebアプリケーションの保護を行う際に、運用・管理をベンダーに任せられるメリットがあります。またコストを抑えながら、セキュリティ対策の構築もできるツールです。

SQLインジェクションやDDoS攻撃など、Webアプリケーションの脆弱性を標的とした攻撃はさまざまです。そこでクラウド型WAFの導入により、不正なアクセスの検知・遮断が可能です。

Webアプリケーションのセキュリティ対策にお悩みの方は、クラウド型WAFの導入を検討しましょう。

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから