おすすめWAF製品比較15選|選び方や各製品の導入実績を紹介!

近年、企業のWebアプリケーションの脆弱性を狙ったサイバー攻撃が多発しています。これらのセキュリティ対策として、WAF(ワフ)を導入する企業が増えてきました。

個人情報を取り扱う企業はサイバー攻撃への対策が迫られていることもあり、「WAFを導入してWebサイトのセキュリティを強化したい」と考えている企業も多いのではないでしょうか。

WAFは導入方法が3タイプあり、「自社がどのタイプにあっているのか」「どのベンダーのWAFを選べばいいのか」など、それぞれのツールを比較するには時間がかかります。

そこでこの記事では、自社と相性のいいWAFの選び方やおすすめのツール15選をまとめました。

この記事を読めば時間のかかるWAFの比較をスムーズに行えます。

自社と相性のいいWAFを見極められる内容となっておりますので、ぜひ参考にしてください。

WAFについて理解を深めたい方は、以下の記事を参考にしてください。

参考:WAFとは?セキュリティ対策に必要な理由や種類、導入効果を解説

24時間365日電話サポート!国産のクラウド型WAF(無料資料)


失敗しないWAFの選び方

WAFには特徴やサポート範囲などが異なるため、選定する際は注意しないといけません。

WAFの選定で失敗しないためには、以下の7点を参考にしましょう。

  • 導入目的と防御できる攻撃の種類が合っているか確認する
  • 初期費用・運用コストを確認する
  • 運用サポートを確認する
  • 自社と類似している導入実績を確認する
  • 無料ウェビナー・トライアルでツールのイメージを確認する
  • Webサイトの処理性能への影響を確認する
  • シグネチャの更新頻度を確認する

それでは解説します。

導入目的と防御できる攻撃の種類が合っているか確認する

WAFの導入目的と防御できる攻撃の種類があっているかを確認しましょう。

WAFには防ぐことのできる、できないサイバー攻撃があります。

WAFで防御できる攻撃は以下の通りです。

  • バッファオーバーフロー
  • クロスサイトスクリプティング
  • SQLインジェクション
  • DDoS攻撃
  • ブルートフォースアタック(総当たり攻撃)
  • ディレクトリトラバーサル

WAFを導入することで、Webサイトへの不正アクセスの監視・ブロックやログの確認などのセキュリティ対策ができるようになります。

導入目的とWAFの防御できる攻撃の種類があっているか確認し、異なる場合は以下の記事を参考にサイバー攻撃別の対策方法を確認してください。

参考:【2022年最新】サイバー攻撃対策ソフト11個を厳選比較!目的にあったセキュリティソフトの選び方も解説

初期費用・運用コストを確認する

WAFにかかる初期費用と運用コストを確認しておきましょう。特に確認しておくべきは初期コストよりも運用コストです。

運用コストの中でも、セキュリティのチューニングコストの負担が大きくなりがちです。

新しい脆弱性が見つかった場合、不正アクセスが正常なアクセスかを判断するためのルールブックである「シグネチャ」の更新が必要になります。

シグネチャの更新が必要になった場合、その都度ベンダーにチューニングを依頼すると運用コストがかかります。

自社で運用する場合はセキュリティに詳しい人材の人件費等がかかります。

大規模になると初期費用100万円以上、年間の運営費用が10万円を超えるなど、Webサイトのセキュリティに対して費用対効果が見合わない可能性があります。

会社の規模感が小さいにも関わらず、専用機器を自社に設置して運用するアプライアンス型のWAFを導入してしまっては、コストが合いません。

クラウドに特化した、低コストで運用できるサービスを提供しているベンダーもありますので、運用コストを確認した上で費用対効果に見合ったサービスを選びましょう。

運用サポート付きかどうか

WAFの提供元であるベンダーからの運用サポートがあるかを確認しておきましょう。

環境構築や運用保守を任せられるサービスと、WAFは設置できるがその後の運用等は自分で行う必要があるサービスまでさまざまです。

自社にセキュリティ部門がある場合は運用・保守のないサービスでも構いませんが、メールやチャットサポートなど、何かあったときに質問できる環境が整っているWAFを選びましょう。

セキュリティ部門がない、専任の担当者がいない場合は保守運用まで任せられるサポートが整っているWAFを選ぶのがおすすめです。

WAFを活用したセキュリティを全て任せられるので、専門的な知識を持った社員がいなくてもセキュリティを強化できます。

サポートのないWAFと比べると費用は高くなりますので、その点だけ注意しましょう。

ベンダーのサポート範囲を確認する

ソフトウェア型WAFは手軽に導入でき、カスタマイズできるのが特徴ですが、クラウドWAFと比べると運用に専門的な知識が必要になります。

そのため、セキュリティに関するサービスのため、何かあった時の相談先、サポートが必要です。

また、万が一セキュリティが作動しない等のトラブルが発生した場合にも迅速に対応できる環境が必要です。

テクニカルサポートが整っているサービスや海外製のWAFを利用する場合は日本語での問い合わせができるかも確認しておきましょう。

多少コストが高くなったとしても、サポートの手厚いサービスを選びましょう。

自社と類似している導入実績があるかどうか

WAFを導入する前にベンダーの導入事例を見て自社に近い業種・業界の実績があるかを確認しましょう。

会社規模やサーバーの数によって導入すべきWAFのタイプが異なります。

自社にあったWAFを見つけるには、ベンダーの事例から同業種、または近い業界の導入事例を確認しましょう。

同じような業種・業界を見つけた上で問い合わせを行えば、導入に失敗することはありません。

無料ウェビナー・トライアルでツールのイメージを確認する

無料ウェビナーやトライアルで導入イメージを確認できるかが重要なポイントになります。

アプライアンス型のWAFはクラウド・ソフトウェアに比べて導入コストが高く、1,000万円をこえることもあります。

導入してから「カスタマイズ性が微妙」「操作しにくい」という不満が出ても自社でカスタマイズするには工数がかかるため、あらかじめウェビナーや無料トライアルを通じてイメージを確認できるかを確認しておきましょう。

最初の設計段階が特に重要であるため、「自社で扱えるサービスか」「設計・運用方法」を確認しておきましょう。

ウェビナーやトライアルで使用感を確認できない場合は他のサービスを検討すべきです。

Webサイトの処理性能への影響を確認する

クラウド型のWAFを導入する場合は、Webサイトへの処理性能の影響を無料トライアルや設計時点で確認してもらいましょう。

WAFを使うことでWebサイトの本来の動きが阻害されたり、誤検知によりコンテンツが表示されなくなる可能性があります

特に動的コンテンツのあるWebサイトではコンテンツの一部が不正アクセスと検知され、表示されない可能性があります。

そこで必要になるのが導入箇所に合わせてセキュリティの設定を変えるチューニングという作業です。

動的コンテンツを取り扱っているWebサイトでクラウドWAFを導入するのであれば、チューニングにも対応してくれるクラウドサービスを選びましょう。

もしくは、検知したアクセスを管理できる(不正アクセスでない場合はアクセス権限を変更できる)ようなツールを使えばWebサイトを正しく表示しつつ、セキュリティ面を強化できます。

シグネチャの更新頻度を確認する

クラウドWAFはセキュリティ運用を行ってくれますが、不正アクセスが正常なアクセスかを判断するためのルールブックである「シグネチャ」の更新頻度を確認しておきましょう。

Webサイトに向けたサイバー攻撃は日々、新しい脅威が生み出されています。

未知の脅威に対応するためにも、シグネチャの更新頻度が高ければ高いほどセキュリティ面で信頼できるサービスと言えます。

特にクラウドWAFを比較検討する際にはベンダー側にシグネチャの更新頻度や更新定義を確認しておきましょう。

その際、具体的な回答を得られない場合は他のサービスを検討した方がいいでしょう。


WAF製品のピックアップ【PR】

24時間365日電話サポート!
国産クラウド型WAF「攻撃遮断くん」

攻撃遮断くん

特徴

・クラウド型国産WAFで最短翌営業日から導入可能
・AIの攻撃検知技術によって検知困難な未知の攻撃にも対応可能
・最大1,000万円保障のサイバー保険付き

セキュリティ

防御パターンを自動アップデートしてくれるので、担当者なしで最適なセキュリティシステムを構築できる

サポート体制

自社開発なので万が一のトラブルの際も、開発者が24時間365日サポート可能

導入実績

NTTドコモ・SBI証券・官公庁・大手金融機関など、サービス導入数は5,000サイト以上

料金

Webセキュリティタイプ 1サイトプラン10,000円~
詳しくはこちら

おすすめの人

・攻撃状況やブロックした結果を可視化できるWAFを導入したい
・短納期かつ、低コストでセキュリティ対策を実施したい
・サイトやシステムを止めることなくセキュリティを強化したい
・保守・運用に手間のかからないサービスを探している

Sponsored by株式会社サイバーセキュリティクラウド

WAFの3つのタイプを解説

WAFには前述した通り3つのタイプがあり、それぞれ特徴が違います。WAFのタイプごとに適した企業の特徴は以下の通りです。

  • アプライアンス型:自社にセキュリティ部門があり、複数サーバーを持つような大企業
  • ソフトウェア型:カスタマイズ性のあるWAFを手軽に導入したい大・中小企業
  • クラウド型:セキュリティ部門はないが、WEBサイトにWAFを設置したい特定のサイトにWAFを行いたい中小企業

それぞれの特徴や利用時のメリット・デメリット、相性のいい企業について解説していきます。

種類特徴メリット デメリット相性のいい企業
アプライアンス型WAF専用機器を自社に設置して運用するタイプのWAF・自社に最適なWAFシステムを独自に構築できる
・Webサーバーの性能に依存しない
サーバー台数が多い場合にコストパフォーマンスがよくなる
・ハードウェアの購入・維持費などコストがかかる
・自社で運用するため専門的なスキルが必要
専用機器の設置スペースが必要
・Webサーバを複数保有している企業
・既にセキュリティ対策が必要なWebサーバーが多くある企業
・今後Webサーバが増える予定がある企業
ソフトウェア型WAF自社でソフトウェアを購入し、インストールするタイプのWAF・導入コストが低い
・WAF設定などを自由にカスタマイズができる
・専用機器が不要
・複数のサーバーで運用する場合はコストがかかる
・運用のため専門的なスキルが必要
・維持・運用のためのコストが必要
・アプライアンス型より簡単にカスタマイズできるWAFを手軽に導入したい
・自社のネットワーク機器やサーバーを利用し、セキュリティの脆弱性を改善した
クラウド型WAFクラウド上に設置するWAF・運用や管理のための専門的なスキル不要
・初期費用や運用コストが安い
・簡単に導入できる
・十分なセキュリティが確保できない
・サービスに障害があれば運用が止まる
・導入スピードの早いWAFを選びたい
・保守・運用の必要がないWAFを導入したい
・セキュリティ部門がなくても運用できるWAFを導入したい

おすすめのWAF製品15選

ここでは、おすすめのWAF製品を15個紹介し、重要なポイントを解説します。

なお、重要度を客観化するためにおすすめのWAFを紹介したサイトを調査し、検索結果をスコアリングして上位表示の製品から順に掲載しています。

商品名対応セキュリティサポート体制料金無料トライアルの有無タイプ
Imperva SecureSphereDDoS攻撃要問い合わせ要問い合わせありアプライアンス型
FortiWeb・DDoS攻撃
・ゼロデイ攻撃
・SQLインジェクション
・クロスサイトスクリプティング
要問い合わせ要問い合わせありアプライアンス型
Barracuda WAF・DDoS攻撃
・ゼロデイ攻撃
要問い合わせ要問い合わせなしアプライアンス型
SecureSoft Sniper DDXDDoS攻撃要問い合わせ要問い合わせなしアプライアンス型
SiteGuard・SQLインジェクション
・クロスサイトスクリプティング
ブルートフォース
開発エンジニアが迅速で高品質なサポートを約束25万2,000円/1ライセンス ~ありソフトウェア型
Clearswift SECURE Web Gateway・標的型攻撃
・情報漏洩対策
・アンチウイルス
・アンチスパム
問い合わせ問い合わせライブデモありソフトウェア型
SmartCloud ソフトウェアWAF・SQLインジェクション
・クロスサイトスクリプティング
問い合わせ40万円/年〜なしソフトウェア型
CloudbricDDoS攻撃ホワイトハッカーによる24時間365日の監視、専門家による手厚いサポート2万8,000円 /月~ありクラウド型
Scutum・DoS攻撃
・DDoS攻撃
・SQLインジェクション
・クロスサイトスクリプティング
自動アップデート、24時間365日のフルサポートを提供2万9,800円/月~なしクラウド型
攻撃遮断くん・DoS攻撃
・DDoS攻撃
・SQLインジェクション
・クロスサイトスクリプティング
自社開発なので万が一のトラブルの際も、開発者が24時間365日サポート可能要問い合わせありクラウド型
シマンテック クラウド型WAF・DDoS攻撃
・バッファオーバーフロー
・クロスサイトスクリプティング
・SQLインジェクション
・ブルートフォースアタック
24時間サポート初期費用:9万8,000円〜、年額費用:33万9,720円〜なしクラウド型
Imperva IncapsulaDDoS攻撃専門のセキュリティアナリストが24時間365日サポート要問い合わせなしクラウド型
AEGIS Security Systems・DDoS攻撃
・ゼロデイ攻撃
サービス停止や高負荷によるトラブル発生時には独自の機能を用いてセキュリティを維持できる仕組みを構築済み5万円/月~ありクラウド型
WAF BENKEI・SQLインジェクション
・クロスサイトスクリプティング
・バッファオーバーフロー
24時間365日稼働のセキュリティとサポート窓口を設置している初期費用:7万円〜、月額費用2万円〜ありクラウド型
AIONCLOUD・DoS攻撃
・SQLインジェクション
クロスサイトスクリプティング
要問い合わせ月間トラフィック量5GBまで無料ありクラウド型

アプライアンス型WAF製品【4選】

アプライアンス型1. Imperva SecureSphere

Imperva SecureSphere

特徴利用者のアクセスを確保しながら、攻撃は高い精度で確実に阻止できる
対応セキュリティDDoS攻撃
サポート体制要問い合わせ
料金要問い合わせ
無料トライアルの有無あり

アプライアンス型2. FortiWeb

FortiWeb

特徴AIを活用した多層プロテクションを実現
対応セキュリティ・DDoS攻撃
・ゼロデイ攻撃
・SQLインジェクション
・クロスサイトスクリプティング
サポート体制要問い合わせ
料金要問い合わせ
無料トライアルの有無あり

アプライアンス型3. Barracuda WAF

Barracuda WAF

特徴ブロックリストシステムにより最新の攻撃に即対応できる
対応セキュリティ・DDoS攻撃
・ゼロデイ攻撃
サポート体制要問い合わせ
料金要問い合わせ
無料トライアルの有無なし

アプライアンス型4. SecureSoft Sniper DDX

SecureSoft Sniper DDX

特徴独自の防御エンジンを持ち、不審な通信を検知する
対応セキュリティDDoS攻撃
サポート体制要問い合わせ
料金要問い合わせ
無料トライアルの有無なし

ソフトウェア型WAF製品【3選】

ソフトウェア型1. SiteGuard

SiteGuard

特徴高品質な定義ファイルを供えた純国産のWAF
対応セキュリティ・SQLインジェクション
・クロスサイトスクリプティング
ブルートフォース
サポート体制開発エンジニアが迅速で高品質なサポートを約束
料金25万2,000円/1ライセンス ~
無料トライアルの有無あり

ソフトウェア型2. Clearswift SECURE Web Gateway

Clearswift SECURE Web Gateway

特徴URLフィルタリング、ウイルス対策などの包括的なセキュリティ機能を提供している、オプションでデータの秘匿化が可能
対応セキュリティ・標的型攻撃
・情報漏洩対策
・アンチウイルス
・アンチスパム
サポート体制要問い合わせ
料金要問い合わせ
無料トライアルの有無ライブデモあり

ソフトウェア型3. SmartCloud ソフトウェアWAF

SmartCloud ソフトウェアWAF
SmartCloud ソフトウェアWAF

特徴高度なセキュリティ診断による、顧客ごとの柔軟なWAF設定が可能
対応セキュリティ・SQLインジェクション
・クロスサイトスクリプティング
サポート体制要問い合わせ
料金40万円/年〜
無料トライアルの有無なし

クラウド型WAF製品【8選】

クラウド型1. Cloudbric

Cloudbric

特徴独自の防御エンジンを搭載し、さまざまな脅威を排除する
対応セキュリティDDoS攻撃
サポート体制ホワイトハッカーによる24時間365日の監視、専門家による手厚いサポート
料金2万8,000円 /月~
無料トライアルの有無あり

クラウド型2. Scutum

Scutum

特徴仮想サーバー上のウェブサイトなどにも導入可能
対応セキュリティ・DoS攻撃
・DDoS攻撃
・SQLインジェクション
・クロスサイトスクリプティング
サポート体制自動アップデート、24時間365日のフルサポートを提供
料金2万9,800円/月~
無料トライアルの有無なし

クラウド型3. 攻撃遮断くん

攻撃遮断くん

特徴最大1,000万円まで保証してくれるサイバー保険を提供、国産WAFで最短翌営業日から導入可能
対応セキュリティ・DoS攻撃
・DDoS攻撃
・SQLインジェクション
・クロスサイトスクリプティング
サポート体制自社開発なので万が一のトラブルの際も、開発者が24時間365日サポート可能
料金要問い合わせ
無料トライアルの有無あり

クラウド型4. シマンテック クラウド型WAF

シマンテック クラウド型WAF

特徴WAFセンターを経由するので、既存のシステムを変更する必要がない
対応セキュリティ・DDoS攻撃
・バッファオーバーフロー
・クロスサイトスクリプティング
・SQLインジェクション
・ブルートフォースアタック
サポート体制24時間サポート
料金初期費用:9万8,000円〜、年額費用:33万9,720円〜
無料トライアルの有無なし

クラウド型5. Imperva Incapsula

Imperva Incapsula

特徴何百万というデータポイントで高度な学習能力を発揮する
対応セキュリティDDoS攻撃
サポート体制専門のセキュリティアナリストが24時間365日サポート
料金要問い合わせ
無料トライアルの有無なし

クラウド型6. AEGIS Security Systems

AEGIS Security Systems

特徴さまざまな仮想サーバーに導入できるフルオートセキュリティシステム
対応セキュリティ・DDoS攻撃
・ゼロデイ攻撃
サポート体制サービス停止や高負荷によるトラブル発生時には独自の機能を用いてセキュリティを維持できる仕組みを構築済み
料金5万円/月~
無料トライアルの有無あり

クラウド型7. WAF BENKEI

WAF BENKEI

特徴停滞域から広帯域まで、サイト別に専用のWAFソリューションを提供
対応セキュリティ・SQLインジェクション
・クロスサイトスクリプティング
・バッファオーバーフロー
サポート体制24時間365日稼働のセキュリティとサポート窓口を設置している
料金初期費用:7万円〜、月額費用2万円〜
無料トライアルの有無あり

クラウド型8. AIONCLOUD

AIONCLOUD

特徴シンプルな設定で、無料でサービスを開始できる
対応セキュリティ・DoS攻撃
・SQLインジェクション
クロスサイトスクリプティング
サポート体制要問い合わせ
料金月間トラフィック量5GBまで無料
無料トライアルの有無あり

まとめ

WAFは、Webアプリケーションの脆弱性を狙った不正なアクセスを防止するためのセキュリティシステムです。

導入する際は、自社が求めるセキュリティレベルを明確にし、コスト・セキュリティ・サポート体制を確認した上で、選ぶことをおすすめします。

多発するWebアプリケーションへのサイバー攻撃に対して、無防備なままで被害にあえば、企業の信用にも関わります。

まだ導入していない方は、この記事を参考に、ぜひ一度検討してみてください。

24時間365日電話サポート可!国産のクラウド型WAF(無料資料)

参考サイト一覧

クラウド型WAFを導入するメリットとデメリットをそれぞれまとめてみた|CyberSecurityTIMES
WAFの役割=Webアプリケーションに潜む脆弱性の“無害化”|Scutum
WAF(ウェブアプリケーションファイアウォール)の種類と選び方のポイント|サイバーセキュリティ.com
WAF製品の比較21選 | 選び方や導入のポイントも解説|ボクシルマガジン
FortiWeb 新たな脅威に対して先進の技術でプロテクションを展開|キーマンズネット
Web アプリケーション ファイアウォール FortiWeb|ITトレンド