OSSのWAF製品比較４選！特徴や注意点を分かりやすく解説

OSSのWAF製品比較４選（３月３日時点）

ここからはOSSのWAF製品を紹介していきます。

ModSecurity

ModSecurityはWebサーバにインストールするタイプのホスト型WAFで、ルール設定の柔軟性が高いことが特徴です。開発が活発であり、世界中でも採用実績が少なくありません。

そのため、ユーザーからのフードバックを受けやすいなど開発しやすいこともメリットの１つでしょう。また、攻撃を検知するためのルールが始めから準備されているため、OSSの中では扱いやすい部類に入ります。

NAXSI

NAXSIはNBS System社という企業が開発を主導しており、安定した運用を行っています。シグネチャによらないホワイトリスト型の防御を行っている特徴があります。そのため、適切に設定を行えば、OSSでも高い防御力を発揮するでしょう。

WebKnight

WebKnightはAQTRONiX社が開発しているWAFのOSSです。インストールが簡単で手軽に導入できます。初期設定では攻撃と検知したものを全てブロックしてしまう特徴があるため、一時的に動作を無効にできません。したがって、適切な設定を行うためには知識と技術が必要です。

Shadow Daemon

Shadow Daemonは、Webアプリケーションに脅威の情報を載せたライブラリを組み込んで利用するタイプのWAFです。Webアプリケーション側の開発を行う必要がありますが、さまざまなアプリケーションに利用できるメリットがあります。

ほかのOSSよりも開発のペースは遅いですが、プロジェクトは安定して進んでいます。

OSSのWAFの特徴

OSSのWAFにはどのような特徴があるのか見ていきましょう。

ライセンス無料でコストを抑えられる

OSSであればライセンス無料なのでコストを抑えられることがメリットです。

ベンダーが提供するWAFは、どの提供形態でも高額の初期費用とライセンス費用が必要になります。また、定期的に保守・運用の費用が発生することもあるでしょう。

OSSの場合、ライセンス費用は無料で利用できるため、コスト削減に貢献します。先程紹介したOSSもソフトウェア自体は無料のため、導入コストは発生しません。

ほとんどのOSSでは、Webアプリケーションの改修を行ったり、ほかのネットワーク機器の増設は必要ないため、短期間で導入できます。

機能の改良がスピーディ

OSSの場合は、社内の開発者とユーザーの距離が近く、フィードバックを反映させやすいため、機能の改良がスピーディです。

自社で開発しなければならないため、ベンダーから提供されるWAFよりも負荷はかかります。しかし、開発・運用方法によっては機能改善を適切に行うことができるでしょう。

OSSのWAFの注意点

OSSのWAFには導入・運用の注意点があります。詳細を見ていきましょう。

自社で運用・管理しなければならない

OSSは自社で開発し、同時に運用や管理まで行う必要があります。そのため、OSSのWAFを利用するためには、専門的な知識と技術を持ったエンジニアの存在が必要不可欠になるでしょう。

OSSのWAFの中にはホワイトリスト型のものがあり、適切に設定を行わないと必要な通信も全てブロックしてしまいます。

日本語の情報が少なく扱いづらい

OSSのWAFはほぼ海外製品であり、日本語の情報が少なく扱いづらいです。仮にOSSを扱う知識や技術があったとしても英語が分からなければ自社が求めるレベルの開発・運用は行えないでしょう。

OSSを利用するときは、開発元の言語を理解する必要があることも忘れてはいけません。

サーバへの負担が大きい

OSSで提供されているWAFのほとんどはホスト型であり、サーバに直接インストールします。このようなホスト型のOSSの場合、サーバリソースを多く使用するため、性能はサーバのスペックによって左右されます。

自社が求めるレベルで運用しようとすると、高性能なサーバを用意する必要があるでしょう。また、導入対象のサーバが多いとベンダーが提供するWAFよりもコストが高くなるため要注意です。

デメリットに注意してOSSのWAFを活用しましょう

OSSのWAFは、低コストで導入し迅速に機能改善できるメリットがあります。しかし、自社で開発・運用する必要があります。外部への依頼や保護対象のサーバが多いと、かえってコストが高くなるでしょう。そもそも日本語のサポートがないこともデメリットです。

このような点に注意してOSSのWAFを最大限活用していきましょう。