WAFとは?
WAFとは、Webアプリケーションの脆弱性につけこんだ攻撃からWebサイトを保護するためのセキュリティサービスです。WAFは「Web Application Firewall」の略称であり、ファイアウォールの一種に分類されます。ファイアウォールが内部ネットワークを防御対象とするのに対し、WAFはWebアプリケーションを対象とするのが大きな違いです。
Webサイトに対する不正な攻撃手法には、ゼロデイ攻撃やSQLインジェクション、クロスサイトスクリプティング、DDoS攻撃など複数の手法があります。これらはWebアプリケーションの脆弱性を突いた攻撃のため、内部環境と外部環境の間に設置されたファイアウォールでの防御は困難です。そのため、Webアプリケーション領域も含めたセキュリティ対策の手段として、WAFが広く利用されています。
以下の記事では、WAFについてより詳しく解説しています。興味のある方は、あわせてご覧ください。
関連記事
watch_later 2024.04.10
WAFとは?仕組みやセキュリティの基本をわかりやすく解説 続きを読む ≫
WAFの必要性
WAFは複数の脅威をブロックできるため、Webアプリケーションのセキュリティ強化に効果的なシステムです。しかし、具体的になぜWAFを導入する必要があるかわからない方も多いのではないでしょうか。ここでは、WAFの必要性について詳しく解説します。
Webアプリケーションにはセキュリティの弱点がある
Webアプリケーションは、企業内でのみ利用されるシステムに比べて攻撃を受けやすい傾向にあります。常にインターネット上に公開されており、外部からのアクセスが容易なためです。
本来であれば、Webアプリケーションの要件定義・設計・コーディング、それぞれのタイミングでセキュリティ対策を施します。そして、脆弱性のないプログラムを完成させなければなりません。しかし限られた予算とスケジュールのなかで、完全に脆弱性を排除するのは非常にハードルが高いといえます。そのため、セキュリティ対策が不十分なWebアプリケーションも多いのが現状です。
WAFは複数の脅威をブロックできる
WAFを導入すれば、クロスサイトスクリプティングやSQLインジェクション、DDoS攻撃など、Webアプリケーションの脆弱性を狙ったサイバー攻撃に対応します。
これは、ファイアウォールやIPS・IDSなどといったWAF以外の製品では防げない領域であるため、アプリケーション側での対策が不十分な場合、WAFは非常に有効なセキュリティ対策といえます。
WAFの種類
WAFの導入形態には主に3つの種類があり、「クラウド型」「アプライアンス型」「ソフトウェア型」にわけられます。以下でそれぞれの特徴を解説します。
クラウド型
クラウド型WAFは、インターネットを経由してベンダーが提供するWAFの機能を利用するものです。現在主流となっている導入形態で、「サービス型WAF」とも呼ばれます。
運用やメンテナンスをベンダーに一任できるため、専任のエンジニアを配置する必要がありません。また、専用の機器を導入したり、ソフトウェアをインストールしたりする必要がないため、3種類のなかで最も低コスト・短期間での導入が可能です。
ただし、ベンダーが提供する機能や設定の範囲内でしかカスタマイズできないため、柔軟性は劣るでしょう。
アプライアンス型
アプライアンス型WAFは、ベンダーが提供するWAFの専用機器をWebサーバの前に設置して利用するものです。「ゲートウェイ型WAF」「ネットワーク型WAF」と呼ばれることもあります。
アプライアンス型のWAFは、一般的に買い切りの形態で提供されるため、定期的なサブスクリプション料金の支払いが不要です。また、1台で複数のWebサーバに対応可能なため、保護するWebサーバの数が多い企業ほど割安になります。
ただし、専用の機器を導入する必要があるため、初期費用が100万円以上かかるケースもあります。また、専任のエンジニアが必須で人的コストも発生するため、中小企業にとってはややハードルの高い導入形態だといえるでしょう。
ソフトウェア型
ソフトウェア型WAFは、既存のWebサーバにベンダーが提供するソフトウェアをインストールして利用するものです。「ホスト型WAF」とも呼ばれています。
ソフトウェアをインストールするだけで導入可能なため、アプライアンス型に比べ、導入にかかる初期費用や手間を抑えられます。また、クラウド型よりも柔軟性が高いため、組織のニーズや環境にあわせたカスタマイズも可能です。
一方デメリットは、1台のWebサーバに対して1つのWAFが必要となるため、サーバの数に比例してコストが増加してしまうことです。大規模運用には向かないため、サーバ数が少ない中小規模向けといえるでしょう。
WAFの選定ポイント
ここからは、ITトレンドで資料請求いただいた導入検討中のユーザーからのヒアリングをもとに、WAFの選定ポイントを詳しく解説します。
- ●セキュリティ機能は十分か
- ●導入・運用のサポート体制は充実しているか
- ●複数のWebサイトをまとめて防御できるか
セキュリティ機能は十分か
どのWAF製品でも、Webサイトに対する不正な攻撃に対応できますが、搭載されているセキュリティ機能には違いがあります。セキュリティ機能はWAFの防御力にも影響するため、必ず確認しておきましょう。
特に注目すべきはシグネチャ自動更新機能です。シグネチャ自動更新とは、新たに発見された脆弱性や日々変化する攻撃パターンに対応するために、WAFのシグネチャを定期的に自動更新する機能です。更新を行わない場合、WAFは新たな攻撃手法や脆弱性を検知できず、セキュリティ対策が不十分になります。
クラウド型WAFの場合、シグネチャ自動更新機能を搭載している製品が多い傾向にあります。一方、アプライアンス型やソフトウェア型のWAFでは搭載されていないケースが多く見受けられます。シグネチャの更新を手動で行うには、一定の知識が必要となるため、専任のエンジニアがいない場合には注意しましょう。なおWAFのなかには、シグネチャに依存せず攻撃の形態や属性を検知して防御できるものもありますが、製品は限られます。
その他にも、IPアドレス制限機能やWebページの改ざん検知機能、レポート機能など、自社が必要とする機能の有無を確認したうえで製品選定を行うことが重要です。なお、WAFの機能についてより詳しく知りたい方は、こちらの記事もあわせてご覧ください。
関連記事
watch_later 2024.02.26
WAFの機能一覧で紹介!WAFでできることや防げる攻撃も解説 続きを読む ≫
導入・運用のサポート体制は充実しているか
専任のエンジニアがいない企業やWAFをはじめて導入する企業の場合、導入や運用に手間取ってしまうケースも見られます。その際にどれだけサポートを受けられるかは製品によって異なるため、サポート体制の充実度は重要な選定ポイントです。具体的には以下の点を比較しておきましょう。
- ●24時間365日サポート対応しているか
- ●テキストだけでなく、電話や訪問サポートも実施しているか
- ●エンジニアが対応してくれるのか
- ●無償でサポートを受けられるのか
WAFを提供する一部の企業では、エンジニアによるテクニカルサポートが提供されています。トラブルシューティングやセキュリティアドバイスなどのより専門的な問題や要望にも、迅速かつ効果的に対応できるでしょう。
なおWAFのサポート料金は、契約するプランや必要とする内容によって違いがあります。一般的に、設定のガイダンスやメールでの問い合わせなど基本的なサポートは無料で提供されることが多いようです。カスタマイズやチューニングなどのより高度なサポートを利用する場合には追加料金がかかることもあります。具体的な料金については資料請求を行いベンダーに確認することをおすすめします。
また、万が一の被害にも備えておきたい場合は、サイバーセキュリティ保険が付帯した製品を選択するのもおすすめです。サイバーセキュリティ保険とは、WAFを導入していたにもかかわらず、情報漏えいやデータ侵害、システムの停止などの被害が発生してしまった場合に保険金が支払われる制度です。復旧や被害の賠償、法的手続きの費用などをカバーできます。
複数のWebサイトをまとめて防御できるか
より効果的なWebマーケティングを実現するため、1社で複数のWebサイトを運営している企業が増えています。そこで、1つの契約で複数のWebサイトをまとめて防御できるかも確認しておきましょう。
1契約につき1サイトの防御だとコスト面や管理の煩雑さが課題となります。一方、複数のWebサイトを一つの契約で統合管理できれば、管理の効率化や全体のセキュリティ状況の把握が可能です。
なお、サイト数無制限プランを設けている製品やサイト数によって月額費用が異なるサービス、オプション料金を支払ってサイト追加するものなど料金形態はさまざまなため、確認が必要です。
おすすめWAF製品を比較表で確認!
ITトレンド編集部がおすすめのWAF製品を紹介します。また、この記事で紹介している16製品を一通り調査して見えてきた、WAF製品の特徴や傾向を以下にまとめました。ぜひ製品の比較検討にお役立てください。
- ●24時間365日サポート対応している製品は半数ほどで、すべてクラウド型の傾向
- ●導入や運用のサポートは海外製品よりも国産製品のほうが手厚い傾向にある
- ●SQLインジェクション、DDoS攻撃はすべての製品が対応している
- ●ゼロデイ攻撃に対応している製品は半数ほどで、主にクラウド型
- ●サイバーセキュリティ保険が付帯している製品は限られる
- ●1契約で複数サイト(複数ドメイン)の防御に対応している製品は少ない。なお、契約プランのアップグレードや追加料金の支払いが必要となるケースが多い
クラウド型WAF
ここからは、提供形態別におすすめの製品を紹介します。まずは、費用を抑えて導入したい企業や、運用やメンテンナンスをベンダーに任せたい企業におすすめな、クラウド型の製品を紹介します。
《BLUE Sphere》のPOINT
- WAF/DDoS防御/DNS監視/サイバー保険がオールインワン
- ドメイン無制限で複数サイトを1つの契約で守る!
- 三井住友海上火災保険「サイバープロテクター」が無償で付帯!
株式会社アイロバが提供する「BLUE Sphere」は、防御・保険・サポートをワンストップで実現するWAFのクラウドサービスです。大規模サイトの高速処理に向いているアプライアンス型WAFも提供しています。WAF機能以外にDDoS攻撃の防御や改ざん検知にも対応し、サイバーセキュリティ保険が無償で付帯します。また、登録Webサイト数に制限がないため、複数のWebサイトを運営する企業にとっては、管理の手間やコスト面でメリットが見出だせるでしょう。
参考価格 |
─ |
参考価格補足 |
1契約で登録Webサイトは無制限。平均トラフィックによる価格設定 |
無料トライアル |
◯ |
提供形態 |
クラウド/SaaS/アプライアンス/サービス |
主な機能・特徴 |
24時間サポート/シグネチャ更新/ゼロデイ攻撃対応/IPアドレス制限/レポート/複数サイト対応/保険付帯/改ざん検知 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
業種 | 通信サービス |
従業員規模 | 10名以上 50名未満 |
BLUE Sphereのいい点 |
★ ★ ★ ★ ★ 5 |
会社としてセキュリティ強化のため、情報収集を以前より実施しておりました。
従来のFWではWEBサイトまでは守れないが、WAFを導入すれば悪質な攻撃からHPを守ることができ、新しい攻撃にも有効。との情報を得て、WAFを導入しようという結論に至りました。
こちらの製品は紹介されている通り、多くの攻撃に対応できています。
またコストパフォーマンスに優れており、上層部からの決裁もおりやすかったです。 |
業種 | 情報処理、SI、ソフトウェア |
従業員規模 | 250名以上 500名未満 |
BLUE Sphereの改善してほしい点 |
★ ★ ★ ★ ★ 5 |
1つの契約で複数のドメイン(サービス)を管理するような場合、それぞれのサービス担当者が該当の情報のみを管理・設定できるようにしてもらえると助かります。 |
攻撃遮断くん(株式会社サイバーセキュリティクラウド)
製品・サービスのPOINT
- あらゆる規模のWebシステムへ導入できる最適なWAFを提供。
- DDoS対策プランや定額制プランなど多数のサービスプランを提供。
- 自社開発だからできる手厚いサポート体制。
株式会社サイバーセキュリティクラウドが提供する「攻撃遮断くん」は、手厚いサポートが魅力の国産クラウド型Webサービスです。セキュリティエンジニアのコンサルティングレポートが毎月無料で発行されます。そのほか、追加料金不要でサイバー保険が適用になり、万が一のときには最大1,000万円まで補償。DDoS攻撃への対策ができるプランもあり、最短1か月から利用可能です。
参考価格 |
─ |
参考価格補足 |
─ |
無料トライアル |
◯ |
提供形態 |
クラウド/SaaS/サービス/その他 |
主な機能・特徴 |
24時間サポート/シグネチャ更新/ゼロデイ攻撃対応/IPアドレス制限/レポート/複数サイト対応/保険付帯/改ざん検知
|
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
業種 | 卸売・小売業・商業(商社含む) |
従業員規模 | 100名以上 250名未満 |
攻撃遮断くん(株式会社サイバーセキュリティクラウド)のいい点 |
★ ★ ★ ★ ★ 5 |
日々の運用工数が全く発生しないのが大きなポイントになっております。
一度設定してしまえば専任の担当者がいなくても運用を回せます。
疑問が発生したときにも問い合わせ先がしっかりとしているので安心です。
|
業種 | 卸売・小売業・商業(商社含む) |
従業員規模 | 5,000名以上 |
攻撃遮断くん(株式会社サイバーセキュリティクラウド)の改善してほしい点 |
★ ★ ★ ☆ ☆ 3 |
こちらを導入してからAWS利用料が増加した。営業担当いわくAWSからログを断続的に送っているからとのことだが、AWS利用料が上がる想定がなかったため困っている。 |
《Cloudbric WAF+》のPOINT
- 特許取得のロジック&AIエンジンを搭載、高い攻撃検知力
- 5 in 1セキュリティ:WAF/DDoS/脅威IP/悪性ボット遮断/SSL証明書
- 24時間365日監視体制と専門家にお任せのマネージドサービス付帯
ペンタセキュリティ株式会社が提供する「Cloudbric WAF+」は、高精度なセキュリティレベルが証明されたクラウド型WAFサービスです。独自開発の論理演算検知エンジンを搭載し、既知の攻撃パターンだけでなく新種の攻撃に対する高精度な検知が可能です。セキュリティ運用ポリシーの設定や、脆弱性のリサーチ・分析・対応に至るまで専門家がサポートしてくれるので、導入や運用も容易に行えるでしょう。
参考価格 |
月額28,000円 ~ |
参考価格補足 |
「Economy」「Business」「High Performance」の3カテゴリ10プランを用意 |
無料トライアル |
◯ |
提供形態 |
クラウド/SaaS/サービス/ |
主な機能・特徴 |
24時間サポート/ゼロデイ攻撃対応/IPアドレス制限/レポート/複数サイト対応 |
《PrimeWAF》のPOINT
- カンタン設定でしっかり防御
- 状況がすぐわかるダッシュボード
- 従量制で月額料金も良心価格
バルテス株式会社が提供する「PrimeWAF」は、手間やコストを最小限に抑えて最新のセキュリティ対策を実装できるクラウドサービスです。専門知識がなくても簡単に設定できるので、はじめてのセキュリティ対策に最適です。Webサイトの状況は、ダッシュボードでわかりやすく表示されます。レポート機能によって、期間ごとの比較や効果検証も行いやすいでしょう。また、通信量に応じた従量課金制なので、日によってアクセスに差があるサイトや、月間の総通信量が少ないサイトにもおすすめです。
参考価格 |
月額14,500円~ |
参考価格補足 |
通信量に応じて基本料と従量料金が変動 |
無料トライアル |
◯ |
提供形態 |
クラウド/SaaS |
主な機能・特徴 |
24時間サポート/レポート/複数サイト対応 |
業種 | 教育・教育学習支援関係 |
従業員規模 | 100名以上 250名未満 |
PrimeWAFのいい点 |
★ ★ ★ ★ ☆ 4 |
クラウド型WAF全般に言えるが、導入にかかる手間とコストが少なく済むのが良い。また、この製品により、攻撃ログが簡単にわかるようになり、セキュリティ面での問題はほとんどなくなった。 |
業種 | 教育・教育学習支援関係 |
従業員規模 | 100名以上 250名未満 |
PrimeWAFの改善してほしい点 |
★ ★ ★ ★ ☆ 4 |
管理画面自体は見やすく、攻撃ログもわかりやすいのだが、管理画面に至るログインが我が社では難しいことが多く、そこに関する説明を手厚くしてほしい |
《AIONCLOUD WAAP》のPOINT
- WAAP(WAF)/CDN/DDoS対策/Bot対策を一つのクラウドで対応
- 企業のニーズに合わせて機能&トラフィック量を選べるプラン体系
- プロユースでも安心のサイト/URL単位の細やかなポリシー設定
株式会社モニタラップが提供する「AIONCLOUD WAAP」は、アプライアンス型WAFをクラウドサービス化した製品です。世界中の脅威やインシデントを収集しているクラウドプラットフォームと連携しているので、新たな脅威にも迅速に対応します。管理画面はシンプルで簡便性が高く、IT知識がなくても使えるように設計されているので初心者でも安心でしょう。
参考価格 |
月額8,640円 ~ |
参考価格補足 |
通信容量課金 |
無料トライアル |
◯ |
提供形態 |
クラウド/SaaS/ASP/サービス |
主な機能・特徴 |
24時間サポート/レポート/複数サイト対応
|
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
業種 | その他製造 |
従業員規模 | 10名以上 50名未満 |
AIONCLOUD WAAPのいい点 |
★ ★ ★ ★ ★ 5 |
WAFによる防御したログが取得できることが便利。レポート作成もPDFとWordで作成できる。また、複数のサブドメインでSSLを使用しても、各ドメイン毎に証明書をインストールできるため、他社のようにFQDN単位でWAFを用意する必要がないのでコストも抑えられる。安価な共用サーバーに付属のWAFとは異なり、ポリシー設定も簡単にできる。他社のWAFは機能が多く、なにをどうするとどうなるかが分かり難いが、直感的に分かりやすい。また、問合せに対しても真摯に対応してもらえる。 |
業種 | 情報処理、SI、ソフトウェア |
従業員規模 | 10名以上 50名未満 |
AIONCLOUD WAAPの改善してほしい点 |
★ ★ ★ ★ ★ 5 |
導入してから1か月超経過しましたが、いまのところ特に改善してほしい点はありません。しいて言えば管理画面のインターフェースが慣れるまでわかり難かった点。 |
製品・サービスのPOINT
- 業界最先端の攻撃軽減技術でDDoSを防御
- 個人情報漏洩を保護し未知の脅威から保護するクラウド型WAF
- サイトのPV数に合わせて月額1万円のプランからご提供
株式会社クララオンラインが提供する「Cloudflare導入支援ソリューション」は、あらゆる規模や種類のDDoS攻撃から、Webサイト・アプリケーション・ネットワーク全体を保護するサービスです。不正アクセスを防ぎ、個人情報漏えいを防止します。さらにWebコンテンツ最適化機能によって、画像サイズ・Web画像変換・セッション・デバイスを自動で最適化。既存のWebサイトを改修せずに、Webサイトへのアクセスを高速化できます。日本国内に限らず、中国領域での導入支援にも対応しています。
参考価格 |
月額10,000円~ |
参考価格補足 |
サイトのPV数にあわせた複数のプランを提供 |
無料トライアル |
◯ |
提供形態 |
クラウド/SaaS/サービス |
主な機能・特徴 |
24時間サポート/シグネチャ更新/レポート/クッキー暗号化/セッション管理 |
製品・サービスのPOINT
- IPS・WAF機能+クラウド監視の高機能を提供。月次報告書を付与
- 他社製品とは異なり、導入先サーバがダウンするリスクがない
- 面倒な設置工事、追加料金不要。官公庁、上場企業様採用実績多数
株式会社ロケットワークスが提供する「イージスWAFサーバセキュリティ」は、WAF・IPS機能が使える定額制のクラウド型システムです。定額制によるサービスのため、通信量が多い官公庁や上場企業、ECサイト事業者などから支持されています。「サイバー攻撃診断(1か月間無料)」では、実際にシステムの性能や操作性を試せるため、効果を体感してから導入したい企業にも適しています。
参考価格 |
ー |
参考価格補足 |
無料サイバー攻撃診断期間に費用は発生しません |
無料トライアル |
◯(1か月) |
提供形態 |
クラウド/SaaS |
主な機能・特徴 |
ゼロデイ攻撃対応/IPアドレス制限/レポート |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
攻撃遮断くん(株式会社 USEN ICT Solutions)
製品・サービスのPOINT
- 専門知識や技術者いらずでサーバ停止も不要の簡単導入
- 最新セキュリティを自動でアップデート
- 詳細な分析レポートで攻撃の可視化が可能
株式会社USEN ICT Solutionsが提供する「攻撃遮断くん」は、情報漏えい・踏み台・サービス妨害などの脅威からWebサイトを守るセキュリティサービスです。IPS機能を搭載したプランやシステム環境をカスタマイズできるプランなど、用途にあわせて選べる3つのプランを用意。オプションのWeb改ざん検知サービスを利用すれば、Webサイトを毎日巡回して改ざんの有無を確認してもらえます。改ざんされていた場合は即座に通知が届くので、早期に対処が可能です。
参考価格 |
月額7,980円~ |
参考価格補足 |
web改ざん検知オプションは月額2,000円~ |
無料トライアル |
─ |
提供形態 |
クラウド |
主な機能・特徴 |
シグネチャ更新/ゼロデイ攻撃/レポート/改ざん検知/パラメータ検査 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
Cloud Application Protection Services
製品・サービスのPOINT
- 包括的なWAAPソリューションをクラウド上で提供
- 独自の自動化ポリシー生成技術
- OWASPトップ10の脅威に対して完全な保護を実現
株式会社アズジェントが提供する「Cloud Application Protection Services」は、エンタープライズ向けのクラウド型WAAPソリューションです。機械学習アルゴリズムにより、運用者のポリシーチューニング負荷を軽減します。振る舞いベースの検知や、シグネチャの自動作成による最先端のDDoS攻撃防御システムを標準装備。API攻撃やボットへの防御機能も備え、OWASPトップ10の脅威に対して完全な保護を実現します。
参考価格 |
ー |
参考価格補足 |
ー |
無料トライアル |
─ |
提供形態 |
クラウド/SaaS |
主な機能・特徴 |
シグネチャ更新/ゼロデイ攻撃対応/パラメータ検査/クローキング |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
MSS for Imperva Incapsula
《MSS for Imperva Incapsula》のPOINT
- 24時間365日体制でセキュリティ専門アナリストが監視
- 誤検知の有無や危険度の判断、想定される被害や対策案なども通知
- セキュリティログ監視に加えて、WAF運用の最適化もサポート
SBテクノロジー株式会社が提供する「MSS for Imperva Incapsula」は、セキュリティ専門アナリストが24時間365日体制でセキュリティ監視を行うサービスです。ログや検知したセキュリティアラートに対し、影響度が高いと判断した場合はブロックを行います。また、誤検知の有無や想定される被害、対策案を通知します。セキュリティログ管理に加えて、チューニング対応やサイト監視などの支援もあるため、WAF運用の最適化が可能です。
参考価格 |
─ |
参考価格補足 |
─ |
無料トライアル |
─ |
提供形態 |
クラウド/SaaS/サービス |
主な機能・特徴 |
IPアドレス制限/レポート |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
《デジサート クラウド型WAF》のPOINT
- 最新の脆弱性対策を反映し常に最大限の防御を実現!
- 既存の運用環境を変更・停止することなく導入可能!
- 自民党をはじめ2,000サイト以上に利用されるサービス!
デジサート・ジャパン合同会社が提供する「デジサート クラウド型WAF」は、WebサイトやWebアプリケーションのセキュリティを強化するサービスです。既存環境をほとんど変更する必要がなく、スピーディーに導入できます。また、セキュリティの専門会社が管理業務を行うため専門知識なしで運用可能です。24時間365日のサポート体制が整っており、多面的な防御でSQLインジェクションやDoS攻撃などの脅威から保護します。
参考価格 |
339,720円~/1サイト |
参考価格補足 |
初期費用¥98,000 |
無料トライアル |
─ |
提供形態 |
クラウド/SaaS/ASP |
主な機能・特徴 |
24時間サポート/シグネチャ更新/ゼロデイ攻撃対応/IPアドレス制限/複数サイト対応/web改ざん検知 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
アプライアンス型WAF
つづいて、アプライアンス型のWAF製品を紹介します。買い切りで導入したい方やサイトの規模が大きい企業におすすめです。
製品・サービスのPOINT
- フル機能のセキュリティであらゆるサイバー攻撃から防御!
- さまざまなサイバー攻撃を高度に分析し、セキュリティに反映!
- クラウド型/ゲートウェイ型からWAFの形式を選択可能!
株式会社Imperva Japanが提供する「Impervaアプリケーション・セキュリティ」は、多層構造のセキュリティによってWebサイトだけでなく、アプリケーションやネットワークを保護するシステムです。DDoS攻撃対策やCDN、Cloud WAF、WAF Gatewayなど各レイヤーでのセキュリティ機能が備わり、さまざまなサイバー攻撃から防御します。なお、オンプレミス、クラウドなどの多彩な環境で動作可能です。
参考価格 |
ー |
参考価格補足 |
ー |
無料トライアル |
─ |
提供形態 |
オンプレミス/クラウド/SaaS/ASP/アプライアンス/サービス/その他 |
主な機能・特徴 |
ゼロデイ攻撃対応/レポート/web改ざん検知 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
Barracuda Web Application Firewall
製品・サービスのPOINT
- スピーディーで高い防御性能で安心のセキュリティ
- 使いやすく充実した機能・インタフェース
- 豊富なモデルで小規模でも導入しやすい!
バラクーダネットワークスジャパン株式会社が提供する「Barracuda Web Application Firewall」は、業界を問わず多様な企業に導入されているWAFです。スピーディーで高い防御性能を誇り、使いやすいインタフェースと豊富なモデルが用意されているため、小規模からでも導入しやすいでしょう。最新のL7アプリケーションレイヤーに対するDDos攻撃にも対応し、国・地域ごとのアクセス制御が可能です。また、IPレピュテーションによる通信拒否やパスワードリスト攻撃の回避などのさまざまな機能を備えています。
参考価格 |
ー |
参考価格補足 |
プランによって機能が変化 |
無料トライアル |
─ |
提供形態 |
オンプレミス/クラウド/アプライアンス |
主な機能・特徴 |
IPアドレス制限/レポート |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
Advanced Web Application Firewall
製品・サービスのPOINT
- 米大手企業など豊富な導入実績を持つグローバル企業が提供!
- 独自の技術を活かして最新のサイバー攻撃からも防御!
- 導入オプションが豊富!組織のニーズに合わせて利用できる
エフファイブ・ネットワークス・ジャパン合同会社が提供する「Advanced Web Application Firewall」は、独自の技術を活かして最新のサイバー攻撃からWebアプリケーションを守るWAFサービスです。行動分析とマシンラーニングによるDoS対策や、モバイルSDKを利用したボット対策などが可能です。また、データを暗号化してマルウェアなどからも保護します。導入オプションが豊富で、組織の規模やニーズにあわせて柔軟に利用できます。
参考価格 |
ー |
参考価格補足 |
ー |
無料トライアル |
─ |
提供形態 |
オンプレミス/クラウド/SaaS/アプライアンス |
主な機能・特徴 |
IPアドレス制限 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
ソフトウェア型WAF
ここでは、ソフトウェア型のWAFを紹介します。アプライアンス型よりも導入にかかる初期投資が比較的低いため、中小企業にもおすすめです。また、クラウド型よりも柔軟性があるため、規模が小さい場合でも、独自のWebサーバーを運用している企業に適しています。
《SiteGuard》のPOINT
- システム環境に応じて3種類から選べて様々なWebサイトに適応
- 低価格から始められ、安心とコストパフォーマンスの両方を実現
- 国産メーカーならではの自社対応で、迅速かつ高品質なサポート
EGセキュアソリューションズ株式会社が提供する「SiteGuard」は、高度なサイバー攻撃からWebサイトを保護する、カスタマイズ性に優れたWAFサービスです。ソフトウェア型のホスト型WAFとゲートウェイ型WAF、そしてクラウド型の3つの異なるタイプがあり、システム環境に応じて選択できます。低価格から導入でき、国産メーカーならではの高品質なサポート体制が整っています。
参考価格 |
ー |
参考価格補足 |
ー |
無料トライアル |
◯ |
提供形態 |
オンプレミス/クラウド/SaaS |
主な機能 |
シグネチャ更新/レポート/複数サイト対応 |
WAFを選ぶ際は、製品について詳しく理解していないと、導入の失敗につながることもあります。まずは製品情報を詳しく確認したうえで、導入に向けた比較検討を行いましょう。なお、人気のWAF製品を比較したい方は、以下のボタンからITトレンドの月間資料請求ランキングを確認できます。あわせてご覧ください。
WAF製品を丁寧に比較し、セキュリティ対策を万全にしよう
Webアプリケーションは、常に外部からの攻撃リスクにさらされています。WAFの導入なしに、Webサイトの安全は守れないといっても過言ではありません。しかし、よく検討せずWAFを導入してしまうと、自社のセキュリティ状況にあわず結果として失敗してしまう可能性があります。
WAF導入の失敗を防ぐためにも、資料請求を通じて自社の求める条件をクリアしているか、製品を比較したうえで導入しましょう。