おすすめWAF製品比較15選|選び方や各製品の導入実績を紹介!

近年、企業のWebアプリケーションの脆弱性を狙ったサイバー攻撃が多発しています。これらのセキュリティ対策として、WAF(ワフ)を導入する企業が増えてきました。

個人情報を取り扱う企業はサイバー攻撃への対策が迫られていることもあり、「WAFを導入してWebサイトのセキュリティを強化したい」と考えている企業も多いのではないでしょうか。

WAFは導入方法が3タイプあり、「自社がどのタイプにあっているのか」「どのベンダーのWAFを選べばいいのか」など、それぞれのツールを比較するには時間がかかります。

そこでこの記事では、自社と相性のいいWAFの選び方やおすすめのツール15選をまとめました。

この記事を読めば時間のかかるWAFの比較をスムーズに行えます。

自社と相性のいいWAFを見極められる内容となっておりますので、ぜひ参考にしてください。

WAFについて理解を深めたい方は、以下の記事を参考にしてください。

参考:WAFとは?セキュリティ対策に必要な理由や種類、導入効果を解説

24時間365日電話サポート!国産のクラウド型WAF(無料資料)


失敗しないWAFの選び方

WAFにはアプライアンス型、ソフトウェア型、クラウド型の3タイプがあります。これら3つのタイプに共通するWAFの失敗しない選び方について解説します。

失敗しないWAFの選び方は以下の通りです。

  • 導入目的と防御できる攻撃の種類が合っているか
  • 初期費用・運用コストを確認する
  • 運用サポートを確認する
  • 自社と類似している導入実績を確認する

それでは解説します。

導入目的と防御できる攻撃の種類が合っているか

WAFの導入目的と防御できる攻撃の種類があっているかを確認しましょう。

WAFには防ぐことのできる、できないサイバー攻撃があります。

WAFで防御できる攻撃は以下の通りです。

  • バッファオーバーフロー
  • クロスサイトスクリプティング
  • SQLインジェクション
  • DDoS攻撃
  • ブルートフォースアタック(総当たり攻撃)
  • ディレクトリトラバーサル

WAFを導入することで、Webサイトへの不正アクセスの監視・ブロックやログの確認などのセキュリティ対策ができるようになります。

導入目的とWAFの防御できる攻撃の種類があっているか確認し、異なる場合は以下の記事を参考にサイバー攻撃別の対策方法を確認してください。

参考:【2022年最新】サイバー攻撃対策ソフト11個を厳選比較!目的にあったセキュリティソフトの選び方も解説

初期費用・運用コストを確認する

WAFにかかる初期費用と運用コストを確認しておきましょう。特に確認しておくべきは初期コストよりも運用コストです。

運用コストの中でも、セキュリティのチューニングコストの負担が大きくなりがちです。

新しい脆弱性が見つかった場合、不正アクセスが正常なアクセスかを判断するためのルールブックである「シグネチャ」の更新が必要になります。

シグネチャの更新が必要になった場合、その都度ベンダーにチューニングを依頼すると運用コストがかかります。

自社で運用する場合はセキュリティに詳しい人材の人件費等がかかります。

大規模になると初期費用100万円以上、年間の運営費用が10万円を超えるなど、Webサイトのセキュリティに対して費用対効果が見合わない可能性があります。

会社の規模感が小さいにも関わらず、専用機器を自社に設置して運用するアプライアンス型のWAFを導入してしまっては、コストが合いません。

クラウドに特化した、低コストで運用できるサービスを提供しているベンダーもありますので、運用コストを確認した上で費用対効果に見合ったサービスを選びましょう。

運用サポート付きかどうか

WAFの提供元であるベンダーからの運用サポートがあるかを確認しておきましょう。

環境構築や運用保守を任せられるサービスと、WAFは設置できるがその後の運用等は自分で行う必要があるサービスまでさまざまです。

自社にセキュリティ部門がある場合は運用・保守のないサービスでも構いませんが、メールやチャットサポートなど、何かあったときに質問できる環境が整っているWAFを選びましょう。

セキュリティ部門がない、専任の担当者がいない場合は保守運用まで任せられるサポートが整っているWAFを選ぶのがおすすめです。

WAFを活用したセキュリティを全て任せられるので、専門的な知識を持った社員がいなくてもセキュリティを強化できます。

サポートのないWAFと比べると費用は高くなりますので、その点だけ注意しましょう。

自社と類似している導入実績があるかどうか

WAFを導入する前にベンダーの導入事例を見て自社に近い業種・業界の実績があるかを確認しましょう。

会社規模やサーバーの数によって導入すべきWAFのタイプが異なります。

自社にあったWAFを見つけるには、ベンダーの事例から同業種、または近い業界の導入事例を確認しましょう。

同じような業種・業界を見つけた上で問い合わせを行えば、導入に失敗することはありません。


WAFの3つのタイプと導入する際の選定ポイントを解説

WAFには前述した通り3つのタイプがあり、それぞれ特徴が違います。

  • アプライアンス型:自社にセキュリティ部門があり、複数サーバーを持つような大企業
  • ソフトウェア型:カスタマイズ性のあるWAFを手軽に導入したい大・中小企業
  • クラウド型:セキュリティ部門がなく、特定のサイトにWAFを行いたい中小企業

それぞれの特徴や利用時のメリット・デメリット、相性のいい企業について解説していきます。

アプライアンス型

アプライアンス型は、専用機器を自社に設置して運用するタイプのWAFです。

機器の購入費用がかかるため、予算に余裕のある場合におすすめです。

メリット

  • 自社に最適なWAFシステムを独自に構築できる
  • Webサーバーの性能に依存しない
  • サーバー台数が多い場合にコストパフォーマンスがよくなる

デメリット

  • ハードウェアの購入・維持費などコストがかかる
  • 自社で運用するため専門的なスキルが必要
  • 専用機器の設置スペースが必要

アプライアンス型のWAFと相性の良い企業

  • Webサーバを複数保有している企業
  • 既にセキュリティ対策が必要なWebサーバーが多くある企業
  • 今後Webサーバが増える予定がある企業

【選定ポイント】無料ウェビナー・トライアルでツールのイメージを確認できるか

アプライアンス型のWAFはクラウド・ソフトウェアに比べて導入コストが高く、1,000万円をこえることもあります。

無料ウェビナーやトライアルで導入イメージを確認できるかが重要なポイントになります。

導入してから「カスタマイズ性が微妙」「操作しにくい」という不満が出ても自社でカスタマイズするには工数がかかるため、あらかじめウェビナーや無料トライアルを通じてイメージを確認できるかを確認しておきましょう。

最初の設計段階が特に重要であるため、「自社で扱えるサービスか」「設計・運用方法」を確認しておきましょう。

ウェビナーやトライアルで使用感を確認できない場合は他のサービスを検討すべきです。

2.ソフトウェア型WAF

ソフトウェア型は、自社でソフトウェアを購入し、インストールするタイプのWAFです。

専用機器が不要なため、導入コストが低いです。

ただし、サーバーごとにインストールする必要があるため、設置台数が多いと高コストとなります。

メリット

  • 導入コストが低い
  • WAF設定などを自由にカスタマイズができる
  • 専用機器が不要

デメリット

  • 複数のサーバーで運用する場合はコストがかかる
  • 運用のため専門的なスキルが必要
  • 維持・運用のためのコストが必要

ソフトウェア型のWAFと相性の良い企業

  • アプライアンス型より簡単にカスタマイズできるWAFを手軽に導入したい
  • 自社のネットワーク機器やサーバーを利用し、セキュリティの脆弱性を改善したい

【選定ポイント】ベンダーのサポート範囲を確認する

ソフトウェア型WAFは手軽に導入でき、カスタマイズできるのが特徴ですが、クラウドWAFと比べると運用に専門的な知識が必要になります。

そのため、セキュリティに関するサービスのため、何かあった時の相談先、サポートが必要です。

また、万が一セキュリティが作動しない等のトラブルが発生した場合にも迅速に対応できる環境が必要です。

テクニカルサポートが整っているサービスや海外製のWAFを利用する場合は日本語での問い合わせができるかも確認しておきましょう。

多少コストが高くなったとしても、サポートの手厚いサービスを選びましょう。

3.クラウド型WAF

クラウド型は、サービス使用料を支払うだけで、簡単に導入・運用できるWAFです。

自社に専用機器を設置する必要がないので、コストも抑えられます。

メリット

  • 運用・管理のための専門的なスキル不要
  • 初期費用・運用コストが安い
  • 簡単に導入できる

デメリット

  • 十分なセキュリティが確保できない
  • サービスに障害があれば運用が止まる

クラウド型のWAFと相性の良い企業

  • 導入スピードの早いWAFを選びたい
  • 保守・運用の必要がないWAFを導入したい
  • セキュリティ部門がなくても運用できるWAFを導入したい

【選定ポイント1】Webサイトの処理性能への影響を確認する

クラウド型のWAFを導入する場合は、Webサイトへの処理性能の影響を無料トライアルや設計時点で確認してもらいましょう。

WAFを使うことでWebサイトの本来の動きが阻害されたり、誤検知によりコンテンツが表示されなくなる可能性があります

特に動的コンテンツのあるWebサイトではコンテンツの一部が不正アクセスと検知され、表示されない可能性があります。

そこで必要になるのが導入箇所に合わせてセキュリティの設定を変えるチューニングという作業です。

動的コンテンツを取り扱っているWebサイトでクラウドWAFを導入するのであれば、チューニングにも対応してくれるクラウドサービスを選びましょう。

もしくは、検知したアクセスを管理できる(不正アクセスでない場合はアクセス権限を変更できる)ようなツールを使えばWebサイトを正しく表示しつつ、セキュリティ面を強化できます。

【選定ポイント2】シグネチャの更新頻度を確認する

クラウドWAFはセキュリティ運用を行ってくれますが、不正アクセスが正常なアクセスかを判断するためのルールブックである「シグネチャ」の更新頻度を確認しておきましょう。

Webサイトに向けたサイバー攻撃は日々、新しい脅威が生み出されています。

未知の脅威に対応するためにも、シグネチャの更新頻度が高ければ高いほどセキュリティ面で信頼できるサービスと言えます。

クラウドWAFを比較する際にはベンダー側にシグネチャの更新頻度や更新定義を確認しておきましょう。

その際、具体的な回答を得られない場合は他のサービスを検討した方がいいでしょう。


WAF製品のピックアップ【PR】

24時間365日電話サポート!
国産クラウド型WAF「攻撃遮断くん」

攻撃遮断くん攻撃遮断くん

特徴

・クラウド型国産WAFで最短翌営業日から導入可能
・AIの攻撃検知技術によって検知困難な未知の攻撃にも対応可能
・最大1,000万円保障のサイバー保険付き

セキュリティ

防御パターンを自動アップデートしてくれるので、担当者なしで最適なセキュリティシステムを構築できる

サポート体制

自社開発なので万が一のトラブルの際も、開発者が24時間365日サポート可能

導入実績

NTTドコモ・SBI証券・官公庁・大手金融機関など、サービス導入数は5,000サイト以上

料金

Webセキュリティタイプ 1サイトプラン10,000円~
詳しくはこちら

おすすめの人

・攻撃状況やブロックした結果を可視化できるWAFを導入したい
・短納期かつ、低コストでセキュリティ対策を実施したい
・サイトやシステムを止めることなくセキュリティを強化したい
・保守・運用に手間のかからないサービスを探している

Sponsored by株式会社サイバーセキュリティクラウド

おすすめのWAF製品15選

ここでは、おすすめのWAF製品を15個紹介し、重要なポイントを解説します。

なお、重要度を客観化するためにおすすめのWAFを紹介したサイトを調査し、検索結果をスコアリングして上位表示の製品から順に掲載しています。

各WAF製品の比較


アプライアンス型WAF製品【4選】

アプライアンス型1. Imperva SecureSphere

Imperva SecureSphere
Imperva SecureSphere

特徴

利用者のアクセスを確保しながら、攻撃は高い精度で確実に阻止

セキュリティ

Imperva社のセキュリティ研究機関で、日々防御力の強化にあたっており、Webアプリケーションの脆弱性による攻撃を防ぐ

サポート体制

要問い合わせ

導入実績

要問い合わせ

料金

要問い合わせ

おすすめの人

高い精度で確実にサイバー攻撃を防ぎたい人

アプライアンス型2. FortiWeb

FortiWebFortiWeb

特徴

AIを活用した多層プロテクションを実現

セキュリティ

常に最新のセキュリティ情報を把握し攻撃に備える

サポート体制

要問い合わせ

導入実績

筑波大学・ECCコンピューター専門学校など

料金

要問い合わせ

おすすめの人

AIの自動検知システムを用いて、多面的な攻撃からアプリケーションを守りたい人

アプライアンス型3. Barracuda WAF

Barracuda WAFBarracuda WAF

特徴

ブロックリストシステムにより最新の攻撃に即対応できる

セキュリティ

Barracuda ATP(Advanced Threat Protection)を用いて、マルウェアや親子のランサムウェアを検知する

サポート体制

要問い合わせ

導入実績

大阪商工会議所・大日本明治製糖株式会社など

料金

要問い合わせ

おすすめの人

脆弱性に関するコストを削減しつつ、不正アクセスや情報漏洩を防ぎたい人

アプライアンス型4. SecureSoft Sniper DDX

SecureSoft Sniper DDXSecureSoft Sniper DDX

特徴

独自の防御エンジンを持ち、不審な通信を検知する

セキュリティ

8つの複合型防御エンジンにより、多数の攻撃者が行うDDoS攻撃を防ぐ

サポート体制

要問い合わせ

導入実績

IDC・金融会社など

料金

要問い合わせ

おすすめの人

強固なセキュリティで、DDoS攻撃を防ぎたい人


ソフトウェア型WAF製品【3選】

ソフトウェア型1. SiteGuard

SiteGuardSiteGuard

特徴

高品質な定義ファイルを供えた純国産のWAF

セキュリティ

独自のカスタムシグネチャを作成でき柔軟なセキュリティ対策が可能

サポート体制

開発エンジニアが迅速で高品質なサポートを約束

導入実績

官公庁・金融機関等を始め、国内利用サイト数は100万超

料金

25万2,000円/1ライセンス ~

おすすめの人

シンプルで使いやすい高品質なソフトウェア型WAFを探している人

ソフトウェア型2. Clearswift SECURE Web Gateway

Clearswift SECURE Web GatewayClearswift SECURE Web Gateway

特徴

URLフィルタリング、ウイルス対策などの包括的なセキュリティ機能を提供している、オプションでデータの秘匿化が可能

セキュリティ

Web経由のアンチマルウェア機能・フィルタリング機能など高度なウェブセキュリティシステムを備えている

サポート体制

要問い合わせ

導入実績

要問い合わせ

料金

要問い合わせ

おすすめの人

包括的なセキュリティ対策をしつつ、文書などのデータを秘匿化したい人

ソフトウェア型3. SmartCloud ソフトウェアWAF

SmartCloud ソフトウェアWAFSmartCloud ソフトウェアWAF

特徴

高度なセキュリティ診断による、顧客ごとの柔軟なWAF設定が可能

セキュリティ

Webアプリケーションの脆弱性情報から、強固なシグネチャへと柔軟なカスタマイズが可能

サポート体制

セキュリティの専門家が最適な設定を提案

導入実績

要問い合わせ

料金

要問い合わせ

おすすめの人

導入設定などの手間をかけずに、柔軟なセキュリティ対策がしたい人


クラウド型WAF製品【8選】

クラウド型1. Cloudbric

CloudbricCloudbric

特徴

独自の防御エンジンを搭載し、さまざまな脅威を排除する

セキュリティ

Webアプリケーションの脆弱性への攻撃・DDos攻撃などの防止し、無料のSSL通信を提供

サポート体制

ホワイトハッカーによる24時間365日の監視、専門家による手厚いサポート

導入実績

要問い合わせ

料金

2万8,000円 /月~

おすすめの人

手厚いサポートを受けつつ、Webアプリケーションへの脅威を排除したい人

クラウド型2. Scutum

ScutumScutum

特徴

仮想サーバー上のウェブサイトなどにも導入可能

セキュリティ

アプリケーション診断会社であるSSTの技術者が運用代行してくれる

サポート体制

自動アップデート、24時間365日のフルサポートを提供

導入実績

ECサイト・金融機関・公的機関・B2Bサービスへの豊富な導入実績あり

料金

2万9,800円/月~

おすすめの人

低価格で柔軟なWAFシステムを構築したい人

クラウド型3. 攻撃遮断くん

攻撃遮断くん攻撃遮断くん

特徴

最大1,000万円まで保証してくれるサイバー保険を提供、国産WAFで最短翌営業日から導入可能

セキュリティ

防御パターンを自動アップデートしてくれるので、担当者なしで最適なセキュリティシステムを構築できる

サポート体制

自社開発なので万が一のトラブルの際も、開発者が24時間365日サポート可能

導入実績

NTTドコモ・SBI証券・官公庁・大手金融機関など、サービス導入数は5,000サイト以上

料金

要問い合わせ

おすすめの人

サイバー保険によるサポートを受けつつ、WAFを導入したい人

クラウド型4. シマンテック クラウド型WAF

シマンテック クラウド型WAFシマンテック クラウド型WAF

特徴

WAFセンターを経由するので、既存のシステムを変更する必要がない

セキュリティ

常に防衛シグネチャに更新し、開発技術者なしに最新のセキュリティを導入できる

サポート体制

24時間サポート

導入実績

要問い合わせ

料金

初期費用:9万8,000円〜、年額費用:33万9,720円〜

おすすめの人

高度なセキュリティシステムで、アプリケーションの情報漏洩などの被害を防ぎたい人

クラウド型5. Imperva Incapsula

Imperva IncapsulaImperva Incapsula

特徴

何百万というデータポイントで高度な学習能力を発揮する

セキュリティ

セキュリティログを監視し、最適なWAF設定を提案する

サポート体制

専門のセキュリティアナリストが24時間365日サポート

導入実績

要問い合わせ

料金

要問い合わせ

おすすめの人

経験豊富な専門セキュリティアナリストにWAFを運用してもらいたい人

クラウド型6. AEGIS Security Systems

AEGIS Security SystemsAEGIS Security Systems

特徴

さまざまな仮想サーバーに導入できるフルオートセキュリティシステム

セキュリティ

24時間365日監視し、攻撃を検知したら即時に通知してくれる

サポート体制

セキュリティアドバイスプランあり

導入実績

ECサイト・研究機関・Webサービス事業者など

料金

5万円/月~

おすすめの人

月次証明書など詳細なセキュリティ情報が知りたい人

クラウド型7. WAF BENKEI

WAF BENKEIWAF BENKEI

特徴

停滞域から広帯域まで、サイト別に専用のWAFソリューションを提供

セキュリティ

1社ごとに専用WAFサーバーを提供、高品質なセキュリティを実現

サポート体制

要問い合わせ

導入実績

要問い合わせ

料金

初期費用:7万円〜、月額費用2万円〜

おすすめの人

自社専用サーバーでWAFを運用したい人

クラウド型8. AIONCLOUD

AIONCLOUDAIONCLOUD

特徴

シンプルな設定で、無料でサービスを開始できる

セキュリティ

ウェブサイトトラフィックを永続的に監視

サポート体制

要問い合わせ

導入実績

要問い合わせ

料金

要問い合わせ(月間トラフィック量5GBまで無料)

おすすめの人

クラウド型WAFサービスを実験的に導入したい人


まとめ

WAFは、Webアプリケーションの脆弱性を狙った不正なアクセスを防止するためのセキュリティシステムです。

導入する際は、自社が求めるセキュリティレベルを明確にし、コスト・セキュリティ・サポート体制を確認した上で、選ぶことをおすすめします。

多発するWebアプリケーションへのサイバー攻撃に対して、無防備なままで被害にあえば、企業の信用にも関わります。

まだ導入していない方は、この記事を参考に、ぜひ一度検討してみてください。

24時間365日電話サポート可!国産のクラウド型WAF(無料資料)

参考サイト一覧

クラウド型WAFを導入するメリットとデメリットをそれぞれまとめてみた|CyberSecurityTIMES
WAFの役割=Webアプリケーションに潜む脆弱性の“無害化”|Scutum
WAF(ウェブアプリケーションファイアウォール)の種類と選び方のポイント|サイバーセキュリティ.com
WAF製品の比較21選 | 選び方や導入のポイントも解説|ボクシルマガジン
FortiWeb 新たな脅威に対して先進の技術でプロテクションを展開|キーマンズネット
Web アプリケーション ファイアウォール FortiWeb|ITトレンド