WAFとは
WAFとは、Webアプリケーションの脆弱性につけこんだ攻撃から、Webサイトを保護するためのセキュリティサービスです。ECサイトや会員制Webサイト、インターネットバンキングなど、個人情報やクレジット情報を入力するWebサービスのセキュリティ対策として有効です。
ファイアウォールとWAFの違い
ファイアウォールとは、ネットワークを不正アクセスから守るためのセキュリティ装置の総称です。WAFは「Web Application Firewall」の略で、ファイアウォールの一種です。
WAFとファイアウォールはどちらもセキュリティ装置ですが、防御する対象が異なります。ファイアウォールは、企業の内部ネットワークを外部の攻撃から守るのが主な目的です。対してWAFは、特にWebアプリケーション(Webサイトやオンラインサービス)を保護するために設計されています。ファイアウォールでは防げない、Webアプリケーションの特有の脆弱性を狙った攻撃を防御します。
以下の記事では、WAFについてより詳しく解説しています。興味のある方は、あわせてご覧ください。
WAF製品をお探しの方へ
この記事では、おすすめのWAF製品を提供形態ごとにわけて紹介します。各製品の違いがひと目でわかる比較表もあるので、製品選びの参考にしてください。以下のタイプ名をクリックすると、製品詳細にジャンプできます。
▼おすすめのWAF製品を一覧表からチェックしたい方はこちら!
【比較表】おすすめのWAF製品ランキング
WAFの必要性
WAFは複数の脅威をブロックできるため、Webアプリケーションのセキュリティ強化に効果的なシステムです。しかし、具体的になぜWAFを導入する必要があるかわからない方も多いのではないでしょうか。ここでは、WAFの必要性について詳しく解説します。
Webアプリケーションにはセキュリティの弱点がある
Webアプリケーションは、企業内でのみ利用されるシステムに比べて攻撃を受けやすい傾向にあります。常にインターネット上に公開されており、外部からのアクセスが容易なためです。
本来であれば、Webアプリケーションの要件定義・設計・コーディングの各タイミングでセキュリティ対策を施します。そして、脆弱性のないプログラムを完成させなければなりません。しかし限られた予算とスケジュールのなかで、完全に脆弱性を排除するのは非常にハードルが高いといえます。そのため、セキュリティ対策が不十分なWebアプリケーションも多いのが現状です。
WAFは複数の脅威をブロックできる
WAFを導入すれば、クロスサイトスクリプティングやSQLインジェクション、DDoS攻撃など、Webアプリケーションの脆弱性を狙ったサイバー攻撃に対応します。
これは、ファイアウォールやIPS・IDSなどといったWAF以外の製品では防げない領域であるため、アプリケーション側での対策が不十分な場合、WAFは非常に有効なセキュリティ対策といえます。
WAFの種類
WAFの導入形態には主に3つの種類があり、「クラウド型」「アプライアンス型」「ソフトウェア型」にわけられます。以下でそれぞれの特徴を解説します。
クラウド型
クラウド型WAFは、インターネットを経由してベンダーが提供するWAFの機能を利用するものです。現在主流となっている導入形態で、「サービス型WAF」とも呼ばれます。
運用やメンテナンスをベンダーに一任できるため、専任のエンジニアを配置する必要がありません。また、専用の機器を導入したり、ソフトウェアをインストールしたりする必要がないため、3種類のなかで最も低コスト・短期間での導入が可能です。
ただし、ベンダーが提供する機能や設定の範囲内でしかカスタマイズできないため、柔軟性は劣るでしょう。
▼おすすめのWAF製品(クラウド型)へジャンプ!
アプライアンス型
アプライアンス型WAFは、ベンダーが提供するWAFの専用機器をWebサーバの前に設置して利用するものです。「ゲートウェイ型WAF」「ネットワーク型WAF」と呼ばれることもあります。
アプライアンス型のWAFは、一般的に買い切りの形態で提供されるため、定期的なサブスクリプション料金の支払いが不要です。また、1台で複数のWebサーバに対応可能なため、保護するWebサーバの数が多い企業ほど割安になります。
ただし、専用の機器を導入する必要があるため、初期費用が100万円以上かかるケースもあります。また、専任のエンジニアが必須で人的コストも発生するため、中小企業にとってはややハードルの高い導入形態だといえるでしょう。
▼おすすめのWAF製品(アプライアンス型)へジャンプ!
ソフトウェア型
ソフトウェア型WAFは、既存のWebサーバにベンダーが提供するソフトウェアをインストールして利用するものです。「ホスト型WAF」とも呼ばれています。
ソフトウェアをインストールするだけで導入可能なため、アプライアンス型に比べ、導入にかかる初期費用や手間を抑えられます。また、クラウド型よりも柔軟性が高いため、組織のニーズや環境にあわせたカスタマイズも可能です。
一方、1台のWebサーバに対して1つのWAFが必要となるため、サーバの数に比例してコストが増加してしまうことがデメリットです。大規模運用には向かないため、サーバ数が少ない中小規模向けといえるでしょう。
▼おすすめのWAF製品(ソフトウェア型)へジャンプ!
WAFの選定ポイント
ここからは、ITトレンドで資料請求いただいた導入検討中のユーザーからのヒアリングをもとに、WAFの選定ポイントを詳しく解説します。
- ●セキュリティ機能は十分か
- ●導入・運用のサポート体制は充実しているか
- ●複数のWebサイトをまとめて防御できるか
セキュリティ機能は十分か
どのWAF製品でも、Webサイトに対する不正な攻撃に対応できます。しかし、搭載されているセキュリティ機能には違いがあります。
特に注目すべきはシグネチャ自動更新機能です。シグネチャ自動更新とは、新たに発見された脆弱性や日々変化する攻撃パターンに対応するために、WAFのシグネチャを定期的に自動更新する機能です。更新を行わない場合、WAFは新たな攻撃手法や脆弱性を検知できず、セキュリティ対策が不十分になります。
シグネチャの更新を手動で行うには、一定の知識が必要となるため、専任のエンジニアがいない場合には注意しましょう。なおWAFのなかには、シグネチャに依存せず攻撃の形態や属性を検知して防御できるものもありますが、製品は限られます。
WAFの機能についてより詳しく知りたい方は、こちらの記事もあわせてご覧ください。
導入・運用のサポート体制は充実しているか
WAF製品の導入や運用を円滑に進めるには、サポート体制の充実度も重要なポイントです。具体的には以下の点を比較しておきましょう。
- ●24時間365日サポート対応しているか
- ●テキストだけでなく、電話や訪問サポートも実施しているか
- ●営業担当ではなく、エンジニアが対応してくれるのか
- ●無償でサポートを受けられるのか
トラブルシューティングやセキュリティアドバイスなど、より専門的なサポートを受けたい場合は、エンジニアによるテクニカルサポートが提供されているサービスがおすすめです。
また、万が一の被害にも備えておきたい場合は、サイバーセキュリティ保険が付帯した製品が適しています。サイバーセキュリティ保険とは、WAFを導入していたにもかかわらず、情報漏えいやデータ侵害などの被害が発生してしまった場合に保険金が支払われる制度です。復旧や被害の賠償、法的手続きの費用などをカバーできます。
複数のWebサイトをまとめて防御できるか
より効果的なWebマーケティングを実現するため、1社で複数のWebサイトを運営している企業が増えています。そこで、1つの契約で複数のWebサイトをまとめて防御できるかも確認しておきましょう。
1契約につき1サイトの防御だとコスト面や管理の煩雑さが課題となります。一方、複数のWebサイトを1つの契約で統合管理できれば、管理の効率化や全体のセキュリティ状況の把握が可能です。
なお、サイト数無制限プランを設けている製品やサイト数で月額費用が異なるサービス、オプション料金を支払ってサイト追加するものがあります。料金形態は製品によってさまざまなため、確認が必要です。
【比較表】おすすめのWAF製品ランキング
ITトレンド編集部がおすすめするWAF製品を、2024年上半期ランキング順に比較表にまとめました。また、この記事で紹介している主要製品を一通り調査して見えてきた、WAF製品の特徴や傾向を以下にまとめました。ぜひ製品の比較検討にお役立てください。
- ●24時間365日サポート対応している製品は半数ほどで、すべてクラウド型
- ●導入や運用のサポートは海外製品よりも国産製品のほうが手厚い傾向にある
- ●SQLインジェクション、DDoS攻撃はすべての製品が対応している
- ●シグネチャ自動更新機能を搭載している製品は半数ほどで、ほぼクラウド型。
- ●ゼロデイ攻撃に対応している製品は半数ほど
- ●サイバーセキュリティ保険が付帯している製品は限られる
- ●1契約で複数サイト(複数ドメイン)の防御に対応している製品は少ない。なお、契約プランのアップグレードや追加料金の支払いが必要となるケースが多い
効率よく製品の比較検討を行うには、各社製品の一括資料請求がおすすめです。以下のボタンからぜひご利用ください。
\ WAF(Web Application Firewall) の製品を調べて比較 /
製品をまとめて資料請求! 資料請求フォームはこちら
おすすめのWAF製品(クラウド型)
ここからは、提供形態別におすすめの製品を紹介します。まずは、費用を抑えて導入したい企業や、運用やメンテンナンスをベンダーに任せたい企業におすすめな、クラウド型の製品を紹介します。
《PrimeWAF》のPOINT
- カンタン設定でしっかり防御
- 状況がすぐわかるダッシュボード
- 従量制で月額料金も良心価格
バルテス株式会社が提供する「PrimeWAF」は、手間やコストを最小限に抑えて最新のセキュリティ対策を実装できるクラウドサービスです。専門知識がなくても簡単に設定できるので、はじめてのセキュリティ対策に最適です。Webサイトの状況は、ダッシュボードでわかりやすく表示されます。レポート機能によって、期間ごとの比較や効果検証も行いやすいでしょう。また、通信量に応じた従量課金制なので、日によってアクセスに差があるサイトや、月間の総通信量が少ないサイトにもおすすめです。
| 参考価格 |
月額14,500円~ |
参考価格補足 |
通信量に応じて基本料と従量料金が変動 |
| 無料トライアル |
◯ |
提供形態 |
クラウド/SaaS |
| 主な機能・特徴 |
24時間サポート/レポート/複数サイト対応 |
いい点 教育・教育学習支援関係 100名以上 250名未満
改善してほしい点 教育・教育学習支援関係 100名以上 250名未満
《BLUE Sphere》のPOINT
- WAF/DDoS防御/DNS監視/サイバー保険がオールインワン
- ドメイン無制限で複数サイトを1つの契約で守る!
- 三井住友海上火災保険「サイバープロテクター」が無償で付帯!
株式会社アイロバが提供する「BLUE Sphere」は、防御・保険・サポートをワンストップで実現するWAFのクラウドサービスです。大規模サイトの高速処理に向いているアプライアンス型WAFも提供しています。WAF機能以外にDDoS攻撃の防御や改ざん検知にも対応し、サイバーセキュリティ保険が無償で付帯します。また、登録Webサイト数に制限がないため、複数のWebサイトを運営する企業にとっては、管理の手間やコスト面でメリットが見出せるでしょう。
| 参考価格 |
─ |
参考価格補足 |
1契約で登録Webサイトは無制限。平均トラフィックによる価格設定 |
| 無料トライアル |
◯ |
提供形態 |
クラウド/SaaS/アプライアンス/サービス |
| 主な機能・特徴 |
24時間サポート/シグネチャ更新/ゼロデイ攻撃対応/IPアドレス制限/レポート/複数サイト対応/保険付帯/改ざん検知 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
改善してほしい点 情報処理、SI、ソフトウェア 250名以上 500名未満
《Cloudbric WAF+》のPOINT
- 特許取得のロジック&AIエンジンを搭載、高い攻撃検知力
- 5 in 1セキュリティ:WAF/DDoS/脅威IP/悪性ボット遮断/SSL証明書
- 24時間365日監視体制と専門家にお任せのマネージドサービス付帯
ペンタセキュリティ株式会社が提供する「Cloudbric WAF+」は、高精度なセキュリティレベルが証明されたクラウド型WAFサービスです。独自開発の論理演算検知エンジンを搭載し、既知の攻撃パターンだけでなく新種の攻撃に対する高精度な検知が可能です。セキュリティ運用ポリシーの設定や、脆弱性のリサーチ・分析・対応に至るまで専門家がサポートしてくれるので、導入や運用も容易に行えるでしょう。
| 参考価格 |
月額28,000円 ~ |
参考価格補足 |
「Economy」「Business」「High Performance」の3カテゴリ10プランを用意 |
| 無料トライアル |
◯ |
提供形態 |
クラウド/SaaS/サービス/ |
| 主な機能・特徴 |
24時間サポート/ゼロデイ攻撃対応/IPアドレス制限/レポート/複数サイト対応 |
攻撃遮断くん(株式会社サイバーセキュリティクラウド)
製品・サービスのPOINT
- あらゆる規模のWebシステムへ導入できる最適なWAFを提供。
- DDoS対策プランや定額制プランなど多数のサービスプランを提供。
- 自社開発だからできる手厚いサポート体制。
株式会社サイバーセキュリティクラウドが提供する「攻撃遮断くん」は、手厚いサポートが魅力の国産クラウド型Webサービスです。セキュリティエンジニアのコンサルティングレポートが毎月無料で発行されます。そのほか、追加料金不要でサイバー保険が適用になり、万が一のときには最大1,000万円まで補償。DDoS攻撃への対策ができるプランもあり、最短1か月から利用可能です。
| 参考価格 |
─ |
参考価格補足 |
─ |
| 無料トライアル |
◯ |
提供形態 |
クラウド/SaaS/サービス/その他 |
| 主な機能・特徴 |
24時間サポート/シグネチャ更新/ゼロデイ攻撃対応/IPアドレス制限/レポート/複数サイト対応/保険付帯/改ざん検知
|
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
いい点 卸売・小売業・商業(商社含む) 100名以上 250名未満
改善してほしい点 卸売・小売業・商業(商社含む) 5,000名以上
製品・サービスのPOINT
- IPS・WAF機能+クラウド監視の高機能を提供。月次報告書を付与
- 他社製品とは異なり、導入先サーバがダウンするリスクがない
- 面倒な設置工事、追加料金不要。官公庁、上場企業様採用実績多数
株式会社ロケットワークスが提供する「イージスWAFサーバセキュリティ」は、WAF・IPS機能が使える定額制のクラウド型システムです。定額制サービスのため、通信量が多い官公庁や上場企業、ECサイト事業者などから支持されています。「サイバー攻撃診断(1か月間無料)」では、実際にシステムの性能や操作性を試せるため、効果を体感してから導入したい企業にも適しています。
| 参考価格 |
ー |
参考価格補足 |
無料サイバー攻撃診断期間に費用は発生しません |
| 無料トライアル |
◯(1か月) |
提供形態 |
クラウド/SaaS |
| 主な機能・特徴 |
ゼロデイ攻撃対応/IPアドレス制限/レポート |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
MSS for Imperva Incapsula
《MSS for Imperva Incapsula》のPOINT
- 24時間365日体制でセキュリティ専門アナリストが監視
- 誤検知の有無や危険度の判断、想定される被害や対策案なども通知
- セキュリティログ監視に加えて、WAF運用の最適化もサポート
SBテクノロジー株式会社が提供する「MSS for Imperva Incapsula」は、セキュリティ専門アナリストが24時間365日体制でセキュリティ監視を行うサービスです。ログや検知したセキュリティアラートに対し、影響度が高いと判断した場合はブロックを行います。また、誤検知の有無や想定される被害、対策案を通知します。セキュリティログ管理に加えて、チューニング対応やサイト監視などの支援もあるため、WAF運用の最適化が可能です。
| 参考価格 |
─ |
参考価格補足 |
─ |
| 無料トライアル |
─ |
提供形態 |
クラウド/SaaS/サービス |
| 主な機能・特徴 |
IPアドレス制限/レポート |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
Cloud Application Protection Services
製品・サービスのPOINT
- 包括的なWAAPソリューションをクラウド上で提供
- 独自の自動化ポリシー生成技術
- OWASPトップ10の脅威に対して完全な保護を実現
株式会社アズジェントが提供する「Cloud Application Protection Services」は、エンタープライズ向けのクラウド型WAAPソリューションです。機械学習アルゴリズムにより、運用者のポリシーチューニング負荷を軽減します。さらに振る舞いベースの検知や、シグネチャの自動作成による最先端のDDoS攻撃防御システムを標準装備。API攻撃やボットへの防御機能も備え、OWASPトップ10の脅威に対して完全な保護を実現します。
| 参考価格 |
ー |
参考価格補足 |
ー |
| 無料トライアル |
─ |
提供形態 |
クラウド/SaaS |
| 主な機能・特徴 |
シグネチャ更新/ゼロデイ攻撃対応/パラメータ検査/クローキング |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
《デジサート クラウド型WAF》のPOINT
- 最新の脆弱性対策を反映し常に最大限の防御を実現!
- 既存の運用環境を変更・停止することなく導入可能!
- 自民党をはじめ2,000サイト以上に利用されるサービス!
デジサート・ジャパン合同会社が提供する「デジサート クラウド型WAF」は、WebサイトやWebアプリケーションのセキュリティを強化するサービスです。既存環境をほとんど変更する必要がなく、スピーディーに導入できます。また、セキュリティの専門会社が管理業務を行うため専門知識なしで運用可能です。24時間365日のサポート体制が整っており、多面的な防御でSQLインジェクションやDoS攻撃などの脅威から保護します。
| 参考価格 |
339,720円~/1サイト |
参考価格補足 |
初期費用¥98,000 |
| 無料トライアル |
─ |
提供形態 |
クラウド/SaaS/ASP |
| 主な機能・特徴 |
24時間サポート/シグネチャ更新/ゼロデイ攻撃対応/IPアドレス制限/複数サイト対応/web改ざん検知 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
おすすめのWAF製品(アプライアンス型)
つづいて、アプライアンス型のWAF製品を紹介します。買い切りで導入したい方やサイトの規模が大きい企業におすすめです。
製品・サービスのPOINT
- フル機能のセキュリティであらゆるサイバー攻撃から防御!
- さまざまなサイバー攻撃を高度に分析し、セキュリティに反映!
- クラウド型/ゲートウェイ型からWAFの形式を選択可能!
株式会社Imperva Japanが提供する「Impervaアプリケーション・セキュリティ」は、多層構造のセキュリティによってWebサイトだけでなく、アプリケーションやネットワークを保護するシステムです。DDoS攻撃対策やCDN、Cloud WAF、WAF Gatewayなど各レイヤーでのセキュリティ機能が備わり、さまざまなサイバー攻撃から防御します。なお、オンプレミス、クラウドなどの多彩な環境で動作可能です。
| 参考価格 |
ー |
参考価格補足 |
ー |
| 無料トライアル |
─ |
提供形態 |
オンプレミス/クラウド/SaaS/ASP/アプライアンス/サービス/その他 |
| 主な機能・特徴 |
ゼロデイ攻撃対応/レポート/web改ざん検知 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
Barracuda Web Application Firewall
製品・サービスのPOINT
- スピーディーで高い防御性能で安心のセキュリティ
- 使いやすく充実した機能・インタフェース
- 豊富なモデルで小規模でも導入しやすい!
バラクーダネットワークスジャパン株式会社が提供する「Barracuda Web Application Firewall」は、業界を問わず多様な企業に導入されているWAFです。スピーディーで高い防御性能を誇ります。また、使いやすいインタフェースと豊富なモデルが用意されているため、小規模からでも導入しやすいでしょう。最新のL7アプリケーションレイヤーに対するDDos攻撃にも対応し、国・地域ごとのアクセス制御が可能です。さらに、IPレピュテーションによる通信拒否やパスワードリスト攻撃の回避などさまざまな機能を備えています。
| 参考価格 |
ー |
参考価格補足 |
プランによって機能が変化 |
| 無料トライアル |
─ |
提供形態 |
オンプレミス/クラウド/アプライアンス |
| 主な機能・特徴 |
IPアドレス制限/レポート |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
Advanced Web Application Firewall
製品・サービスのPOINT
- 米大手企業など豊富な導入実績を持つグローバル企業が提供!
- 独自の技術を活かして最新のサイバー攻撃からも防御!
- 導入オプションが豊富!組織のニーズに合わせて利用できる
エフファイブ・ネットワークス・ジャパン合同会社が提供する「Advanced Web Application Firewall」は、独自の技術を活かして最新のサイバー攻撃からWebアプリケーションを守るWAFサービスです。行動分析とマシンラーニングによるDoS対策や、モバイルSDKを利用したボット対策などが可能です。また、データを暗号化してマルウェアなどからも保護します。導入オプションが豊富で、組織の規模やニーズにあわせて柔軟に利用できます。
| 参考価格 |
ー |
参考価格補足 |
ー |
| 無料トライアル |
─ |
提供形態 |
オンプレミス/クラウド/SaaS/アプライアンス |
| 主な機能・特徴 |
IPアドレス制限 |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
おすすめのWAF製品(ソフトウェア型)
ここでは、ソフトウェア型のWAFを紹介します。アプライアンス型よりも導入にかかる初期投資が比較的低いため、中小企業にもおすすめです。また、クラウド型よりも柔軟性があるため、規模が小さい場合でも、独自のWebサーバを運用している企業に適しています。
《SiteGuard》のPOINT
- システム環境に応じて3種類から選べて様々なWebサイトに適応
- 低価格から始められ、安心とコストパフォーマンスの両方を実現
- 国産メーカーならではの自社対応で、迅速かつ高品質なサポート
EGセキュアソリューションズ株式会社が提供する「SiteGuard」は、高度なサイバー攻撃からWebサイトを保護する、カスタマイズ性に優れたWAFサービスです。ホスト型WAFとゲートウェイ型WAF、そしてクラウド型の3つの異なるタイプがあり、システム環境に応じて選択できます。低価格から導入でき、国産メーカーならではの高品質なサポート体制が整っています。
| 参考価格 |
ー |
参考価格補足 |
ー |
| 無料トライアル |
◯ |
提供形態 |
オンプレミス/クラウド/SaaS |
| 主な機能 |
シグネチャ更新/レポート/複数サイト対応 |
以下のボタンから、最新の人気ランキングを確認できます。あわせてご覧ください。
まとめ
Webアプリケーションは、常に外部からの攻撃リスクにさらされています。WAFの導入なしに、Webサイトの安全は守れないといっても過言ではありません。しかし、よく検討せずWAFを導入してしまうと、自社のセキュリティ状況にあわず結果として失敗してしまう可能性があります。
WAF導入の失敗を防ぐためにも、資料請求を通じて自社の求める条件をクリアしているか、製品を比較したうえで導入しましょう。
