WAFとは?
WAFとは、「Web Application Firewall」の略で、ファイアウォールの一種です。ファイアウォールが内部ネットワークを防御対象とするのに対し、WAFはWebアプリケーションを対象とするのが大きな違いです。
WAFはWebアプリケーションの脆弱性につけこんだ攻撃からWebサイトを保護するセキュリティ対策で、Webサーバへの不正アクセスを防ぎます。
なお、Webサイトに対する不正な攻撃手法には、ゼロデイ攻撃やSQLインジェクション、クロスサイトスクリプティング、DDoS攻撃など複数の手法があります。これらはWebアプリケーションの脆弱性を突いた攻撃のため、内部環境と外部環境の間に設置されたファイアウォールでの防御は困難です。そのため、Webアプリケーション領域も含めたセキュリティ対策の手段として、WAFが広く利用されています。
以下の記事では、WAFについてより詳しく解説しています。興味のある方は、あわせてご覧ください。
関連記事
watch_later 2023.08.08
WAFとは?仕組みやセキュリティの基本をわかりやすく解説 続きを読む ≫
WAFの必要性
WAFは複数の脅威をブロックできるため、Webアプリケーションのセキュリティ強化に効果的なシステムです。しかし、具体的になぜWAFを導入する必要があるかわからない方も多いのではないでしょうか。ここでは、WAFの必要性について詳しく解説します。
Webアプリケーションにはセキュリティの弱点がある
Webアプリケーションは、企業内でのみ利用されるシステムに比べて攻撃を受けがちです。常にインターネット上に公開されており、外部からのアクセスが容易なためです。
本来であれば、Webアプリケーションの要件定義・設計・コーディング、それぞれのタイミングでセキュリティ対策を施します。そして、脆弱性のないプログラムを完成させなければなりません。しかし限られた予算とスケジュールのなかで、完全に脆弱性を排除するのは非常にハードルが高いといえます。そのため、セキュリティ対策が不十分なWebアプリケーションも多いのが現状です。
WAFは複数の脅威をブロックできる
WAFを導入すれば、クロスサイトスクリプティングやSQLインジェクション、DDoS攻撃など、Webアプリケーションの脆弱性を狙ったサイバー攻撃に対応します。
これは、ファイアウォールやIPS・IDSなどといったWAF以外の製品では防げない領域であるため、アプリケーション側での対策が不十分な場合、WAFは非常に有効なセキュリティ対策といえます。
WAFの選定ポイント
自社に最適なWAFを選ぶ基準について解説します。選定ポイントを知っておくと、製品と自社とのミスマッチを避けることが可能です。
- ・初期費用と運用費用が自社に見合っているか
- ・セキュリティ機能と導入目的のバランスがよいか
- ・サポート体制は充実しているか
初期費用と運用費用が自社に見合っているか
システム導入というと、初期費用に目がいきがちです。しかし、WAFはクラウド型の製品も多く、月々の料金を払うシステムの場合がほとんどです。導入の際には初期費用だけでなく、運用費用とあわせたトータル費用を確認しましょう。ベンダーに見積もりを依頼するのもおすすめです。
また、自社での導入・運用作業が必要となる場合には、そのための要員を確保できるか、人員コストはどの程度かもあわせて検討しておきましょう。クラウド型WAFの場合、セキュリティベンダーに運用を一任できるため、セキュリティ専門スタッフは必要ありません。しかしオンプレミス型の場合は、知識や技術を持った専門スタッフが必要です。
セキュリティ機能と導入目的のバランスがよいか
自社の導入目的を整理したうえで、その目的にあったセキュリティレベルをもつ製品を選びましょう。なお、WAFの基本機能には以下のようなものがあります。
- ・通信監視、制御機能
- ・シグネチャ自動更新機能
- ・Cookie保護機能
- ・特定URL除外・IPアドレス拒否機能
- ・ログ・レポート機能
なかにはIPS・IDS(不正侵入検知・防御)など、通常のWAFにはない機能を備えた製品もあります。セキュリティ性能の向上という点では魅力的ですが、すでに対策済みであるなど、自社の運用上必要ない機能を搭載したシステムの利用は、コストの無駄につながりかねません。一方で、将来的に規模の拡大や運用変更の可能性がある場合は、拡張性を備えた製品を選ぶとよいでしょう。
また、あわせて自社の業態や規模感と類似した企業への導入実績がないかなども、確認しておきましょう。自社と同じような課題を抱えている可能性があり、課題解決へのアプローチや有効性がよりイメージしやすくなります。導入実績が多いほど信頼性も高く、ノウハウの蓄積も期待できるでしょう。
WAFの機能についてより詳しく知りたい方は、こちらの記事もあわせてご覧ください。
関連記事
watch_later 2023.04.14
WAFの機能一覧で紹介!WAFでできることや防げる攻撃も解説 続きを読む ≫
サポート体制は充実しているか
WAF製品を選定する場合は、サポート体制がどの程度充実しているか確認しておきましょう。WAFは運用後にも定期的にチューニングを行い、常に最新の防御態勢にしておく必要があります。
例えば、ブラックリスト方式という攻撃パターンから判断して不正アクセスを検知する方式や、ホワイトリスト方式という許可した対象以外からのアクセスを排除する方式があります。それぞれ調整内容が異なるので確認が必要です。これらの調整はスピード・正確性の観点から、専門家が担当することを推奨します。
おすすめWAF製品を比較表で確認!
今回紹介するおすすめのWAF製品を、比較表にまとめました。どういった製品を選んでいいかわからないという方は、まずは市場シェアや製品の人気度から見てみるのもよいでしょう。
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
ITトレンド編集部厳選WAF製品を比較
では早速、比較表で紹介したおすすめのWAF製品について、詳しく見ていきましょう。
《BLUE Sphere》のPOINT
- WAF/DDoS防御/DNS監視/サイバー保険がオールインワン
- ドメイン無制限で複数サイトを1つの契約で守る!
- 三井住友海上火災保険「サイバープロテクター」が無償で付帯!
株式会社アイロバが提供する「BLUE Sphere」は、防御・保険・サポートをワンストップで実現するWAFのクラウドサービスです。大規模サイトの高速処理に向いているアプライアンス型WAFも提供しています。WAF機能以外にDDoS攻撃の防御や改ざん検知にも対応し、サイバーセキュリティ保険が無償で付帯します。また、登録Webサイト数に制限がないため、複数のWebサイトを運営する企業にとっては、管理の手間やコスト面でメリットが見出だせるでしょう。
参考価格 |
─ |
参考価格補足 |
1契約で登録Webサイトは無制限。平均トラフィックによる価格設定 |
無料トライアル |
◯ |
主な機能 |
シグネチャ更新 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
業種 | 通信サービス |
従業員規模 | 10名以上 50名未満 |
BLUE Sphereのいい点 |
★ ★ ★ ★ ★ 5 |
会社としてセキュリティ強化のため、情報収集を以前より実施しておりました。
従来のFWではWEBサイトまでは守れないが、WAFを導入すれば悪質な攻撃からHPを守ることができ、新しい攻撃にも有効。との情報を得て、WAFを導入しようという結論に至りました。
こちらの製品は紹介されている通り、多くの攻撃に対応できています。
またコストパフォーマンスに優れており、上層部からの決裁もおりやすかったです。 |
業種 | 情報処理、SI、ソフトウェア |
従業員規模 | 250名以上 500名未満 |
BLUE Sphereの改善してほしい点 |
★ ★ ★ ★ ★ 5 |
1つの契約で複数のドメイン(サービス)を管理するような場合、それぞれのサービス担当者が該当の情報のみを管理・設定できるようにしてもらえると助かります。 |
《AIONCLOUD WAAP》のPOINT
- WAAP(WAF)/CDN/DDoS対策/Bot対策を一つのクラウドで対応
- 企業のニーズに合わせて機能&トラフィック量を選べるプラン体系
- プロユースでも安心のサイト/URL単位の細やかなポリシー設定
株式会社モニタラップが提供する「AIONCLOUD WAF」は、15,000台以上の導入実績をもつアプライアンス型WAFをクラウドサービス化した製品です。世界中の脅威やインシデントを収集しているクラウドプラットフォームと連携しているので、新たな脅威にも迅速に対応します。管理画面はシンプルで簡便性が高く、IT知識がなくても使えるように設計されているので初心者でも安心でしょう。
参考価格 |
月額4,000円 ~ |
参考価格補足 |
通信容量課金と帯域課金の2プランあり |
無料トライアル |
─ |
主な機能 |
シグネチャ更新/パラメータ検査/セッション管理 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
業種 | その他製造 |
従業員規模 | 10名以上 50名未満 |
AIONCLOUD WAAPのいい点 |
★ ★ ★ ★ ★ 5 |
WAFによる防御したログが取得できることが便利。レポート作成もPDFとWordで作成できる。また、複数のサブドメインでSSLを使用しても、各ドメイン毎に証明書をインストールできるため、他社のようにFQDN単位でWAFを用意する必要がないのでコストも抑えられる。安価な共用サーバーに付属のWAFとは異なり、ポリシー設定も簡単にできる。他社のWAFは機能が多く、なにをどうするとどうなるかが分かり難いが、直感的に分かりやすい。また、問合せに対しても真摯に対応してもらえる。 |
業種 | 情報処理、SI、ソフトウェア |
従業員規模 | 10名以上 50名未満 |
AIONCLOUD WAAPの改善してほしい点 |
★ ★ ★ ★ ★ 5 |
導入してから1か月超経過しましたが、いまのところ特に改善してほしい点はありません。しいて言えば管理画面のインターフェースが慣れるまでわかり難かった点。 |
《Cloudbric WAF+》のPOINT
- 特許取得のロジック&AIエンジンを搭載、高い攻撃検出力
- 5 in 1セキュリティ:WAF/DDoS/SSL証明書/脅威IP/悪性ボット遮断
- 24時間365日監視体制と専門家にお任せのマネージドサービス付帯
ペンタセキュリティシステムズ株式会社が提供する「Cloudbric WAF+」は、高精度なセキュリティレベルが証明されたクラウド型WAFサービスです。独自開発の論理演算検知エンジンを搭載し、既知の攻撃パターンだけでなく新種の攻撃に対する高精度な検知が可能です。セキュリティ運用ポリシーの設定や、脆弱性のリサーチ・分析・対応に至るまで専門家がサポートしてくれるので、導入や運用も容易に行えるでしょう。
参考価格 |
月額28,000円 ~ |
参考価格補足 |
「Economy」「Business」「High Performance」の3カテゴリ10プランを用意 |
無料トライアル |
◯ |
主な機能 |
シグネチャ更新/パラメータ検査/セッション管理 |
攻撃遮断くん(株式会社サイバーセキュリティクラウド)
製品・サービスのPOINT
- あらゆる規模のWebシステムへ導入できる最適なWAFを提供。
- DDoS対策プランや定額制プランなど多数のサービスプランを提供。
- 自社開発だからできる手厚いサポート体制。
株式会社サイバーセキュリティクラウドが提供する「攻撃遮断くん」は、手厚いサポートが魅力の国産クラウド型Webサービスです。セキュリティエンジニアのコンサルティングレポートが毎月無料で発行されます。そのほか、追加料金不要でサイバー保険が適用になり、万が一のときには最大1,000万円まで補償。DDoS攻撃への対策ができるプランもあり、最短1か月から利用可能です。
参考価格 |
─ |
参考価格補足 |
─ |
無料トライアル |
○ |
主な機能 |
シグネチャ更新 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
業種 | 卸売・小売業・商業(商社含む) |
従業員規模 | 100名以上 250名未満 |
攻撃遮断くん(株式会社サイバーセキュリティクラウド)のいい点 |
★ ★ ★ ★ ★ 5 |
日々の運用工数が全く発生しないのが大きなポイントになっております。
一度設定してしまえば専任の担当者がいなくても運用を回せます。
疑問が発生したときにも問い合わせ先がしっかりとしているので安心です。
|
業種 | 卸売・小売業・商業(商社含む) |
従業員規模 | 5,000名以上 |
攻撃遮断くん(株式会社サイバーセキュリティクラウド)の改善してほしい点 |
★ ★ ★ ☆ ☆ 3 |
こちらを導入してからAWS利用料が増加した。営業担当いわくAWSからログを断続的に送っているからとのことだが、AWS利用料が上がる想定がなかったため困っている。 |
SmartConnect Network & Security
製品・サービスのPOINT
- WAFの機能をクラウド型で提供
- お手頃価格で複雑な管理費から解放
- セキュリティ専門部隊が設定をするから導入もらくらく
NTTスマートコネクト株式会社が提供する「SmartConnect Network & Security」は、公開Webサーバのセキュリティ対策サービスです。導入時の設定からインフラ運用、インシデント発生時の対応までセキュリティの専門チームがサポートしてくれるため、迅速な導入が可能で運用負荷も軽減します。人手が不足している企業や、コア事業に集中したい企業などにもおすすめです。
参考価格 |
月額40,000円~、初期費用100,000円 |
参考価格補足 |
各企業の環境やオプション機能などにより価格が異なる |
無料トライアル |
─ |
主な機能 |
シグネチャ更新/パラメータ検査 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
製品・サービスのPOINT
- IPS・WAF機能+クラウド監視の高機能を提供。月次報告書を付与
- 他社製品とは異なり、導入先サーバがダウンするリスクがない
- 面倒な設置工事、追加料金不要。官公庁、上場企業様採用実績多数
株式会社ロケットワークスが提供する「イージス」は、WAF・IPS機能が使える定額制のクラウド型システムです。従量課金制と比べると通信量が多い企業におすすめで、官公庁や上場企業、ECサイト事業者などから支持されています。「サイバー攻撃診断(1か月間無料)」では、実際にシステムの性能や操作性を試せるため、効果を体感してから導入したい企業にも適しています。
参考価格 |
月額50,000円 ~ |
参考価格補足 |
無料サイバー攻撃診断期間に費用は発生しません |
無料トライアル |
○(1か月) |
主な機能 |
IPS/レポート |
《PrimeWAF》のPOINT
- カンタン設定でしっかり防御
- 状況がすぐわかるダッシュボード
- 従量制で月額料金も良心価格
バルテス株式会社が提供する「PrimeWAF」は、手間やコストを最小限に抑えて最新のセキュリティ対策を実装できるクラウドサービスです。専門知識がなくても簡単に設定できるので、初めてのセキュリティ対策に最適です。Webサイトの状況は、ダッシュボードでわかりやすく表示されます。レポート機能によって、期間ごとの比較や効果検証も行いやすいでしょう。通信量に応じた従量課金制なので、日によってアクセスに差があるサイトや、月間の総通信量が少ないサイトにもおすすめです。
参考価格 |
月額14,500円~、初期費用0円 |
参考価格補足 |
通信量に応じて基本料と従量料金が変動 |
無料トライアル |
○(1か月) |
主な機能 |
レポート |
業種 | 教育・教育学習支援関係 |
従業員規模 | 100名以上 250名未満 |
PrimeWAFのいい点 |
★ ★ ★ ★ ☆ 4 |
クラウド型WAF全般に言えるが、導入にかかる手間とコストが少なく済むのが良い。また、この製品により、攻撃ログが簡単にわかるようになり、セキュリティ面での問題はほとんどなくなった。 |
業種 | 教育・教育学習支援関係 |
従業員規模 | 100名以上 250名未満 |
PrimeWAFの改善してほしい点 |
★ ★ ★ ★ ☆ 4 |
管理画面自体は見やすく、攻撃ログもわかりやすいのだが、管理画面に至るログインが我が社では難しいことが多く、そこに関する説明を手厚くしてほしい |
製品・サービスのPOINT
- 業界最先端の攻撃軽減技術でDDoSを防御
- 個人情報漏洩を保護し未知の脅威から保護するクラウド型WAF
- サイトのPV数に合わせて月額1万円のプランからご提供
株式会社クララオンラインが提供する「Cloudflare導入支援ソリューション」は、あらゆる規模や種類のDDoS攻撃から、Webサイト・アプリケーション・ネットワーク全体を保護するサービスです。不正アクセスを防ぎ、個人情報漏えいを防止します。さらにWebコンテンツ最適化機能によって、画像サイズ・WEBP画像変換・セッション・デバイスを自動で最適化。既存のWebサイトを改修せずに、Webサイトへのアクセスを高速化できます。日本国内に限らず、中国領域での導入支援にも対応しています。
参考価格 |
月額10,000円~、初期費用50,000円~ |
参考価格補足 |
サイトのPV数にあわせた複数のプランを提供 |
無料トライアル |
○ |
主な機能 |
シグネチャ更新/クッキー暗号化/セッション管理 |
WAFを選ぶ際は、製品について詳しく理解していないと、導入の失敗につながることもあります。まずは製品情報を詳しく確認したうえで、導入に向けた比較検討を行いましょう。以下の記事では、ITトレンドでユーザーから問い合わせの多かったWAFを、ランキング形式で紹介しています。製品選びの参考にしてください。
WAF製品を丁寧に比較し、セキュリティ対策を万全に!
Webアプリケーションは、常に外部からの攻撃リスクにさらされています。WAFの導入なしに、Webサイトの安全は守れないといっても過言ではありません。しかし、よく検討せずWAFを導入してしまうと、自社のセキュリティ状況にあわず結果として失敗してしまう可能性があります。
WAF導入の失敗を防ぐためにも、資料請求を通じて自社の求める条件をクリアしているか、製品を比較したうえで導入しましょう。