【比較表付き】WAF製品17選を徹底比較！選定ポイントも解説！

比較表で確認！おすすめWAF製品

今回紹介するおすすめのWAF製品を表にまとめましたので、ざっと概要を確認し、気になる製品に目星をつけておきましょう。

ITトレンド編集部厳選WAF製品を比較

では早速、表で確認したITトレンド編集部おすすめのWAF製品を比較していきましょう。

secuWAF

株式会社セキュアイノベーション

add_circle_outline資料請求リストに追加

secuWAF の比較ポイント

• 強力なセキュリティ機能
• 簡易診断を実施
• 高い費用対効果を実現

「secuWAF」は株式会社セキュアイノベーションが提供している、クラウド型Webセキュリティサービスです。Webサイトをさまざまな攻撃から守るCloud WAFと、Webサイトを徹底分析してマルウェアを検出するMALWARE CHECKERによるアクションで、自社のWebサイトを防御します。Webアプリケーション診断専門のエンジニアによる簡易診断を、追加料金不要で実施してくれます。

Webサービスを様々な脅威から守り安心・安全な運用をご提供 secuWAFの価格・機能・レビュー・導入事例

MSS for Imperva Incapsula

SBテクノロジー株式会社

add_circle_outline資料請求リストに追加

MSS for Imperva Incapsula の比較ポイント

• 24時間365日体制でセキュリティ専門アナリストが監視
• 誤検知の有無や危険度の判断、想定される被害や対策案なども通知
• セキュリティログ監視に加えて、WAF 運用の最適化もサポート

「MSS for Imperva Incapsula」は、SBテクノロジー株式会社が提供しているクラウド型WAFです。セキュリティ専門家が24時間365日体制で監視、代行運用も実施しています。DDoS攻撃対策、CDN（トラフィック最適化）にも有効です。専門家によるアラート分析やレポート提供も受けられるため、運用負荷を最小限に抑えたい企業におすすめです。

セキュリティ監視・分析サービス MSS for Imperva Incapsulaの価格・機能・レビュー・導入事例

クラウドブリック(Cloudbric)

ペンタセキュリティシステムズ株式会社

add_circle_outline資料請求リストに追加

クラウドブリック(Cloudbric) の比較ポイント

• シグネチャーの更新作業が不要なロジックベース攻撃検知サービス
• 独立したWAFサービス環境にてWAF+DDos対策＋SSL証明書を提供
• 24時間365日安心の監視体制と専門家による手厚いサポート

「クラウドブリック(Cloudbric)」は、ペンタセキュリティシステムズ株式会社が提供するクラウド型WAFサービスです。独自開発の論理演算検知エンジンを搭載し、既知の攻撃パターンだけでなく新種の攻撃に対しても高精度な検知が可能です。その技術力は世界の専門家にも認められ、全世界15,000以上、国内6,000以上のユーザに支持されています。

高セキュリティでありながら、リーズナブルな価格で導入できることも魅力です。追加料金不要で、WAF・DDoS対策・無償SSL証明書が利用できます。

導入15,000件、Webサイトを守るクラウド型WAF クラウドブリック(Cloudbric)の価格・機能・レビュー・導入事例

CloudCoffer on Cloud

株式会社アリス

add_circle_outline資料請求リストに追加

CloudCoffer on Cloud  の比較ポイント

• 世界最高峰のAIエンジン搭載！ゼロデイ攻撃も検知・遮断！
• 導入前後に脆弱性診断サービスを提供
• DDoS対策付き！

株式会社アリスが提供する「CloudCoffer on Cloud 」は、先進のAIエンジンを搭載したSaaS型クラウドWAFです。米国で理工系の名門カーネギーメロン大学の技術を用いて開発された先進のAIエンジンは高い検知能力を発揮し、ゼロディ攻撃も遮断します。

導入前後に利用できる「脆弱性自動診断ツール」は、基本的なセキュリティリスクスキャンを簡単に実施できるため、サイバーセキュリティ分野の経験が少ない企業担当者にとっても安心です。

未知の攻撃も遮断できる SaaS型クラウドWAF 「 CloudCoffer on Cloud 」の価格・機能・レビュー・導入事例

Scutum（スキュータム）

株式会社セキュアスカイ・テクノロジー

add_circle_outline資料請求リストに追加

Scutum（スキュータム） の比較ポイント

• 自動アップデート、24時間365日フルサポートのおまかせ運用。
• 導入時のサーバー側作業不要。最短1週間程度でサービス開始可。
• 明快な料金体系で、1ヶ月単位でのご利用も可能です。

株式会社セキュアスカイ・テクノロジーが提供している「Scutum（スキュータム）」は、国内のクラウド型WAFの中でシェア連続No.１を誇り、3500以上のサイトで利用されているWAFです。小規模なサイトから高トラフィックが求められるサイトまで幅広く適応しています。

AIによって誤検知を減らし、防御シグネチャを見直して常に最新のセキュリティ対策を施しています。導入に際しては、構成を変えたり、サービスを停止したりすることなく、DNSの切替のみで完了します。最短１ヶ月からの利用も可能です。

一人情シスの味方！ クラウド型WAF「Scutum」 【Scutum（スキュータム）】の価格・機能・レビュー・導入事例

攻撃遮断くん

株式会社サイバーセキュリティクラウド

add_circle_outline資料請求リストに追加

攻撃遮断くん の比較ポイント

• あらゆる規模のWebシステムへ導入できる最適なWAFを提供。
• DDoS対策プランや定額制プランなど多数のサービスプランを提供。
• 自社開発だからできる手厚いサポート体制。

株式会社サイバーセキュリティクラウドが提供している「攻撃遮断くん」は、国産クラウド型Webセキュリティサービスです。セキュリティエンジニアのコンサルティングレポートが毎月無料で発行されます。そのほか、追加料金不要で、サイバー保険が適用になり、万が一のときには最大1000万円まで補償してくれます。DDoS対策ができるプランもあり、最短１ヶ月から利用可能です。

導入社数・導入サイト数 国内No.1のクラウド型WAF 【攻撃遮断くん】の価格・機能・レビュー・導入事例

イージス

株式会社ロケットワークス

add_circle_outline資料請求リストに追加

イージス の比較ポイント

• WAF・IPS機能＋クラウド監視の高機能を提供。月次報告書を付与
• 30日間無償サイバー攻撃診断が可能。従量課金ではなく定額制です
• 官公庁、上場企業、ECサイト、システムハウス様への納品実績多数

株式会社ロケットワークスが提供している「イージス」は、定額制でWAF・IPS機能を使えます。官公庁や上場企業で導入されており、通信量が多い場合におすすめです。クラウド型であるため導入が容易で、追加料金なしで月次の攻撃報告（遮断証明）が発行されます。

実際にイージスを使用した「サイバー攻撃診断（30日間無料）」を試すことができるため、効果を体感してから導入したい企業にもおすすめです。

【NICT暗号技術実績社】ロケットワークスのクラウド型WAF イージスの価格・機能・レビュー・導入事例

株式会社スカイアーチネットワークスが提供する「CyberNEO」は、AIによる精度の高い検出で、日々新しく生み出される攻撃手法に対応します。AIは常に自動更新され、グレーゾーンともいわれる判断が難しい領域でも、適切かつ正確な判断が可能となります。

自社にセキュリティとデータ分析のプロがいない場合でも、専門家のノウハウを取り込んだAIの活用により、高度なセキュリティ運用が可能になるでしょう。

AIONCLOUD

株式会社モニタラップ

add_circle_outline資料請求リストに追加

AIONCLOUD の比較ポイント

• 運用実績15000台の高機能WAF
• 世界レベルの脅威情報共有基盤
• 柔軟でわかりやすい料金体系

「AIONCLOUD」は株式会社モニタラップが提供するクラウド型WAFです。DNSの切替だけで導入が完了し、１日でWebセキュリティを強化できます。メンテナンスは自動的に行われ、シグネチャ更新などは不要です。世界中の脅威やインシデントを収集しているクラウドプラットフォームと連携しているので、新たな脅威にも対応します。

管理画面はシンプルで簡便性が高く、初心者でも安心して使用できます。

4,000円で始められるWebサイトセキュリティサービス！！ AIONCLOUDの価格・機能・レビュー・導入事例

株式会社TTMが提供する「BLUE Sphere」は、WAFとDDoS防御、改ざん検知の機能が１つになったサービスです。多層防御によりブロック力を高め、WAFでは防げないDDoS攻撃にも対応できます。

サイバー保険が付帯するほか、シグネチャの更新やチューニングなど、保守・運用も任せられるので、セキュリティエンジニアは不要です。

業界最安でのWAFサービスを目指す株式会社スホが提供する「Fortify」は、『論理演算検知基盤エンジン』を用いたWAFサービスです。人工知能のようにデータを検知・分析し、必要に応じて攻撃遮断を行います。DDos攻撃遮断などの対策も行えます。

最短１日での導入も可能で、SSL証明書の無償提供やセキュリティ専門家による自社サイトの脆弱性診断（レポート付）なども受けられます。

「SmartConnect Network & Security」はNTTスマートコネクト株式会社が提供する、クラウド型WAFサービスです。セキュリティの専門チームが導入だけでなく、インフラ運用からインシデント発生時の対応までサポートしてくれるため、迅速な対応が可能で運用負荷も軽減します。人手が不足している企業やコア事業に集中したい企業などにもおすすめです。

WAFを選ぶ際、製品について詳しく理解していないと、導入失敗に繋がることもあります。以下の資料請求ボタンから製品の資料を請求し、まずは製品情報を詳しく確認した上で導入に向けた比較検討を行いましょう。

WAFの選定ポイント

ではここで、WAFの選定ポイントを確認しましょう。選定ポイントを知っておくことで、製品と自社とのミスマッチを防ぐことができます。

初期費用と運用費用が自社に見合っているか

導入の際には初期費用だけでなく、運用費用と合わせたトータル費用を確認しましょう。システム導入というと、初期費用に目が行きがちですが、WAFはクラウド型の製品も多く、月々の料金を払うシステムになっている場合がほとんどです。

また、自社での導入・運用作業が必要となる場合には、そのための要員を確保できるか、人員コストはどの程度かもあわせて検討しておきましょう。

セキュリティ機能と導入目的のバランスがよいか

自社の導入目的を整理したうえで、その目的にあったセキュリティ機能がある製品を選ぶことが重要です。IPS・IDSなど、通常のWAFにはない機能を持つ製品もあり、必要ない機能を搭載しているシステムを利用することは、無駄なコスト消費になりかねません。

一方で、将来的に規模の拡大や運用変更の可能性がある場合は、拡張性を備えた製品を選ぶと良いでしょう。

IPS・IDSについては、下の記事で解説していますので参考にしてみてください。

関連記事

watch_later 2020.03.24

IDS・IPS（不正侵入検知・防御）とは？違いや種類・仕組みを徹底解説

続きを読む ≫

サポート体制は充実しているか

WAF製品を選定する場合にはサポート体制がどの程度充実しているか確認しておきましょう。WAFは運用後にも定期的にチューニングを行い、常に最新の防御態勢にしておくことが重要です。

例えばブラックリスト方式という攻撃パターンから判断して不正アクセスを検知する方式や、ホワイトリスト方式という許可した対象以外からのアクセスを排除する方式があり、それぞれ調整内容が異なりますので確認が必要です。

これらの調整はベンダーの専門家が行ったほうが、スピード、正確性ともにベストです。だからこそ、ベンダーのサポート体制が充実しているかどうかはWAF比較の重要なポイントとなるのです。

まだまだある！WAF製品を比較！

上で紹介した以外にもWAF製品は数多くあります。ここでは人気WAF製品を紹介しますので、上の製品と比較検討してみてください。

FortiWeb

• ■AIベースの脅威検知
• ■OWASPトップ10やDDoS攻撃から保護
• ■定期的にシグネチャを更新

フォーティネットジャパン株式会社が提供する「FortiWeb」は、AIを活用した多層防御型のWAFです。２つの機械学習型エンジンを活用し、OWASPトップ10の脅威やDDoS攻撃にも対応しています。また、攻撃のソースやパターンを分析し、シグネチャは定期的にアップデートされています。

SiteGuard

• ■100万サイト以上での導入実績がある国産WAF
• ■システム環境やネットワーク構成に応じて導入可能
• ■デフォルトの状態でも高い防御性能を発揮

「SiteGuard」は株式会社ジェイピー・セキュアの提供するソフトウェア型の国産WAF製品です。シンプルな設計で使いやすく、デフォルト設定でも高セキュリティです。システム環境やネットワーク構成に応じて、ホスト型・ゲートウェイ型のどちらかを選択できます。

Clearswift SECURE Web Gateway

• ■Avira、Sophos、Kasperskyによるウイルス対策
• ■オンラインで共有する情報やアクセスを制御
• ■URLフィルタリング機能によりサイトのアクセス可否を設定可能

Clearswift Ltd.が提供している「Clearswift SECURE Web Gateway」は、高度なフィルタリング機能を備えたWebセキュリティ製品です。脅威を検出し、Webサイトを攻撃から守ります。アクセス制御やHTTP/S 暗号化されたトラフィックの内部の精査などを行い、リスクを最小限にします。

デジサート クラウド型WAF

• ■年額制で明瞭な料金体系
• ■１カ月間の無料トライアルが可能
• ■新しい攻撃にもスピーディーに対応

デジサート・ジャパン合同会社が提供する「デジサート クラウド型WAF」は、年額契約で利用できるWAFです。クラウドでの提供により初期費用を抑えると同時に、チューニング・運用・保守の手間から解放されます。

Barracuda Web Application Firewall

• ■30分ごとに更新されるシグネチャでXSSやSQLインジェクションを防御
• ■低価格で豊富なラインナップ
• ■日本語に対応したインターフェース

バラクーダネットワークスジャパン株式会社が提供する「Barracuda Web Application Firewall」は、WAFの国内販売台数シェアNo.1を獲得した経験があるWAFです。30分ごとに更新されるブラックリスト型を採用することで、比較的早い段階で最新の攻撃にも対応できるようになります。

ここまで、導入形態を区別せずに紹介してきましたが、現在はクラウド型が主流となっており、今後さらにその流れは続くと考えられます。下の記事ではクラウド型に特化して製品を紹介していますので、参考にしてみてください。

関連記事

watch_later 2020.10.08

クラウド型WAFのメリット・デメリットとは？導入前の注意点も解説！

続きを読む ≫

WAFとは？

ここで、WAFについて簡単におさらいします。

WAFとは、「Web Application Firewall」の略で、ファイアウォールの一種です。Webアプリケーションの脆弱性につけこんだ攻撃からWebサイトを保護するセキュリティ対策で、Webサーバーへの不正アクセスを防ぐ役割を果たしています。

関連記事

watch_later 2020.05.08

WAFとは？初心者にもわかりやすく一から徹底解説！

続きを読む ≫

関連記事

watch_later 2020.03.06

WAFの機能一覧！WAFでできることや防げる攻撃も解説

続きを読む ≫

WAFの必要性

では、WAFがなぜ必要なのか、２点に分けて復習しておきましょう。

Webアプリケーションにはセキュリティの弱点がある

Webアプリケーションは企業内でのみ利用されるシステムに比べて攻撃を受けがちです。常にインターネット上に公開されており、外部からのアクセスが容易なためです。

本来であればWebアプリケーションの要件定義・設計・コーディング、それぞれのタイミングでセキュリティ対策を施します。そして、脆弱性のないプログラムを完成させなければなりません。

しかし限られた予算とスケジュールの中で、完全に脆弱性を排除するのは非常にハードルが高いです。そのため、現実的にはセキュリティ対策が不十分なWebアプリケーションが多く存在するのです。

WAFは複数の脅威をブロックできる

WAFを導入すれば、さまざまなサイバー攻撃を防ぐことが可能です。具体的にはクロスサイトスクリプティングやSQLインジェクションなどのWebアプリケーションの脆弱性に対応します。

これはファイアウォールやIPS/IDSなどといったWAF以外の製品では防ぐことのできない領域であるため、アプリケーション側での対策が不十分な場合、WAFは非常に有効なセキュリティ対策になります。

WAFの必要性については下の記事で詳しく解説していますので、参考にしてみてください。

関連記事

watch_later 2020.05.08

WAFの必要性とは？Webアプリケーションの防御に欠かせない理由を解説

続きを読む ≫

WAF製品を丁寧に比較し、セキュリティ対策を万全に！

Webアプリケーションは常に外部からの攻撃リスクにさらされています。WAFの導入なしにWebサイトの安全は守れないと言っても過言ではありません。かといって、よく吟味することなくWAFを導入してしまうと自社のセキュリティ状況に合わず、結果として導入失敗してしまう可能性があります。

これを防ぐため、まずは資料を請求し、それぞれの製品が自社の求める条件をクリアしているか比較したうえで導入するようにしましょう。