WAFとは?
まずは、WAFについて簡単におさらいします。
WAFとは、「Web Application Firewall」の略で、ファイアウォールの一種です。ファイアウォールが内部ネットワークを防御対象とするのに対し、WAFはWebアプリケーションを対象とするのが大きな違いです。
WAFはWebアプリケーションの脆弱性につけこんだ攻撃からWebサイトを保護するセキュリティ対策で、Webサーバーへの不正アクセスを防ぎます。
関連記事
watch_later
2022.01.31
「WAFとは?」初心者にもわかりやすく徹底解説!
続きを読む ≫
おすすめWAF製品を比較表で確認!
今回紹介するおすすめのWAF製品を比較表にまとめました。どういった製品を選んでいいかわからないという方は、まずは市場シェアや製品の人気度から見てみるのもよいでしょう。
ITトレンド編集部厳選WAF製品を比較
では早速、比較表で紹介したITトレンド編集部おすすめのWAF製品を紹介します。
《BLUE Sphere》のPOINT
- WAF/DDoS防御/改ざん検知/DNS監視/サイバー保険がオールインワン
- ドメイン無制限で複数サイトを1つの契約で守る!
- 三井住友海上火災保険「サイバープロテクター」が無償で付帯!
株式会社アイロバが提供する「BLUE Sphere」はクラウド型のセキュリティサービスです。WAF機能以外にDDoS防御や改ざん検知にも対応し、サイバーセキュリティ保険がオプション無しで付帯します。また、登録Webサイト数に制限がないため、複数のWebサイトを運営する企業にとっては、管理の手間やコスト面でメリットが見出だせるでしょう。
《Scutum(スキュータム)》のPOINT
- 自動アップデート、24時間365日フルサポートのおまかせ運用。
- 導入時のサーバー側作業不要。最短1週間程度でサービス開始可。
- 明快な料金体系で、1ヶ月単位でのご利用も可能です。
株式会社セキュアスカイ・テクノロジーが提供している「Scutum(スキュータム)」は、国内シェアNO.1のクラウド型WAFです。小規模なサイトから高トラフィックが求められるサイトまで幅広く適応しています。AIによって誤検知を減らし、防御シグネチャを見直して常に最新のセキュリティ対策を施しています。
《Cloudbric WAF+》のPOINT
- シグネチャーの更新作業が不要なロジックベース攻撃検知サービス
- 独立したWAFサービス環境にて5つのWebセキュリティ対策を提供
- 24時間365日安心の監視体制と専門家による手厚いサポート
「クラウドブリック(Cloudbric)」は、ペンタセキュリティシステムズ株式会社が提供するクラウド型WAFサービスです。独自開発の論理演算検知エンジンを搭載し、既知の攻撃パターンだけでなく新種の攻撃に対する高精度な検知が可能です。世界で15,000件以上の導入実績を誇り、国内でも6,000以上のユーザに支持されています。
《AIONCLOUD WAF》のPOINT
- 運用実績15000台の高機能WAFアプライアンスをクラウドサービス化
- 月4000円から、サイト詰め放題の導入しやすい価格設定
- プロユースでも安心のサイト/URL単位の細やかなポリシー設定
「AIONCLOUD」は株式会社 モニタラップが提供するクラウド型WAFです。世界中の脅威やインシデントを収集しているクラウドプラットフォームと連携しているので、新たな脅威にも迅速に対応します。管理画面はシンプルで簡便性が高く、IT知識がなくても使えるように設計されているので初心者でも安心でしょう。
攻撃遮断くん(株式会社サイバーセキュリティクラウド)
製品・サービスのPOINT
- あらゆる規模のWebシステムへ導入できる最適なWAFを提供。
- DDoS対策プランや定額制プランなど多数のサービスプランを提供。
- 自社開発だからできる手厚いサポート体制。
株式会社サイバーセキュリティクラウドが提供している「攻撃遮断くん」は、手厚いサポートが魅力の国産クラウド型Webセキュリティサービスです。セキュリティエンジニアのコンサルティングレポートが毎月無料で発行されます。そのほか、追加料金不要でサイバー保険が適用になり、万が一のときには最大1,000万円まで補償。DDoS対策ができるプランもあり、最短1ヶ月から利用可能です。
SmartConnect Network & Security
製品・サービスのPOINT
- WAFの機能をクラウド型で提供
- お手頃価格で複雑な管理費から解放
- セキュリティ専門部隊が設定をするから導入もらくらく
「SmartConnect Network & Security」はNTTスマートコネクト株式会社が提供する、公開Webサーバのセキュリティ対策サービスです。導入からインフラ運用、インシデント発生時の対応までセキュリティの専門チームがサポートしてくれるため、迅速な対応が可能で運用負荷も軽減します。人手が不足している企業やコア事業に集中したい企業などにもおすすめです。
《イージス》のPOINT
- 24時間365日稼働・自動アップデートのWAF・IPSを提供
- 他社製品とは異なり、導入先サーバがダウンするリスクがない
- オンプレ・クラウド環境対応で官公庁、上場企業への納品実績多数
株式会社ロケットワークスが提供しているクラウド型WAF「イージス」は、定額制でWAF・IPS機能を使えます。従量課金制と比べると通信量が多い企業におすすめで、官公庁や上場企業、ECサイト事業者などから支持されています。実際にイージスを使用した「サイバー攻撃診断(30日間無料)」を試せるため、効果を体感してから導入したい企業にも適しています。
WAFを選ぶ際、製品について詳しく理解していないと、導入失敗につながることもあります。以下の資料請求ボタンから製品の資料を請求し、まずは製品情報を詳しく確認した上で導入に向けた比較検討を行いましょう。
WAFの選定ポイント
ではここで、WAFの選定ポイントを確認しましょう。選定ポイントを知っておくと、製品と自社とのミスマッチを防げます。
初期費用と運用費用が自社に見合っているか
システム導入というと、初期費用に目がいきがちです。しかし、WAFはクラウド型の製品も多く、月々の料金を払うシステムになっている場合がほとんどです。導入の際には初期費用だけでなく、運用費用と合わせたトータル費用を確認しましょう。ベンダーに見積もりを依頼するのもよいでしょう。
また、自社での導入・運用作業が必要となる場合には、そのための要員を確保できるか、人員コストはどの程度かもあわせて検討しておきましょう。クラウド型WAFの場合、セキュリティベンダーに運用を一任できるためセキュリティ専門スタッフは必要ありません。しかしオンプレミス型の場合は、知識や技術を持った専門スタッフが必要です。
セキュリティ機能と導入目的のバランスがよいか
自社の導入目的を整理したうえで、その目的にあったセキュリティ機能がある製品を選びましょう。なお、WAFの基本機能には以下のようなものがあります。
- ●通信監視、制御機能
- ●シグネチャ自動更新機能
- ●Cookie保護機能
- ●特定URL除外・IPアドレス拒否機能
- ●ログ・レポート機能
なかにはIPS・IDS(不正侵入検知・防御)など、通常のWAFにはない機能を備えた製品もあります。セキュリティ性能の向上という点では魅力的ですが、既に対策済みであったり、自社の運用上必要ない機能を搭載したシステムの利用は、コストの無駄につながりかねません。
一方で、将来的に規模の拡大や運用変更の可能性がある場合は、拡張性を備えた製品を選ぶとよいでしょう。
また、あわせて自社の業態や規模感と類似した企業への導入実績がないかなども、確認しておきましょう。自社と同じような課題を抱えている可能性があり、課題解決へのアプローチや有効性がよりイメージしやすくなります。導入実績が多いほど信頼性も高く、ノウハウの蓄積も期待できるでしょう。
関連記事
watch_later
2020.03.06
WAFの機能一覧!WAFでできることや防げる攻撃も解説
続きを読む ≫
サポート体制は充実しているか
WAF製品を選定する場合は、サポート体制がどの程度充実しているか確認しておきましょう。WAFは運用後にも定期的にチューニングを行い、常に最新の防御態勢にしておく必要があります。
例えばブラックリスト方式という攻撃パターンから判断して不正アクセスを検知する方式や、ホワイトリスト方式という許可した対象以外からのアクセスを排除する方式があります。それぞれ調整内容が異なるので確認が必要です。
これらの調整はスピード・正確性の観点から、専門家が担当することを推奨します。
まだまだある!WAF製品を比較!
上で紹介した以外にもWAF製品は数多くあります。より多く比較することで自社に合う製品が見つかる可能性は高まるでしょう。
FortiWeb
フォーティネットジャパン株式会社が提供する「FortiWeb」は、AIを活用した多層防御型のWAFです。2つの機械学習型エンジンを活用し、OWASPトップ10の脅威やDDoS攻撃にも対応しています。また、攻撃のソースやパターンを分析し、シグネチャは定期的にアップデートされています。
SiteGuard
「SiteGuard」は株式会社ジェイピー・セキュアの提供するソフトウェア型の国産WAF製品で、100万サイト以上での導入実績があります。シンプルな設計で使いやすく、デフォルト設定でも高セキュリティです。システム環境やネットワーク構成に応じて、ホスト型・ゲートウェイ型のどちらかを選択できます。
Clearswift SECURE Web Gateway
Clearswift Ltd.が提供している「Clearswift SECURE Web Gateway」は、高度なフィルタリング機能を備えたWebセキュリティ製品です。Avira、Sophos、Kasperskyのウイルス対策エンジンで脅威の検出を行います。アクセス制御やHTTP/S 暗号化されたトラフィックの内部の精査などを行い、リスクを最小限にします。クラウド、オンプレミスいずれにも対応可能です。
デジサート クラウド型WAF
デジサート・ジャパン合同会社が提供する「デジサート クラウド型WAF」は、年額契約で利用できるWAFです。クラウドでの提供により初期費用を抑えると同時に、チューニング・運用・保守の手間から解放されます。価格は33万9,720円~、1カ月間の無料トライアルも可能です。
Barracuda Web Application Firewall
バラクーダネットワークスジャパン株式会社が提供する「Barracuda Web Application Firewall」は、WAFの国内販売台数シェアNo.1を獲得した経験があるWAFです。ブラックリスト型を採用しシグネチャは30分ごとに更新されるため、比較的早い段階で最新の攻撃にも対応できるようになります。また、プランも幅広くサイトの規模感を問いません。ユーザライセンスや専用マネジメントサーバは不要で、価格は128万5,0000円からです。
WAFの必要性
WAFがなぜ必要なのか、2点に分けて復習しておきましょう。
Webアプリケーションにはセキュリティの弱点がある
Webアプリケーションは企業内でのみ利用されるシステムに比べて攻撃を受けがちです。常にインターネット上に公開されており、外部からのアクセスが容易なためです。
本来であればWebアプリケーションの要件定義・設計・コーディング、それぞれのタイミングでセキュリティ対策を施します。そして、脆弱性のないプログラムを完成させなければなりません。
しかし限られた予算とスケジュールの中で、完全に脆弱性を排除するのは非常にハードルが高いといえます。そのため、セキュリティ対策が不十分なWebアプリケーションも多いのが現状です。
WAFは複数の脅威をブロックできる
WAFを導入すれば、クロスサイトスクリプティングやSQLインジェクションなど、Webアプリケーションの脆弱性を狙ったサイバー攻撃に対応します。
これはファイアウォールやIPS/IDSなどといったWAF以外の製品では防げない領域であるため、アプリケーション側での対策が不十分な場合、WAFは非常に有効なセキュリティ対策といえます。
WAF製品を丁寧に比較し、セキュリティ対策を万全に!
Webアプリケーションは常に外部からの攻撃リスクにさらされています。WAFの導入なしにWebサイトの安全は守れないと言っても過言ではありません。しかし、よく検討せずWAFを導入してしまうと、自社のセキュリティ状況に合わず結果として失敗してしまう可能性があります。
WAF導入の失敗を防ぐために資料請求を通じて、自社の求める条件をクリアしているか製品を比較したうえで導入しましょう。
ログイン
新規会員登録
