おすすめWAF製品を比較表で確認!
今回紹介するおすすめのWAF製品を、2020年間資料請求ランキングの高い順に表にまとめました。どういった製品を選んでいいかわからないという方は、まずは市場シェアや製品の人気度から見てみるのもいいでしょう。
ITトレンド編集部厳選WAF製品を比較
では早速、比較表で紹介したITトレンド編集部おすすめのWAF製品を紹介していきます。
クラウドブリック(Cloudbric) の比較ポイント
- シグネチャーの更新作業が不要なロジックベース攻撃検知サービス
- 独立したWAFサービス環境にてWAF+DDos対策+SSL証明書を提供
- 24時間365日安心の監視体制と専門家による手厚いサポート
「クラウドブリック(Cloudbric)」は、ペンタセキュリティシステムズ株式会社が提供するクラウド型WAFサービスです。独自開発の論理演算検知エンジンを搭載し、既知の攻撃パターンだけでなく新種の攻撃に対しても高精度な検知が可能です。世界で15,000件以上の導入実績を誇り、国内でも6,000以上のユーザに支持されています。
secuWAF の比較ポイント
- 強力なセキュリティ機能
- 簡易診断を実施
- 高い費用対効果を実現
「secuWAF」は株式会社セキュアイノベーションが提供している、クラウド型Webセキュリティサービスです。Webサイトをさまざまな攻撃から守るCloud WAFに加え、Webサイトを徹底分析してマルウェアを検出するMALWARE CHECKER機能も選択できます。専門エンジニアによるWebアプリケーション診断(簡易診断)が、追加料金不要で受けられます。
CloudCoffer on Cloud の比較ポイント
- 世界最高峰のAIエンジン搭載!ゼロデイ攻撃も検知・遮断!
- 追加料金なしで複数サイトの監視が可能!
- DDoS対策付き!
株式会社アリスが提供する「CloudCoffer on Cloud」は、SaaS型クラウドWAFです。理工系の名門である、カーネギーメロン大学の技術を用いて開発された先進のAIエンジンを搭載。ベンチマークテストでも非常に高い検知能力を発揮し、難読化・偽装攻撃、ゼロデイ攻撃も遮断します。
Scutum(スキュータム) の比較ポイント
- 自動アップデート、24時間365日フルサポートのおまかせ運用。
- 導入時のサーバー側作業不要。最短1週間程度でサービス開始可。
- 明快な料金体系で、1ヶ月単位でのご利用も可能です。
株式会社セキュアスカイ・テクノロジーが提供している「Scutum(スキュータム)」は、国内シェアNO.1のクラウド型WAFです。小規模なサイトから高トラフィックが求められるサイトまで幅広く適応しています。AIによって誤検知を減らし、防御シグネチャを見直して常に最新のセキュリティ対策を施しています。
MSS for Imperva Incapsula
MSS for Imperva Incapsula の比較ポイント
- 24時間365日体制でセキュリティ専門アナリストが監視
- 誤検知の有無や危険度の判断、想定される被害や対策案なども通知
- セキュリティログ監視に加えて、WAF 運用の最適化もサポート
「MSS for Imperva Incapsula」は、SBテクノロジー株式会社が提供しているクラウド型WAFです。セキュリティ専門家が24時間365日体制で監視、代行運用も実施しています。DDoS攻撃対策、CDN(トラフィック最適化)にも有効です。専門家によるアラート分析やレポート提供も受けられるため、運用負荷を最小限に抑えたい企業におすすめです。
攻撃遮断くん の比較ポイント
- あらゆる規模のWebシステムへ導入できる最適なWAFを提供。
- DDoS対策プランや定額制プランなど多数のサービスプランを提供。
- 自社開発だからできる手厚いサポート体制。
株式会社サイバーセキュリティクラウドが提供している「攻撃遮断くん」は、手厚いサポートが魅力の国産クラウド型Webセキュリティサービスです。セキュリティエンジニアのコンサルティングレポートが毎月無料で発行されます。そのほか、追加料金不要でサイバー保険が適用になり、万が一のときには最大1,000万円まで補償。DDoS対策ができるプランもあり、最短1ヶ月から利用可能です。
イージス の比較ポイント
- WAF・IPS機能+クラウド監視の高機能を提供。月次報告書を付与
- 30日間無償サイバー攻撃診断が可能。従量課金ではなく定額制です
- 官公庁、上場企業、ECサイト、システムハウス様への納品実績多数
株式会社ロケットワークスが提供しているクラウド型WAF「イージス」は、定額制でWAF・IPS機能を使えます。従量課金制と比べると通信量が多い企業におすすめで、官公庁や上場企業、ECサイト事業者などから支持されています。実際にイージスを使用した「サイバー攻撃診断(30日間無料)」を試せるため、効果を体感してから導入したい企業にも適しています。
AIONCLOUD の比較ポイント
- 運用実績15000台の高機能WAF
- 世界レベルの脅威情報共有基盤
- 柔軟でわかりやすい料金体系
「AIONCLOUD」は株式会社 モニタラップが提供するクラウド型WAFです。世界中の脅威やインシデントを収集しているクラウドプラットフォームと連携しているので、新たな脅威にも迅速に対応します。管理画面はシンプルで簡便性が高く、IT知識がなくても使えるように設計されているので初心者でも安心でしょう。
「SmartConnect Network & Security」はNTTスマートコネクト株式会社が提供する、公開Webサーバのセキュリティ対策サービスです。導入からインフラ運用、インシデント発生時の対応までセキュリティの専門チームがサポートしてくれるため、迅速な対応が可能で運用負荷も軽減します。人手が不足している企業やコア事業に集中したい企業などにもおすすめです。
攻撃遮断くん の比較ポイント
- 専門知識や技術者いらずでサーバ停止も不要の簡単導入
- 最新セキュリティを自動でアップデート
- 詳細な分析レポートで攻撃の可視化が可能
株式会社 USEN ICT Solutions提供のクラウド型WAFサービス「攻撃遮断くん」は、安全なサーバ運用やWEBサイト運用を目的としたプランに加え、専用のWAFセンターを構築するオリジナルプランがあります。SQLインジェクションやクロスサイトスクリプティングといった攻撃に対応するほか、Webサイトの改ざんを検知する機能もオプションとして選択可能です。
BLUE Sphere の比較ポイント
- WAF/DDoS防御/改ざん検知/DNS監視/サイバー保険がオールインワン
- ドメイン無制限で複数サイトを1つの契約で守る!
- 三井住友海上火災保険「サイバープロテクター」が無償で付帯!
株式会社アイロバが提供する「BLUE Sphere」はクラウド型のセキュリティサービスです。WAF機能以外にDDoS防御や改ざん検知にも対応し、サイバーセキュリティ保険がオプション無しで付帯します。また、登録Webサイト数に制限がないため、複数のWebサイトを運営する企業にとっては、管理の手間やコスト面でメリットが見出だせるでしょう。
アクセリア株式会社が提供する「CDN square」は、WAFやDDoS対策機能を備えたクラウド型のCDN(コンテンツデリバリーネットワーク)サービスです。安定した落ちない配信の実現と、セキュリティの強化を同時に叶えます。プランによってはファイアウォールやボット管理、SSL/TLSも実装しており、多機能です。
株式会社スカイアーチネットワークスが提供する「CyberNEO」は、AIによる精度の高い検出で、日々新しく生み出される攻撃手法に対応します。AIは常に自動更新され、グレーゾーンともいわれる判断が難しい領域でも、適切かつ正確な判断が可能となります。
自社にセキュリティとデータ分析のプロがいない場合でも、専門家のノウハウを取り込んだAIの活用により、高度なセキュリティ運用が可能になるでしょう。
株式会社TTMが提供する「BLUE Sphere」は、WAFとDDoS防御、改ざん検知の機能が1つになったサービスです。多層防御によりブロック力を高め、WAFでは防げないDDoS攻撃にも対応できます。
サイバー保険が付帯するほか、シグネチャの更新やチューニングなど、保守・運用も任せられるので、セキュリティエンジニアは不要です。
業界最安でのWAFサービスを目指す株式会社スホが提供する「Fortify」は、『論理演算検知基盤エンジン』を用いたWAFサービスです。人工知能のようにデータを検知・分析し、必要に応じて攻撃遮断を行います。DDos攻撃遮断などの対策も行えます。
最短1日での導入も可能で、SSL証明書の無償提供やセキュリティ専門家による自社サイトの脆弱性診断(レポート付)なども受けられます。
WAFを選ぶ際、製品について詳しく理解していないと、導入失敗につながることもあります。以下の資料請求ボタンから製品の資料を請求し、まずは製品情報を詳しく確認した上で導入に向けた比較検討を行いましょう。
WAF(Web Application Firewall) の製品を調べて比較
製品をまとめて資料請求!
資料請求フォームはこちら
WAFの選定ポイント
ではここで、WAFの選定ポイントを確認しましょう。選定ポイントを知っておくと、製品と自社とのミスマッチを防げます。
初期費用と運用費用が自社に見合っているか
システム導入というと、初期費用に目がいきがちですが、WAFはクラウド型の製品も多く、月々の料金を払うシステムになっている場合がほとんどです。導入の際には初期費用だけでなく、運用費用と合わせたトータル費用を確認しましょう。ベンダーに見積もりを依頼するのも良いでしょう。
また、自社での導入・運用作業が必要となる場合には、そのための要員を確保できるか、人員コストはどの程度かもあわせて検討しておきましょう。クラウド型WAFの場合、セキュリティベンダーに運用を一任できるためセキュリティ専門スタッフは必要ありませんが、オンプレミス型の場合は、知識や技術を持った専門スタッフが必要となります。
セキュリティ機能と導入目的のバランスがよいか
自社の導入目的を整理したうえで、その目的にあったセキュリティ機能がある製品を選びましょう。なお、WAFの基本機能には以下のようなものがあります。
- ●通信監視、制御機能
- ●シグネチャ自動更新機能
- ●Cookie保護機能
- ●特定URL除外・IPアドレス拒否機能
- ●ログ・レポート機能
なかにはIPS・IDS(不正侵入検知・防御)など、通常のWAFにはない機能を備えた製品もあります。セキュリティ性能の向上という点では魅力的ですが、既に対策済みであったり、自社の運用上必要ない機能を搭載したシステムを利用することは、無駄なコスト消費になりかねませんので注意しましょう。
一方で、将来的に規模の拡大や運用変更の可能性がある場合は、拡張性を備えた製品を選ぶと良いでしょう。
また、あわせて自社の業態や規模感と類似した企業への導入実績がないかなども、確認しておきましょう。自社と同じような課題を抱えている可能性があり、課題解決へのアプローチや有効性がよりイメージしやすくなります。導入実績が多ければ多いほど、ノウハウの蓄積が期待でき、信頼性も高いでしょう。
関連記事
watch_later
2020.03.06
WAFの機能一覧!WAFでできることや防げる攻撃も解説
続きを読む ≫
サポート体制は充実しているか
WAF製品を選定する場合にはサポート体制がどの程度充実しているか確認しておきましょう。WAFは運用後にも定期的にチューニングを行い、常に最新の防御態勢にしておく必要があります。
例えばブラックリスト方式という攻撃パターンから判断して不正アクセスを検知する方式や、ホワイトリスト方式という許可した対象以外からのアクセスを排除する方式があります。それぞれ調整内容が異なりますので確認が必要です。
これらの調整はベンダーの専門家が行ったほうが、スピード、正確性ともにベストです。だからこそ、ベンダーのサポート体制が充実しているかどうかはWAF比較の重要なポイントとなるのです。
まだまだある!WAF製品を比較!
上で紹介した以外にもWAF製品は数多くあります。より多く比較したほうが自社にフィットする製品が見つかる可能性は高まりますので、あわせてチェックしてみてください。
FortiWeb
フォーティネットジャパン株式会社が提供する「FortiWeb」は、AIを活用した多層防御型のWAFです。2つの機械学習型エンジンを活用し、OWASPトップ10の脅威やDDoS攻撃にも対応しています。また、攻撃のソースやパターンを分析し、シグネチャは定期的にアップデートされています。
SiteGuard
「SiteGuard」は株式会社ジェイピー・セキュアの提供するソフトウェア型の国産WAF製品で、100万サイト以上での導入実績があります。シンプルな設計で使いやすく、デフォルト設定でも高セキュリティです。システム環境やネットワーク構成に応じて、ホスト型・ゲートウェイ型のどちらかを選択できます。
Clearswift SECURE Web Gateway
Clearswift Ltd.が提供している「Clearswift SECURE Web Gateway」は、高度なフィルタリング機能を備えたWebセキュリティ製品です。Avira、Sophos、Kasperskyのウイルス対策エンジンで脅威の検出を行います。アクセス制御やHTTP/S 暗号化されたトラフィックの内部の精査などを行い、リスクを最小限にします。クラウド、オンプレミスいずれにも対応可能です。
デジサート クラウド型WAF
デジサート・ジャパン合同会社が提供する「デジサート クラウド型WAF」は、年額契約で利用できるWAFです。クラウドでの提供により初期費用を抑えると同時に、チューニング・運用・保守の手間から解放されます。価格は33万9,720円~、1カ月間の無料トライアルも可能です。
Barracuda Web Application Firewall
バラクーダネットワークスジャパン株式会社が提供する「Barracuda Web Application Firewall」は、WAFの国内販売台数シェアNo.1を獲得した経験があるWAFです。ブラックリスト型を採用しシグネチャは30分ごとに更新されるため、比較的早い段階で最新の攻撃にも対応できるようになります。また、プランも幅広くサイトの規模感を問いません。ユーザライセンスや専用マネジメントサーバは不要で、価格は128万5,0000円からです。
WAFとは?
ここで、WAFについて簡単におさらいします。
WAFとは、「Web Application Firewall」の略で、ファイアウォールの一種です。WAFとファイアウォールの違いは、ファイアウォールが内部ネットワークを防御対象とするのに対し、WAFはWebアプリケーションを対象とする点です。
WAFはWebアプリケーションの脆弱性につけこんだ攻撃からWebサイトを保護するセキュリティ対策で、Webサーバーへの不正アクセスを防ぐ役割を果たしています。
関連記事
watch_later
2021.03.19
「WAFとは?」初心者にもわかりやすく一から徹底解説!
続きを読む ≫
WAFの必要性
では、WAFがなぜ必要なのか、2点に分けて復習しておきましょう。
Webアプリケーションにはセキュリティの弱点がある
Webアプリケーションは企業内でのみ利用されるシステムに比べて攻撃を受けがちです。常にインターネット上に公開されており、外部からのアクセスが容易なためです。
本来であればWebアプリケーションの要件定義・設計・コーディング、それぞれのタイミングでセキュリティ対策を施します。そして、脆弱性のないプログラムを完成させなければなりません。
しかし限られた予算とスケジュールの中で、完全に脆弱性を排除するのは非常にハードルが高いです。そのため、現実的にはセキュリティ対策が不十分なWebアプリケーションが多く存在するのです。
WAFは複数の脅威をブロックできる
WAFを導入すれば、クロスサイトスクリプティングやSQLインジェクションなど、Webアプリケーションの脆弱性を狙ったサイバー攻撃に対応します。
これはファイアウォールやIPS/IDSなどといったWAF以外の製品では防げない領域であるため、アプリケーション側での対策が不十分な場合、WAFは非常に有効なセキュリティ対策になります。
WAF製品を丁寧に比較し、セキュリティ対策を万全に!
Webアプリケーションは常に外部からの攻撃リスクにさらされています。WAFの導入なしにWebサイトの安全は守れないと言っても過言ではありません。かといって、よく検討せずにWAFを導入してしまうと、自社のセキュリティ状況に合わず結果として失敗してしまう可能性があります。
これを防ぐため、まずは資料を請求し、それぞれの製品が自社の求める条件をクリアしているか比較したうえで導入するようにしましょう。