クラウド型WAF８選！メリット・デメリット・導入の注意点を解説

ITトレンド編集部おすすめ！クラウド型WAF

ITトレンド編集部が厳選したクラウド型WAF製品ご紹介します。（５月17日時点）

【攻撃遮断くん】

株式会社サイバーセキュリティクラウド

• checkあらゆる規模のWebシステムへ導入できる最適なWAFを提供。
• checkDDoS対策プランや定額制プランなど多数のサービスプランを提供。
• check自社開発だからできる手厚いサポート体制。

イージス

株式会社ロケットワークス

• checkWAF・IPS機能＋クラウド監視の高機能を提供。月次報告書を付与
• check30日間無償サイバー攻撃診断が可能。従量課金ではなく定額制です
• check官公庁、上場企業、ECサイト、システムハウス様への納品実績多数

cloudbric

ペンタセキュリティシステムズ株式会社

• check独立したWAFサービス環境にてWAF+DDos対策＋SSL証明書を提供
• check従来のシグネチャー型の根源的な弱点から脱却したロジック型WAF
• check豊富なノウハウに基づくお客様に特化したカスタマイズ・サポート

MSS for Imperva Incapsula

SBテクノロジー株式会社

• check24時間365日体制でセキュリティ専門アナリストが監視
• check誤検知の有無や危険度の判断、想定される被害や対策案なども通知
• checkセキュリティログ監視に加えて、WAF 運用の最適化もサポート

まだまだある！おすすめのクラウド型WAF製品

さらにおすすめしたいクラウド型WAF製品ご紹介します。（5月12日時点）

WAF BENKEI

このWAF製品は低帯域から広帯域まで対応しており、簡単に設置することができます。またインフラ構成など独自要件の反映が可能なため、柔軟なWAF製品を必要とする企業にはオススメの製品となっています。

シマンテック クラウド型WAF

シマンテックが提供。WAFセンターを経由することでWAFの機能を提供するSaaS/ASP 型の サービスです。クラウド提供により初期費用を抑えると同時にチューニング・運用・保守の手間から解放されます。

• ■新しい攻撃にもスピーディーに対応
• ■１カ月間の無料トライアルが可能。
• ■明瞭で利用しやすい料金体系

TrustShelter

NTTテクノクロスが提供。簡単・低コストが特徴のクラウド型WAFサービスです。常時最新の対策を反映した高いセキュリティを実現し、24時間体制での運用サポートを行います。

• ■ギガビットレベルのDDoS攻撃にも対応
  →業務・サービスの停止リスクを低減
• ■セキュリティ専門家によるサポートやマニュアルあり
• ■既存システムのDNS設定を変更するのみ
  →簡単に利用が開始できる
• ■Webサイトの停止不要

クラウド型WAFのメリット・デメリット

Webアプリケーションやシステムのセキュリティ対策に欠かせないWAF。クラウド型WAFのメリット・デメリットをそれぞれ解説していきます。

メリット：導入・運用がしやすい

クラウド型WAFはインターネットを介して提供されるサービスです。そのため、オンプレミス型と比べると導入・運用がしやすいです。

導入面でのメリットは低コスト・短期間で導入が可能であることです。サーバの構築・専用機器の購入が不要で、ネットワークの設定変更のみで利用開始できます。

運用面でのメリットは、ベンダーに運用を一任できることです。不正通信や攻撃パターンを定義した「シグネチャ」の把握や更新の必要がありません。月単位で契約できるため、キャンペーンサイトなどスポット的な利用もできるでしょう。

デメリット：サービスの質に左右される

シグネチャの把握や更新・WAFの管理はベンダーが行うため、サービスの質はベンダー次第です。

特に、最適なセキュリティ強度を設定することは技術者ですら困難です。そのため、ベンダーに任せたからといって誤検知が発生しないとも言い切れません。

自社のセキュリティレベルに合った環境を維持できるかは、ベンダー選定が重要となるでしょう。

WAFを導入する前の注意点

WAFを導入する前に注意すべき３つのポイントを解説していきます。

どれくらい費用が必要になるか

WAFを導入する際は、導入時のコストだけでなく運用コストもどの程度になるか確認しておきましょう。

オンプレミス型は初期の導入コストが高いうえ、運用後の人件費を含めさまざまなコストがかかります。大規模なサイトになると初期費用に100万円、運用費用に10万円以上かかる場合もあります。

一方、クラウド型は導入するサイト数が多くなるにつれコストも高くなります。また、トラフィック量が増加した場合もコストが膨らむ可能性があるため注意が必要です。

性能やサービスのバランス、サイトの規模を踏まえ、導入費・運用費をすべて含んだコストを比べるようにしましょう。

どれくらくいのセキュリティレベルがあるか

自社の最適なセキュリティレベルを見極め、正常なアクセスを遮断してユーザの利便性が損なわれることのないようにしましょう。セキュリティレベルの設定のために、まず自社の保護対象となるWebアプリケーションを洗い出し、防御したい攻撃を明確化しましょう。

また、運用後セキュリティレベルを調節しながら誤検知の発生を防ぐ必要があります。誤検知には偽陽性・偽陰性（※）があるため、その発生を常に監視して適切なセキュリティレベルを維持しましょう。

※偽陽性・偽陰性：偽陽性はユーザの正常な通信を遮断する誤判定、偽陰性は攻撃などの不正な通信を正常な通信として通過させてしまう誤判定のこと。

どれくらいサポート体制が整っているか

WAFはWebアプリケーションの前面に位置するセキュリティであるため、常に最新の防御態勢にしておかなければいけません。そのためには、製品の選定時にサポート体制が整っているかを確認しておきましょう。

トラブルが発生した時は迅速な対応が求められます。そのため、常時在籍しているスタッフの人数やトラブル対応にどの程度の時間を要するのかを事前に確認しましょう。さらに、トラブル原因などの調査をしてくれるかどうかも、あらかじめ確認しておくことが大切です。

クラウド型の特徴を把握して最適なWAFを導入しよう

クラウド型WAFは初期・運用費用を抑えたセキュリティ対策を可能にします。しかし、WAFの運用や管理はすべてベンダーに一任するため、セキュリティの性能は選定したベンダーに左右されるでしょう。

製品を選定する際は自社のセキュリティレベルを明確にし、性能やコストのバランスを十分に検討したWAFを導入することが大切です。