近年、企業のWebアプリケーションの脆弱性を狙ったサイバー攻撃が多発しています。これらのセキュリティ対策として、WAF(ワフ)を導入する企業が増えてきました。
個人情報を取り扱う企業はサイバー攻撃への対策が迫られていることもあり、「WAFを導入してWebサイトのセキュリティを強化したい」と考えている企業も多いのではないでしょうか。
WAFは導入方法が3タイプあり、「自社がどのタイプにあっているのか」「どのベンダーのWAFを選べばいいのか」など、それぞれのツールを比較するには時間がかかります。
そこでこの記事では、自社と相性のいいWAFの選び方やおすすめのツール15選をまとめました。
この記事を読めば時間のかかるWAFの比較をスムーズに行えます。
自社と相性のいいWAFを見極められる内容となっておりますので、ぜひ参考にしてください。
WAFについて理解を深めたい方は、以下の記事を参考にしてください。
参考:WAFとは?セキュリティ対策に必要な理由や種類、導入効果を解説
失敗しないWAFの選び方
WAFには特徴やサポート範囲などが異なるため、選定する際は注意しないといけません。
WAFの選定で失敗しないためには、以下の7点を参考にしましょう。
- 導入目的と防御できる攻撃の種類が合っているか確認する
- 初期費用・運用コストを確認する
- 運用サポートを確認する
- 自社と類似している導入実績を確認する
- 無料ウェビナー・トライアルでツールのイメージを確認する
- Webサイトの処理性能への影響を確認する
- シグネチャの更新頻度を確認する
それでは解説します。
導入目的と防御できる攻撃の種類が合っているか確認する
WAFの導入目的と防御できる攻撃の種類があっているかを確認しましょう。
WAFには防ぐことのできる、できないサイバー攻撃があります。
WAFで防御できる攻撃は以下の通りです。
- バッファオーバーフロー
- クロスサイトスクリプティング
- SQLインジェクション
- DDoS攻撃
- ブルートフォースアタック(総当たり攻撃)
- ディレクトリトラバーサル
WAFを導入することで、Webサイトへの不正アクセスの監視・ブロックやログの確認などのセキュリティ対策ができるようになります。
導入目的とWAFの防御できる攻撃の種類があっているか確認し、異なる場合は以下の記事を参考にサイバー攻撃別の対策方法を確認してください。
参考:【2022年最新】サイバー攻撃対策ソフト11個を厳選比較!目的にあったセキュリティソフトの選び方も解説
初期費用・運用コストを確認する
WAFにかかる初期費用と運用コストを確認しておきましょう。特に確認しておくべきは初期コストよりも運用コストです。
運用コストの中でも、セキュリティのチューニングコストの負担が大きくなりがちです。
新しい脆弱性が見つかった場合、不正アクセスが正常なアクセスかを判断するためのルールブックである「シグネチャ」の更新が必要になります。
シグネチャの更新が必要になった場合、その都度ベンダーにチューニングを依頼すると運用コストがかかります。
自社で運用する場合はセキュリティに詳しい人材の人件費等がかかります。
大規模になると初期費用100万円以上、年間の運営費用が10万円を超えるなど、Webサイトのセキュリティに対して費用対効果が見合わない可能性があります。
会社の規模感が小さいにも関わらず、専用機器を自社に設置して運用するアプライアンス型のWAFを導入してしまっては、コストが合いません。
クラウドに特化した、低コストで運用できるサービスを提供しているベンダーもありますので、運用コストを確認した上で費用対効果に見合ったサービスを選びましょう。
運用サポート付きかどうか
WAFの提供元であるベンダーからの運用サポートがあるかを確認しておきましょう。
環境構築や運用保守を任せられるサービスと、WAFは設置できるがその後の運用等は自分で行う必要があるサービスまでさまざまです。
自社にセキュリティ部門がある場合は運用・保守のないサービスでも構いませんが、メールやチャットサポートなど、何かあったときに質問できる環境が整っているWAFを選びましょう。
セキュリティ部門がない、専任の担当者がいない場合は保守運用まで任せられるサポートが整っているWAFを選ぶのがおすすめです。
WAFを活用したセキュリティを全て任せられるので、専門的な知識を持った社員がいなくてもセキュリティを強化できます。
サポートのないWAFと比べると費用は高くなりますので、その点だけ注意しましょう。
ベンダーのサポート範囲を確認する
ソフトウェア型WAFは手軽に導入でき、カスタマイズできるのが特徴ですが、クラウドWAFと比べると運用に専門的な知識が必要になります。
そのため、セキュリティに関するサービスのため、何かあった時の相談先、サポートが必要です。
また、万が一セキュリティが作動しない等のトラブルが発生した場合にも迅速に対応できる環境が必要です。
テクニカルサポートが整っているサービスや海外製のWAFを利用する場合は日本語での問い合わせができるかも確認しておきましょう。
多少コストが高くなったとしても、サポートの手厚いサービスを選びましょう。
自社と類似している導入実績があるかどうか
WAFを導入する前にベンダーの導入事例を見て自社に近い業種・業界の実績があるかを確認しましょう。
会社規模やサーバーの数によって導入すべきWAFのタイプが異なります。
自社にあったWAFを見つけるには、ベンダーの事例から同業種、または近い業界の導入事例を確認しましょう。
同じような業種・業界を見つけた上で問い合わせを行えば、導入に失敗することはありません。
無料ウェビナー・トライアルでツールのイメージを確認する
無料ウェビナーやトライアルで導入イメージを確認できるかが重要なポイントになります。
アプライアンス型のWAFはクラウド・ソフトウェアに比べて導入コストが高く、1,000万円をこえることもあります。
導入してから「カスタマイズ性が微妙」「操作しにくい」という不満が出ても自社でカスタマイズするには工数がかかるため、あらかじめウェビナーや無料トライアルを通じてイメージを確認できるかを確認しておきましょう。
最初の設計段階が特に重要であるため、「自社で扱えるサービスか」「設計・運用方法」を確認しておきましょう。
ウェビナーやトライアルで使用感を確認できない場合は他のサービスを検討すべきです。
Webサイトの処理性能への影響を確認する
クラウド型のWAFを導入する場合は、Webサイトへの処理性能の影響を無料トライアルや設計時点で確認してもらいましょう。
WAFを使うことでWebサイトの本来の動きが阻害されたり、誤検知によりコンテンツが表示されなくなる可能性があります
特に動的コンテンツのあるWebサイトではコンテンツの一部が不正アクセスと検知され、表示されない可能性があります。
そこで必要になるのが導入箇所に合わせてセキュリティの設定を変えるチューニングという作業です。
動的コンテンツを取り扱っているWebサイトでクラウドWAFを導入するのであれば、チューニングにも対応してくれるクラウドサービスを選びましょう。
もしくは、検知したアクセスを管理できる(不正アクセスでない場合はアクセス権限を変更できる)ようなツールを使えばWebサイトを正しく表示しつつ、セキュリティ面を強化できます。
シグネチャの更新頻度を確認する
クラウドWAFはセキュリティ運用を行ってくれますが、不正アクセスが正常なアクセスかを判断するためのルールブックである「シグネチャ」の更新頻度を確認しておきましょう。
Webサイトに向けたサイバー攻撃は日々、新しい脅威が生み出されています。
未知の脅威に対応するためにも、シグネチャの更新頻度が高ければ高いほどセキュリティ面で信頼できるサービスと言えます。
特にクラウドWAFを比較検討する際にはベンダー側にシグネチャの更新頻度や更新定義を確認しておきましょう。
その際、具体的な回答を得られない場合は他のサービスを検討した方がいいでしょう。
WAFの3つのタイプを解説
WAFには前述した通り3つのタイプがあり、それぞれ特徴が違います。WAFのタイプごとに適した企業の特徴は以下の通りです。
- アプライアンス型:自社にセキュリティ部門があり、複数サーバーを持つような大企業
- ソフトウェア型:カスタマイズ性のあるWAFを手軽に導入したい大・中小企業
- クラウド型:セキュリティ部門はないが、WEBサイトにWAFを設置したい特定のサイトにWAFを行いたい中小企業
それぞれの特徴や利用時のメリット・デメリット、相性のいい企業について解説していきます。
| 種類 | 特徴 | メリット | デメリット | 相性のいい企業 |
|---|---|---|---|---|
| アプライアンス型WAF | 専用機器を自社に設置して運用するタイプのWAF | ・自社に最適なWAFシステムを独自に構築できる ・Webサーバーの性能に依存しない ・サーバー台数が多い場合にコストパフォーマンスがよくなる | ・ハードウェアの購入・維持費などコストがかかる ・自社で運用するため専門的なスキルが必要 ・専用機器の設置スペースが必要 | ・Webサーバを複数保有している企業 ・既にセキュリティ対策が必要なWebサーバーが多くある企業 ・今後Webサーバが増える予定がある企業 |
| ソフトウェア型WAF | 自社でソフトウェアを購入し、インストールするタイプのWAF | ・導入コストが低い ・WAF設定などを自由にカスタマイズができる ・専用機器が不要 | ・複数のサーバーで運用する場合はコストがかかる ・運用のため専門的なスキルが必要 ・維持・運用のためのコストが必要 | ・アプライアンス型より簡単にカスタマイズできるWAFを手軽に導入したい ・自社のネットワーク機器やサーバーを利用し、セキュリティの脆弱性を改善した |
| クラウド型WAF | クラウド上に設置するWAF | ・運用や管理のための専門的なスキル不要 ・初期費用や運用コストが安い ・簡単に導入できる | ・十分なセキュリティが確保できない ・サービスに障害があれば運用が止まる | ・導入スピードの早いWAFを選びたい ・保守・運用の必要がないWAFを導入したい ・セキュリティ部門がなくても運用できるWAFを導入したい |
おすすめのWAF製品15選
ここでは、おすすめのWAF製品を15個紹介し、重要なポイントを解説します。
なお、重要度を客観化するためにおすすめのWAFを紹介したサイトを調査し、検索結果をスコアリングして上位表示の製品から順に掲載しています。
| 商品名 | 対応セキュリティ | サポート体制 | 料金 | 無料トライアルの有無 | タイプ |
|---|---|---|---|---|---|
| Imperva SecureSphere | DDoS攻撃 | 要問い合わせ | 要問い合わせ | あり | アプライアンス型 |
| FortiWeb | ・DDoS攻撃 ・ゼロデイ攻撃 ・SQLインジェクション ・クロスサイトスクリプティング | 要問い合わせ | 要問い合わせ | あり | アプライアンス型 |
| Barracuda WAF | ・DDoS攻撃 ・ゼロデイ攻撃 | 要問い合わせ | 要問い合わせ | なし | アプライアンス型 |
| SecureSoft Sniper DDX | DDoS攻撃 | 要問い合わせ | 要問い合わせ | なし | アプライアンス型 |
| SiteGuard | ・SQLインジェクション ・クロスサイトスクリプティング ・ブルートフォース | 開発エンジニアが迅速で高品質なサポートを約束 | 25万2,000円/1ライセンス ~ | あり | ソフトウェア型 |
| Clearswift SECURE Web Gateway | ・標的型攻撃 ・情報漏洩対策 ・アンチウイルス ・アンチスパム | 問い合わせ | 問い合わせ | ライブデモあり | ソフトウェア型 |
| SmartCloud ソフトウェアWAF | ・SQLインジェクション ・クロスサイトスクリプティング | 問い合わせ | 40万円/年〜 | なし | ソフトウェア型 |
| Cloudbric | DDoS攻撃 | ホワイトハッカーによる24時間365日の監視、専門家による手厚いサポート | 2万8,000円 /月~ | あり | クラウド型 |
| Scutum | ・DoS攻撃 ・DDoS攻撃 ・SQLインジェクション ・クロスサイトスクリプティング | 自動アップデート、24時間365日のフルサポートを提供 | 2万9,800円/月~ | なし | クラウド型 |
| 攻撃遮断くん | ・DoS攻撃 ・DDoS攻撃 ・SQLインジェクション ・クロスサイトスクリプティング | 自社開発なので万が一のトラブルの際も、開発者が24時間365日サポート可能 | 要問い合わせ | あり | クラウド型 |
| シマンテック クラウド型WAF | ・DDoS攻撃 ・バッファオーバーフロー ・クロスサイトスクリプティング ・SQLインジェクション ・ブルートフォースアタック | 24時間サポート | 初期費用:9万8,000円〜、年額費用:33万9,720円〜 | なし | クラウド型 |
| Imperva Incapsula | DDoS攻撃 | 専門のセキュリティアナリストが24時間365日サポート | 要問い合わせ | なし | クラウド型 |
| AEGIS Security Systems | ・DDoS攻撃 ・ゼロデイ攻撃 | サービス停止や高負荷によるトラブル発生時には独自の機能を用いてセキュリティを維持できる仕組みを構築済み | 5万円/月~ | あり | クラウド型 |
| WAF BENKEI | ・SQLインジェクション ・クロスサイトスクリプティング ・バッファオーバーフロー | 24時間365日稼働のセキュリティとサポート窓口を設置している | 初期費用:7万円〜、月額費用2万円〜 | あり | クラウド型 |
| AIONCLOUD | ・DoS攻撃 ・SQLインジェクション ・クロスサイトスクリプティング | 要問い合わせ | 月間トラフィック量5GBまで無料 | あり | クラウド型 |
アプライアンス型WAF製品【4選】
アプライアンス型1. Imperva SecureSphere
| 特徴 | 利用者のアクセスを確保しながら、攻撃は高い精度で確実に阻止できる |
|---|---|
| 対応セキュリティ | DDoS攻撃 |
| サポート体制 | 要問い合わせ |
| 料金 | 要問い合わせ |
| 無料トライアルの有無 | あり |
アプライアンス型2. FortiWeb
| 特徴 | AIを活用した多層プロテクションを実現 |
|---|---|
| 対応セキュリティ | ・DDoS攻撃 ・ゼロデイ攻撃 ・SQLインジェクション ・クロスサイトスクリプティング |
| サポート体制 | 要問い合わせ |
| 料金 | 要問い合わせ |
| 無料トライアルの有無 | あり |
アプライアンス型3. Barracuda WAF
| 特徴 | ブロックリストシステムにより最新の攻撃に即対応できる |
|---|---|
| 対応セキュリティ | ・DDoS攻撃 ・ゼロデイ攻撃 |
| サポート体制 | 要問い合わせ |
| 料金 | 要問い合わせ |
| 無料トライアルの有無 | なし |
アプライアンス型4. SecureSoft Sniper DDX
| 特徴 | 独自の防御エンジンを持ち、不審な通信を検知する |
|---|---|
| 対応セキュリティ | DDoS攻撃 |
| サポート体制 | 要問い合わせ |
| 料金 | 要問い合わせ |
| 無料トライアルの有無 | なし |
ソフトウェア型WAF製品【3選】
ソフトウェア型1. SiteGuard
| 特徴 | 高品質な定義ファイルを供えた純国産のWAF |
|---|---|
| 対応セキュリティ | ・SQLインジェクション ・クロスサイトスクリプティング ・ブルートフォース |
| サポート体制 | 開発エンジニアが迅速で高品質なサポートを約束 |
| 料金 | 25万2,000円/1ライセンス ~ |
| 無料トライアルの有無 | あり |
ソフトウェア型2. Clearswift SECURE Web Gateway
| 特徴 | URLフィルタリング、ウイルス対策などの包括的なセキュリティ機能を提供している、オプションでデータの秘匿化が可能 |
|---|---|
| 対応セキュリティ | ・標的型攻撃 ・情報漏洩対策 ・アンチウイルス ・アンチスパム |
| サポート体制 | 要問い合わせ |
| 料金 | 要問い合わせ |
| 無料トライアルの有無 | ライブデモあり |
ソフトウェア型3. SmartCloud ソフトウェアWAF
| 特徴 | 高度なセキュリティ診断による、顧客ごとの柔軟なWAF設定が可能 |
|---|---|
| 対応セキュリティ | ・SQLインジェクション ・クロスサイトスクリプティング |
| サポート体制 | 要問い合わせ |
| 料金 | 40万円/年〜 |
| 無料トライアルの有無 | なし |
クラウド型WAF製品【8選】
クラウド型1. Cloudbric
| 特徴 | 独自の防御エンジンを搭載し、さまざまな脅威を排除する |
|---|---|
| 対応セキュリティ | DDoS攻撃 |
| サポート体制 | ホワイトハッカーによる24時間365日の監視、専門家による手厚いサポート |
| 料金 | 2万8,000円 /月~ |
| 無料トライアルの有無 | あり |
クラウド型2. Scutum
| 特徴 | 仮想サーバー上のウェブサイトなどにも導入可能 |
|---|---|
| 対応セキュリティ | ・DoS攻撃 ・DDoS攻撃 ・SQLインジェクション ・クロスサイトスクリプティング |
| サポート体制 | 自動アップデート、24時間365日のフルサポートを提供 |
| 料金 | 2万9,800円/月~ |
| 無料トライアルの有無 | なし |
クラウド型3. 攻撃遮断くん
| 特徴 | 最大1,000万円まで保証してくれるサイバー保険を提供、国産WAFで最短翌営業日から導入可能 |
|---|---|
| 対応セキュリティ | ・DoS攻撃 ・DDoS攻撃 ・SQLインジェクション ・クロスサイトスクリプティング |
| サポート体制 | 自社開発なので万が一のトラブルの際も、開発者が24時間365日サポート可能 |
| 料金 | 要問い合わせ |
| 無料トライアルの有無 | あり |
クラウド型4. シマンテック クラウド型WAF
| 特徴 | WAFセンターを経由するので、既存のシステムを変更する必要がない |
|---|---|
| 対応セキュリティ | ・DDoS攻撃 ・バッファオーバーフロー ・クロスサイトスクリプティング ・SQLインジェクション ・ブルートフォースアタック |
| サポート体制 | 24時間サポート |
| 料金 | 初期費用:9万8,000円〜、年額費用:33万9,720円〜 |
| 無料トライアルの有無 | なし |
クラウド型5. Imperva Incapsula
| 特徴 | 何百万というデータポイントで高度な学習能力を発揮する |
|---|---|
| 対応セキュリティ | DDoS攻撃 |
| サポート体制 | 専門のセキュリティアナリストが24時間365日サポート |
| 料金 | 要問い合わせ |
| 無料トライアルの有無 | なし |
クラウド型6. AEGIS Security Systems
| 特徴 | さまざまな仮想サーバーに導入できるフルオートセキュリティシステム |
|---|---|
| 対応セキュリティ | ・DDoS攻撃 ・ゼロデイ攻撃 |
| サポート体制 | サービス停止や高負荷によるトラブル発生時には独自の機能を用いてセキュリティを維持できる仕組みを構築済み |
| 料金 | 5万円/月~ |
| 無料トライアルの有無 | あり |
クラウド型7. WAF BENKEI
| 特徴 | 停滞域から広帯域まで、サイト別に専用のWAFソリューションを提供 |
|---|---|
| 対応セキュリティ | ・SQLインジェクション ・クロスサイトスクリプティング ・バッファオーバーフロー |
| サポート体制 | 24時間365日稼働のセキュリティとサポート窓口を設置している |
| 料金 | 初期費用:7万円〜、月額費用2万円〜 |
| 無料トライアルの有無 | あり |
クラウド型8. AIONCLOUD
| 特徴 | シンプルな設定で、無料でサービスを開始できる |
|---|---|
| 対応セキュリティ | ・DoS攻撃 ・SQLインジェクション ・クロスサイトスクリプティング |
| サポート体制 | 要問い合わせ |
| 料金 | 月間トラフィック量5GBまで無料 |
| 無料トライアルの有無 | あり |
まとめ
WAFは、Webアプリケーションの脆弱性を狙った不正なアクセスを防止するためのセキュリティシステムです。
導入する際は、自社が求めるセキュリティレベルを明確にし、コスト・セキュリティ・サポート体制を確認した上で、選ぶことをおすすめします。
多発するWebアプリケーションへのサイバー攻撃に対して、無防備なままで被害にあえば、企業の信用にも関わります。
まだ導入していない方は、この記事を参考に、ぜひ一度検討してみてください。
参考サイト一覧
クラウド型WAFを導入するメリットとデメリットをそれぞれまとめてみた|CyberSecurityTIMES
WAFの役割=Webアプリケーションに潜む脆弱性の“無害化”|Scutum
WAF(ウェブアプリケーションファイアウォール)の種類と選び方のポイント|サイバーセキュリティ.com
WAF製品の比較21選 | 選び方や導入のポイントも解説|ボクシルマガジン
FortiWeb 新たな脅威に対して先進の技術でプロテクションを展開|キーマンズネット
Web アプリケーション ファイアウォール FortiWeb|ITトレンド