無料会員登録
WAFとは、Webアプリケーションの保護に特化したセキュリティ製品です。Webアプリケーションへの不審な動きを検知し、Webサイトの改ざんやWebサーバーへの攻撃を遮断します。自社のWebサイトやWebサービスを保有する企業であれば、必須のシステムです。この記事では、おすすめのWAF製品20選を紹介します。WAFのタイプ別に解説しますので、WAF導入を検討中の方はぜひご活用ください。
この記事の目次
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
WAFとは
WAFとはWebアプリケーションの脆弱性を悪用したサイバー攻撃を防御するためのシステムのことです。正式には、Web Application Firewallとつづり、「ワフ」と呼ばれることが多いです。
サーバーで動作するWebアプリケーションは、PHPやRubyなどのプログラミング言語で開発されるのが一般的ですが、プログラミングのバグで、脆弱性が発生し、サイバー攻撃に悪用されることがあります。例えば「クロスサイトスクリプティング」や「SQLインジェクション」などは代表的なサイバー攻撃です。
WAFはこのようなWebアプリケーションの動作を監視し、不正なふるまいを検知すると、動作をブロックしたり、ログを記録したりできます。このような機能によりWebアプリケーションのユーザーの情報漏洩を保護などのセキュリティ対策が実現できます。
参照WAFとは?セキュリティ対策の仕組みを初心者にもわかりやすく解説
WAFの機能・役割とは
WAFにはさまざまな機能と役割があります。WAFの機能と役割についてまとめました。
| 機能 | 機能の内容 |
|---|---|
| 動作のブロック | あらかじめ登録されている不正な動作を検知したらブロックする機能 |
| 通信のログ保存 | あらかじめ登録されている不正な動作を検知したらログに保存する機能 |
| シグネチャの更新 | シグネチャ(不正な通信パターン)を最新の状態に更新する機能 |
| レポート機能 | 不正な通信、攻撃の種類、攻撃元など統計情報をレポートにして表示させる機能 |
| IPアドレスブロック | 特定のIPアドレスからの通信をブロックする機能 |
| 特定URLの除外機能 | 特定のURLへのアクセスを防御対象から除外する機能 |
ここで紹介した機能はWAFにはさまざまな製品があり、搭載されている機能も製品ごとに異なります。自社に必要な機能や、WAFに求める目的に応じて製品を選ぶと良いでしょう。
WAFのメリット・デメリット
Webアプリケーションの脆弱性対策としてWAFの導入は効果的ですが、メリットだけでなくデメリットもあります。
メリット
まずWAF導入のメリットは、脆弱性のあるWebアプリケーションが動作していても、WAFが導入されていれば、サイバー攻撃を防げることです。WAFによるセキュリティ保護はソフトウェアやシステムによるものなので、人間がリアルタイムで監視することなく動作します。そのため万が一のサイバー攻撃に対しても、迅速な対応が可能です。
またWebアプリケーションの開発において、脆弱性を完全になくすことは困難です。動作中のWebアプリケーションに脆弱性が発見されても、何らかの理由で修正できないこともあるでしょう。このような場合もWAFを導入しておくことで、サイバー攻撃を防ぐことができます。
デメリット
一方、WAFには導入にコストがかかるというデメリットも無視できません。WAFにはさまざまな種類がありますが、高性能で高機能なWAFは高額ですし、WAFを導入したいサーバーの数が多ければ、その分、WAF導入の個数とも跳ね上ります。
また、どのようなWAFであっても、確実にサイバー攻撃から防御しきれると言えるものはありません。これは導入されたWAFの本来の性能や設定内容が理由となります。設定内容の理由としては、例えばWAFのAという設定により、Xという脆弱性が防御しきれなかったなどのケースです。
また逆にWebアプリケーションとして正常な機能であっても、WAFがサイバー攻撃と誤検知して動作をブロックしてしまうということもあります。これについてはWAFのホワイトリストの設定である程度の改善が可能です。
WAFとファイアウォール、IDS/IPS、SSLとの違い
ネットワーク機器にはWAFのほかに、通常のファイアウォールやIDS/IPSがあります。これらとの違いについて説明します。
もともとWAFは、古くから使われていたファイアウォールの機能をもとに開発されたものです。ファイアウォールは、もともと設定されているルールにしたがって通信を許可したりブロックしたりする仕組みのことです。主に外部のネットワークと内部のネットワークの境界線に設置されることが多く、IPアドレスやポート番号、プロトコル、通信方向などを設定して通信を制御します。ファイアウォールは単純にこれらのルールによって通信を制御するだけなので、WAFのようにサイバー攻撃を検知して防御する機能は持ちません。
ほかのネットワーク機器としてIDSやIPSがあります。IDSは不正侵入検知システムとよばれ、ネットワークに生じた不正な通信を検知し管理者へ通信する機能を持ちます。IPSは不正侵入防止システムとよばれ、ネットワークに生じた不正な通信をブロックするところまで動作します。IDSやIPSもあくまで通信レベルでの制御によるものなので、WAFのようなWebアプリケーションのための防御とは言えません。
Webサイトのセキュリティ対策として古くからSSLという技術があります。SSLとはSecure Sockets Layerの略語で、Webサーバーとクライアントとの間の通信を暗号化する技術のことです。WAFはWebアプリケーションを導入しているWebサイトを保護するのに対して、SSLは通信を暗号化することでWebサイトの訪問者の情報を守ることを目的としています。
ファイアウォールやIDS/IPS、SSLは単独での使用でも効果がありますが、それぞれセキュリティ対策としての機能が異なります。そのため、できればWAFも含めて複数の対策を組み合わせて使うことが望ましいでしょう。
参照IDS・IPSとは?不正侵入検知・防御サービスの仕組みや役割
WAFの種類とは
WAFには導入形態により「アプライアンス型」「ソフトウェア型」「クラウド型」の3つに分類できます。これら3つを詳しく説明します。
アプライアンス型
アプライアンス型は、WAFの機能を持つ専用機器を自社に設置するタイプです。自社の環境に応じて独自のWAFシステムが導入でき、防御対象となるWebサーバーの台数が多い場合のコストパフォーマンスに優れています。しかし自社内にWAFを設置する場所の確保が必要であり、多額のコストが必要です。
ソフトウェア型
WAFの機能を持つソフトウェアを購入してサーバーにインストールするタイプです。専用機器は不要ですが、サーバーの数だけインストールしなければならないため、サーバー数が多いとコストは高くなります。
クラウド型
クラウドサービスとして提供されているタイプです。コストも非常に安く、簡単に導入できますが、WAFとしてのセキュリティ性能はそれほど高くなく、細かい設定のカスタマイズに対応していないものも多いです。またクラウドが障害などでサービス停止すると、WAFの機能も止まってしまいます。
WAF導入の必要性
さまざまなサービスがインターネットで提供されている現代では、Webアプリケーションは高度になり、中には多くのユーザーを抱えているものも少なくありません。このようなWebアプリケーションでは、たった一度のサイバー攻撃がサービスの命運を大きく変えることも少なくありません。そのためWebアプリケーションのセキュリティ対策としてのWAF導入の必要性は高まっているのです。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
無料から始められるWAF製品おすすめ4選
WAFを導入したいけど、コストは抑えたいと考えている企業も多いでしょう。そこで、ここでは無料で導入することができるWAF製品や、無料トライアルプランがある製品を4つご紹介します。
SiteGuard(Cloud Edithion/Server Edithion/Proxy Edithion)
サイトhttps://siteguard.jp-secure.com
国産WAF「SiteGuardシリーズ」は、クラウド型・ソフトウェア型に対応したWebセキュリティ製品です。
お客様のWebサイトの環境、運用方針に合わせた3つの製品をラインナップし、SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護します。
(外部脅威対策)
Webサイトの脆弱性を修正することが難しい場合の対策や万一の事態に備えた運用面での対策として、様々なニーズにお応えし、お客様の安心安全なWebサイトの運営に貢献いたします。
◆クラウド型WAF「SiteGuard Cloud Edition」
DNS切替による導入で、新しい機器の設置やインストール不要。運用お任せ
◆ホスト型WAF「SiteGuard Server Edition」
Apche/Nginx/IISのモジュールとして動作し、シンプル且つカスタマイズ性抜群
◆ゲートウェイ型WAF「SiteGuard Proxy Edition」
ソフトウェアのプロキシとして動作する多機能タイプの製品
AIONCLOUD
サイトhttps://www.aioncloud.com/ja/new-waf-jp/
AIONCLOUDは、累積出荷台数15,000台超の実績を誇るクラウド型WAFサービスです。ウェブサイトのトラフィックや訪問回数、受けた攻撃に関する詳細なステータスをリアルタイムで監視できるほか、さまざまな攻撃からWebサイトを保護してくれます。
万一、マルウェアを検出した場合は素早い対応で拡大を防止して、脅威を学習する機能も搭載。未知の不正に対しても、しっかりとセキュリティ保護が可能です。また、世界40ヵ所のIDCにサービスインフラを保有しており、脅威インテリジェントを自動で更新し続けています。
無料の場合は月に5GBまでの制限がありますので、まずはWAF製品を試してみたい、という場合におすすめです。
WafCharm
WafCharmは、AWS WAFやAzure WAFに特化したWAF自動運用サービスです。WafCharmを利用すれば、自社にセキュリティエンジニアがいなくてもAWS WAFやAzure WAFの運用を行うことができます。
WafCharmには30日間の無料トライアルプランがありますので、上記2つのWAF運用を考えている場合は、候補として検討してみることをおすすめします。
DIT Security
サイトhttps://security.ditgroup.jp/
DIT Securityは、30日間の無料お試し期間があるトータルセキュリティサービスです。クラウド型のWAFや脆弱性診断を提供しており、Webサイトの改ざんを未然に防ぎます。不審な動きの検知から復旧まで総合的にサポートしてくれるため、情報セキュリティ部門を持たない企業でも安心して利用できるでしょう。
有料WAF製品のおすすめ18選【タイプ別】
WAF製品は、「アプライアンス型」「ソフトウェア型」「クラウド型」の3種類があります。詳しい違いは、以下の表をご覧ください。
| 種類 | 概要 | 導入・運用 | 注意点 |
|---|---|---|---|
| アプライアンス型 | WAF専用機器を自社に設置 | 導入・運用コストとともに高い
システムの柔軟性に優れる |
自社運用には専門スタッフが必要。複数のサーバーを持つ企業に最適 |
| ソフトウェア型 | 購入したWAFソフトウェアをサーバーにインストール | 導入コストを抑えやすい
サーバー数が多いと費用がかさむ |
自社運用には一定の専門知識が必要。サーバーが多い企業にはコスパが悪い |
| クラウド型 | クラウドサービスとして提供されるWAF | 導入コストが低く、運用も簡単
細かいカスタマイズはできない |
非IT企業でも手軽に導入・運用できる反面、ベンダーのサービス障害のリスク有り |
続いて、WAFのタイプ別におすすめの製品を紹介します。
アプライアンス型
phos Firewall
サイトhttps://www.sophos.com/ja-jp/products/next-gen-firewall.aspx
Sophos Firewallは、業界初となる独自のセキュリティ機能を搭載した次世代セキュリティサービスです。専用アプライアンスによる柔軟性や接続性、信頼性を備えており、さまざまな機種で利用することができます。リアルタイム統合でアプリの可視化、脅威の監視と自動隔離を実現しており、Sophos Firewallを導入すればオールインワンで保護が可能です。大企業や教育機関となど、幅広い環境に対応しており、ユーザーごとの規模にあわせた機能と価格で利用することができるので、コスト削減にもなるでしょう。
Barracuda Web Application Firewall
サイトhttps://www.barracuda.co.jp/products/waf/
Barracuda WAFは、バラクーダネットワークスジャパン株式会社が提供しているWAFです。管理画面が日本語化されており、英語が苦手な方でも直感的に操作できます。ログファイルでは発生したサイバー攻撃と防護に使われたルールも確認できます。小規模サイトモデルから大規模サイトモデルまで、導入するWebサイトの規模に応じて6つのモデルから選択可能です。
FortiWeb
サイトhttps://www.fortinet.com/jp/products/web-application-firewall/fortiweb
FortiWebは、フォーティネットジャパン株式会社が提供しているWAFです。フォーティネットジャパン株式会社は、ファイアウォールでは世界的にトップクラスのシェアを持つ会社です。ハードウェアアプライアンス型、仮想アプライアンス型、パブリッククラウド型の3つの形態のWAFが提供されており、WebアプリケーションのユーザーやWebサーバーの性能に応じて選択できます。AIベースの検知エンジンにより、誤検知を限りなく少なくした高レベルな検知能力が特徴です。
I mperva Web Application Firewall (WAF)
サイトhttps://www.imperva.com/ja/web-application-firewall-waf/
Imperva Web Application Firewall (WAF) は、WAF市場で圧倒的な実績と信頼性を誇る製品で、金融や官公庁をはじめとする幅広い企業が導入している製品です。Imperva Web Application Firewall (WAF) により、Webアプリケーションに潜む脆弱性を攻撃者にさらさずに、攻撃を防御してくれます。複数のセキュリティエンジンと防御手段を組み合わせることで、セキュアなWebサイトの運営が可能です。
WAFが防御する対象は、Apache struts 脆弱性、OpenSSL脆弱性、SQLインジェクション、OSコマンドインジェクション、バッファ・オーバーフロー、ディレクトリトラバーサル、セッションハイジャック、ヘッダインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリー、リスト型アカウントハッキングなど幅広い攻撃に対応しています。
SecureSoft Sniper ONE
サイトhttps://www.securesoft.co.jp/products/one/
SecureSoft Sniper ONEは、独自の防御エンジンを持っている総合セキュリティサービスです。SecureSoft Sniper ONEでは、これまでのSniperシリーズの技術を統合しており、年々複雑化、高度化していく企業や各種機関へのネットワーク・サーバへの攻撃に対応しています。ユーザーに合わせた機能の組み合わせが可能なので、不要な機能を省きコストに見合った機能を実装することができます。
WAPPLES
サイトhttps://www.pentasecurity.co.jp/wapples/
WAPPLESは、世界70万以上のWebサイトへの導入実績を持つアプライアンス型WAFです。独自開発の高精度な検知エンジンにより、Webサイト保護における誤検知率を減少させます。アプライアンス型ながら導入・運用がしやすい設計で、情報システム担当者のスキルに依存せずにセキュリティ体制を構築できます。
ソフトウェア型
Siteguard Server Edition/Siteguard Proxy Edition
サイトhttps://siteguard.jp-secure.com/product
Siteguard(ソフトウェア型)はお客様のご導入環境に合わせ、2種類のラインナップがございます。Server Editionはウェブサーバーのモジュールとして動作するホスト型WAF(ソフトウェア)製品です。ウェブサーバー自体にインストールするため、専用ハードウェアが必要ありません。Proxy Editionはリバースプロキシとして動作するゲートウェイ型WAF(ソフトウェア)製品です。ウェブサーバーと独立した構成で、複数のWebサーバーを一元的に保護したいお客様に最適な製品です。
また、SiteGuard Server Edition/Proxy Editionは、
攻撃パターンをデータベース化したトラステッド・シグネチャを標準搭載。
トラステッド・シグネチャとのパターンマッチングにより、
SQLインジェクションやクロスサイトスクリプティング(XSS)といった、
ウェブアプリケーションの脆弱性を悪用する多様な攻撃を検出、防御します。
また、ソフトウェア製品のため、オンプレミス環境やクラウド環境などのインフラを問わず、
多様なシステム環境でご利用いただくことができます。
サポート対応には、自社開発製品の強みを生かし、
開発に近い立場で製品を熟知したエンジニアが迅速に対応します。
専門メーカーとして長年蓄積した多くのサポートナレッジを基に、お客様の課題解決をご支援します。
InfoCage SiteShell
サイトhttps://jpn.nec.com/infocage/siteshell/
InfoCage SiteShellは、日本電気株式会社が提供しているWAFです。Webサーバーにインストールするソフトウェア型を採用しており、導入にあたりネットワーク構成の見直しは不要です。脆弱性のチェックだけ行い通信をブロックしないテストモードを使うことで、通信に影響を与えずにWebサーバーへの影響をチェックできます。NECのWebサーバー開発技術をもとに作成したブラックリストは、絶えず更新されているため、常に最新のサイバー攻撃への対応が可能です。
Clearswift SECURE Web Gateway
サイトhttps://www.hitachi-solutions.co.jp/clearswift_web/
Clearswift SECURE Web Gateway は、高度なフィルタリング機能に加え、Avira、Sophos、Kaspersky の3つのウイルス対策エンジンを搭載している高機能WAF製品です。脅威の検出はもちろん、アクティブコードのサニタイゼーション(情報の除去)など、幾層もの保護レイヤーを装備しています。シマンテック社提供のURLデータベースによるポリシーベースのフィルタリング、コンテンツの内容に応じたアクセス制御などのほか、HTTP/S暗号化されたトラフィックの内部までを精査して、マルウェアの脅威、情報漏えいのリスクを完全回避します。
クラウド型
Siteguard Cloud Edition
サイトhttps://siteguard.jp-secure.com/siteguard-cloud-edition
SiteGuard Cloud Editionは、マネージドサービスとしてEGセキュアソリューションズより提供されている、DNS切り替え型のクラウドWAF製品です。
SQLインジェクションやクロスサイトスクリプティング(XSS)、Ddos攻撃といった、ウェブアプリケーションの脆弱性を悪用する多様な攻撃を検出、防御します。
クラウド型WAF製品のため、DNSの設定変更によりWAFを導入でき、新たな機器の設置やインストール作業は不要、ネットワーク構成を変更することなく利用が可能です。
また、国別フィルタによるアクセス制御機能が、全プランに標準搭載されています。
日々の運用もエンジニアの伴走によりサポートし、かんたん導入・かんたん運用を実現します。
シンプルであることをコンセプトに設定項目を必要最小限に絞り込んでおり、高度な知識がなくても利用できるよう、すべての設定は直感的なWeb管理画面上で実施可能です。
操作方法に関するお問い合わせやチューニングのご依頼には、履歴管理可能な専用フォームがご利用いただけます。
また、月間の通信量に応じた料金形態となっており、1つの契約で10サイト~、一元保護が可能。
複数のWebサイトを運営している場合も追加費用なく、低価格でクラウドWAFをご利用いただけます。
Cloudbric
Cloudbricは、クラウドブリック株式会社が提供しているWAFです。DNSの設定を変更するだけで導入できるクラウド型を採用しています。Webアプリケーションのトラフィック量に応じて、ハイパフォーマンスクラスとエコノミービジネスクラスから選択できます。シグネチャのアップデートが不要なロジカル分析WAF機能や、無料SSL証明書も利用できます。
攻撃遮断くん
サイトhttps://www.shadan-kun.com/
攻撃遮断くんは、株式会社サイバーセキュリティクラウドが提供しているWAFです。クラウド型を採用しており、手間をかけずに導入できます。完全に国産のWAFであるため、英語の苦手な管理者にとっては、ほかのWAFより運用しやすいと言えるでしょう。24時間365日の電話サポートが可能なので、いざという時にも安心です。複数サイトの導入にも、エンタープライズ向けのオプションを利用することで対応できます。
SmartConnect Network & Security
サイトhttps://cloud.nttsmc.com/sns/
SmartConnect Network & Securityは、エヌ・ティ・ティ・スマートコネクト株式会社が提供しているWAFです。通常のWAFの機能に加えて、UTM機能も搭載しており、ネットワークのセキュリティを包括的に強固できます。クラウド型を採用しており、セキュリティ部門の担当者が導入や維持に必要な作業を行ってくれるため、運用の負担も必要最小限で済みます。トラブル対応や急な設定変更にも24時間365日体制で対応しています。
Scutum
Scutum(スキュータム)は、国内のクラウド型(SaaS型)WAF市場の売上シェア11年連続No.1を獲得している、WAFのトップブランド製品です。
SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性を狙った攻撃を防御し、情報漏えいや改ざんのリスクから企業のWebサイトを保護するWAF製品です。新たな脆弱性や攻撃手法に対して迅速に対応し、セキュリティとシステム運用のプロによるフルサポートで、誤検知の少ない最新のセキュリティ対策を常に提供している点も安心です。
AEGIS Security Systems
イージスは、さまざまな仮想サーバーに導入することができるクラウド型のWAF製品です。24時間365日監視をしており、攻撃を検知すると遮断と通知を即座に実施してくれます。さらに、攻撃の日時や攻撃手法、攻撃基点、攻撃の数と割合などを記載した「月次防御証明報告書」を毎月送付してくれるので、セキュリティ対策に常に万全の体制で臨むことが可能です。
BLUE Sphere
BLUE Sphereは、さまざまなサイバー攻撃を対策し、サイバーセキュリティ保険で万一の事態にも備えられるクラウド型サービスです。WAF・DDoS防御・改ざん検知・DNS監視など、あらゆるセキュリティ対策をひとつにまとめることができるので、管理も一元化できます。付帯するサイバーセキュリティ保険では、損害賠償や費用損害を補償。また、利用料金は3か月の総データ量と平均帯域で変動するため、無駄なコストを省くことも可能です。
Imperva App Protect
サイトhttps://www.softbanktech.co.jp/service/list/imperva/incapsula/
Imperva App Protectは、クラウド型WAFを始めとした包括的なWebセキュリティサービスです。DDoS攻撃や悪性ボット対策に対応し、Webサイトの安定稼働を支援します。世界40ヶ所以上にデータセンターを保有しており、膨大なDDoS攻撃があっても瞬時に負荷緩和が可能です。
CloudCoffer on Cloud
サイトhttps://www.rayaegis.co.jp/service/genre/other/cloudcoffer-on-cloud/
CloudCoffer on Cloudは、高度な攻撃にも対応できるクラウド型WAFサービスです。一般的なサイバー攻撃に加え、ゼロデイ攻撃や難読化攻撃にも対処します。ホワイトハッカーの協力を受けて開発されたAIエンジンを搭載しており、Webサイトの強固な保護が可能です。
おすすめWAF製品22選一覧表
ここまで紹介したおすすめWAF製品20選について、以下の一覧表にまとめます。
| 製品名 | 提供タイプ | 料金 | 対処可能な攻撃の一例 | 無料トライアル |
|---|---|---|---|---|
| SiteGuard (Cloud /Server /Proxy Edithion) |
ソフトウェア、クラウド |
|
|
|
| AIONCLOUD | クラウド | 月額4,000円〜 | DoS攻撃、ゼロデイ攻撃、インジェクション攻撃 | 3ヶ月間 |
| WafCharm | クラウド | 月額5,000円〜 | お問合せ | 30日間 |
| DIT Security | クラウド | お問合せ | Web改ざん、DDoS攻撃 | 30日間 |
| Sophos Firewall | アプライアンス | お問合せ | お問合せ | 無し |
| Barracuda Web Application Firewall | アプライアンス | お問合せ | Web攻撃、DDoS攻撃、悪性ボット | 無し |
| FortiWeb | アプライアンス | お問合せ | お問合せ | 無し |
| Imperva Web Application Firewall (WAF) | アプライアンス | お問合せ | お問合せ | 有り
※期間お問合せ |
| SecureSoft Sniper ONE | アプライアンス | お問合せ | DDoS攻撃 | 無し |
| WAPPLES | アプライアンス | お問合せ | Webハッキング、Web改ざん、DDoS攻撃、不正ログイン | 無し |
| InfoCage SiteShell | ソフトウェア | 年間ライセンス600,000円 など | バッファオーバフロー、SQLインジェクション、パラメータ改ざん など | 無し |
| Clearswift SECURE Web Gateway | ソフトウェア | お問合せ | ウイルス、スパイウェア、バックドア攻撃 | 無し |
| Cloudbric | クラウド | 初期費用68,000円〜、月額28,000円〜 | DDoS攻撃、悪性ボット | 30日間 |
| 攻撃遮断くん | クラウド | 月額10,000円〜
※初期費用お問合せ |
クロスサイトスクリプティング
、SQLインジェクション、ブルーとフォースアタック など |
有り
※期間お問合せ |
| SmartConnect Network & Security | クラウド | 初期費用110,000円、月額44,000円〜 | DDoS攻撃 | 無し |
| Scutum | クラウド | 初期費用98,000円〜、月額29,800円〜 | SQLインジェクション、クロスサイトスクリプティング | 無し |
| AEGIS Security Systems | クラウド | 月額58,000円〜
※初期費用お問合せ |
不正リクエスト、ゼロデイ攻撃、インジェクション攻撃 など | 30日間 |
| BLUE Sphere | クラウド | 初期費用100,000円、月額45,000円〜 | Web改ざん、DDoS攻撃 | 有り
※期間お問合せ |
| Imperva App Protect | クラウド | お問合せ | SQLインジェクション、DDoS攻撃、悪性ボット など | 無し |
| CloudCoffer on Cloud | クラウド | 初期費用98,000円、月額58,000円〜 | Web改ざんゼロデイ攻撃、難読化攻撃、DDoS攻撃 など | 30日間 |
※「対処可能な攻撃の一例」は、公式サイトに明記されている種類のみ記載
WAF製品選定を失敗しないためのポイント
WAFは数多くの製品があるため、どれを選ぶか迷ってしまう人もいるかもしれません。ここでは、WAF製品を選ぶポイントを6つ紹介します。
(1)対処できるサイバー攻撃の種類
WAFを導入する場合、自社のWebサイトで防ぎたい攻撃を明確にしましょう。多くのWAFは、一般的なWeb改ざん攻撃に対応しています。たとえば、SQLインジェクションやクロスサイトスクリプティングなどの攻撃です。他にも、DDoS攻撃やブルートフォースアタックといったWeb攻撃に対処できます。ベンダーによって細かな対処範囲が異なるため、対処可能な攻撃の確認が重要です。
(2)サポートの範囲
WAF製品は、ベンダーごとにサポート体制が違います。導入から運用まで幅広くフォローしてくれるサービスもあれば、最低限の導入フォローのみのベンダーもあります。自社の情報セキュリティ体制に合わせ、手厚いサポートまたは導入時の対応のみで良いのか検討してみてください。専任の情報セキュリティ部門がない場合は、保守運用サポートがあるベンダーがおすすめです。
(3)費用対効果の検証
検討しているWAFのコストを確認し、WAF導入による費用対効果を検証しましょう。極端な例ですが、自社コーポレートサイトしか持たない会社が高額なアプライアンス型WAFを導入するのは避けましょう。また、クラウド型のWAFは初期費用は安いものの、毎月固定のランニングコストが生じます。不要なオプションはつけず、Webサイトの規模に見合ったプランを組みましょう。
(4)無料トライアルの実施
WAFの中には、無料トライアルやデモを試せるサービスもあります。実際の環境を体験できるので、管理のしやすさや操作性をチェックしましょう。中でも、Webサイトへの負荷状況が重要です。WAFの稼働により、Webサイトの処理速度が重くなったり、誤検知が多発したりしないかを確認してみてください。WAFの設定により改善できるケースもあるので、無料期間中にベンダーに設定してもらうと良いでしょう。
(5)ベンダーのセキュリティ体制
クラウド型WAFを導入する場合、ベンダーのセキュリティ体制がとりわけ重要になります。WAFを提供するベンダー側に障害が発生すると、WAFが機能しなくなる恐れがあります。加えて、攻撃パターンを識別する「シグネチャ」の更新頻度も大切です。更新頻度が低いベンダーの場合、最新の攻撃に対応できません。
(6)同じ規模の会社の導入事例
WAFのサービスサイトには、さまざまな会社の導入事例があります。自社と同じ規模や業界の導入事例があるベンダーなら、失敗する可能性は低いと言えます。過去の導入経験に基づいて対応が期待できるので、スムーズに利用開始できるでしょう。導入事例ページは必ず確認し、自社の条件と似た実績がないか探してみてください。
よくある質問
最後に、WAFに関するよくある質問4つにお答えします。
WAFを導入するメリット・デメリットを教えて下さい
WAFの導入メリットは、Webアプリケーションに対する攻撃を未然に防げる点です。サイバー攻撃の対象になっても、WAFの防御によりWebサイトを安定稼働させられます。万一、Webサイトに脆弱性がある場合でも、WAFによる攻撃遮断が可能です。
一方のデメリットは、WAFの導入・運用コストです。WAFに限らず、多くのセキュリティ対策製品は費用が生じます。無駄な費用が生じないよう、コストパフォーマンスを重視した製品選定が大切です。
WAFとファイアウォール、IDS/IPS、SSLとの違いを教えて下さい
WAFとファイアウォール・IDS/IPSは、防御範囲が異なります。WAFは「Webアプリケーション」、ファイアウォールは「内部ネットワーク」を保護するシステムです。IDS/IPSは、OSやミドルウェア層を守ります。また、SSLはWebブラウザとサーバー間の通信内容を暗号化する仕組みです。
詳しくは、こちらの記事をご覧ください。
参照WAFとは?セキュリティ対策の仕組みを初心者にもわかりやすく解説
WAF導入の必要性は高いですか?
Webサイトを公開しているのであれば、サービスの規模にかかわらずWAFの必要性は高いです。サイバー攻撃によってシステム障害が起こると、復旧費用が生じる上にサービス停止期間は利益が発生しません。さらに、個人情報漏えいが生じれば、多額の損害賠償責任を負い自社のイメージも損ねるでしょう。サイバー攻撃にはこうした多くのリスクがあるため、WAFの導入は不可欠と言えます。
WAFを導入したらセキュリティは完璧ですか?
WAFのみのセキュリティ対策では、安全性は低いです。基本のセキュリティ対策に加え、WAFと防御範囲が異なるIDS/IPSや、事後対応に特化したEDRなどのシステムと併用してセキュリティ体制を強化しましょう。「サイバー攻撃は完全には防げない」と前提し、セキュリティインシデント発生時の対応を示すガイドラインの策定が大切になります。
加えて、Webアプリケーションへの脆弱性診断の実施もおすすめです。サイバー攻撃の起点となる脆弱性を潰すことで、よりセキュリティを強化できるでしょう。
まとめ
WAFのタイプは、「アプライアンス型」「ソフトウェア型」「クラウド型」の3つです。大規模なWebサーバーを持つ会社なら、柔軟にカスタマイズできるアプライアンス型のWAFが適しています。アプライアンス型よりも簡単な導入・運用を求める場合、ソフトウェア型のWAFがおすすめです。自社に情報セキュリティ部門がない会社は、保守運用も行ってくれるクラウド型WAFを選びましょう。WAF製品をお探しの方は、紹介した20サービスをぜひ参考にしてみてください。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
クラウドWAFとは?仕組みや選ぶ時のポイントやおすすめ製品まで徹底紹介!
WordPressのセキュリティ対策おすすめプラグイン6選
クラウド・バイ・デフォルト原則とは?登場の背景やメリット、注意点について徹底解説
ファイアウォール製品おすすめ12選を比較!セキュリティ機能も解説
【2024年最新比較】メールセキュリティとは?7製品をターゲット別に徹底比較!
SASEとは?概念や仕組み・メリットを解説
CISO(最高情報セキュリティ責任者)とは?企業内に必須の役割と現状と今後について
レンタルサーバに必要なセキュリティ対策とは?国内レンタルサーバを徹底比較
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
