WAF製品比較16選！必要性や導入時のポイントをわかりやすく紹介

WAF製品比較！おすすめ15選（２月５日時点）

ここからWAFのおすすめ製品を15種類紹介します。

Imperva社が提供。最新のポリシーやシグネチャーを利用。防御手段と複数のセキュリティエンジンを組み合わせ、Webアプリケーションを外部の攻撃から守ります。

• ■チューニングやカスタマイズを実施
  →自社に最適な環境を実現
• ■高い精度を誇る
  →外部からの攻撃を確実に阻止することが可能
• ■利便性を確保できる
• ■DDos攻撃や不正行為対策に特化したオプション機能あり

【攻撃遮断くん】

株式会社サイバーセキュリティクラウド

• checkあらゆる規模のWebシステムへ導入できる最適なWAFを提供。
• checkDDoS対策プランや定額制プランなど多数のサービスプランを提供。
• check自社開発だからできる手厚いサポート体制。

株式会社サイバーセキュリティクラウドが提供。クラウド型のWebセキュリティサービスです。国内外のセキュリティ情報を収集し、専任のリサーチャーがインシデントの調査を行うため、脆弱性に国内トップクラスのスピードで対応できることが特徴です。

• ■申し込み後１営業日で導入可能
  →簡単かつ導入までに時間がかからない
• ■24時間365日の対応窓口・解説のついた月次レポート提供
  →手厚いサポートが受けられる
• ■公式ホームページ上で無料トライアル受付中
• ■導入実績：5000サイト以上

イージス

株式会社ロケットワークス

• checkWAF・IPS機能＋クラウド監視の高機能を提供。月次報告書を付与
• check30日間無償サイバー攻撃診断が可能。従量課金ではなく定額制です
• check官公庁、上場企業、ECサイト、システムハウス様への納品実績多数

株式会社ロケットワークスが提供。一般的なWAFではカバーしきれなかったDDos攻撃やWEBスキャンアタックにもオールインワンで対応。低コストで広範囲の防御ができる国産セキュリティ製品です。

• ■簡単に導入可能・運用もおまかせ
  →導入 ・運用の負担が軽減される
• ■攻撃時のリアルタイム報告メール・毎月の防御証明報告書付き
• ■プランによってはセキュリティアドバイスも追加可能

株式会社エヌ・ティ・ティピー・シーコミュニケーションズが提供。WAFに加えてIDS/IPSを利用して、24時間365日の有人体制でWebサイトを監視。高度な監視機器を複数の企業で共同利用できる仕組みにより、低価格でサービスを提供します。

• ■トラフィック量・対象となるWebサイト数などの利用規模に応じた料金体系
• ■自社内のオンプレミス環境・他社のクラウド環境も一元的な監視を実現
• ■自動的なアラート検知に専門家が解釈を加えて通知する
  →具体的な状況把握が可能

株式会社モニタラップが提供。簡単な登録とDNSの設定変更だけですぐに無料で開始できるサービスです。Cloud WAFとSITECHECKER（マルウェア検出）の２つの機能を有します。

• ■簡易な設定内容・直観的な画面設計
  →ITの専門知識がなくても簡単に管理可能
• ■月間の使用量が５GB未満で無料
• ■５GB以上は容量に応じた段階的な料金体系
• ■データセンターの中から最適な機器へル―ディング
  →遅延がほとんど発生しない

株式会社ピーエスアイが提供。通常のWAF機能を網羅しつつアンチウィルス・情報漏洩防止・Web改ざん検知など５つの独自機能を追加で搭載。多層防御によりセキュリティ強度を高たシステムです。

• ■アプライアンス版と仮想化ソフトウェア版の２種類を提供
• ■HTTPスループットが100Mbpsから20Gbpsまでの幅広いモデルを準備
• ■死活監視・運用監視・セキュリティ監視をセットにした運用管理サービス
  →サポートが充実している
• ■外部の第三者へアクセス情報が流出するリスクなし

JP-Secure社の提供するソフトウェア型の国産WAF製品です。100万以上のWebサイトで導入実績を持ち、国内利用サイト数でNo.１を誇ります。

• ■オンプレミスやクラウドにも柔軟に対応。
• ■システム要件やネットワーク構成に応じて製品形態を選択可能
• ■フォルトの状態でも高い防御性能を発揮
  →ITの専門知識がなくても安心

cloudbric

ペンタセキュリティシステムズ株式会社

• check独立したWAFサービス環境にてWAF+DDos対策＋SSL証明書を提供
• check従来のシグネチャー型の根源的な弱点から脱却したロジック型WAF
• check豊富なノウハウに基づくお客様に特化したカスタマイズ・サポート

ペンタセキュリティ社が提供するクラウド型WAFサービスです。独自開発の論理演算検知エンジンを搭載し、既知の攻撃パターンだけでなく高精度な新種の攻撃にも対応できます。

• ■世界のセキュリティ専門家が検証した確かな技術力
• ■プログラムのインストールが不要
• ■３ステップだけで簡単に準備完了
• ■トラフィック料とWebサイト数による利用量に応じた料金体系
• ■販売実績：20年間

【Scutum（スキュータム）】

株式会社セキュアスカイ・テクノロジー

• check自動アップデート、24時間365日フルサポートのおまかせ運用。
• check導入時のサーバー側作業不要。最短1週間程度でサービス開始可。
• check明快な料金体系で、1ヶ月単位でのご利用も可能です。

株式会社セキュアスカイ・テクノロジーが提供。国内のクラウド型WAFの中でシェア連続No.１を誇る低価格がポイントのサービスです。小規模なサイトから高トラフィックが求められるサイトまで幅広く対応します。

ホスト追加オプションと組み合わせることでリーズナブルに多数FQDNで利用することも可能です。

• ■リスト型攻撃などのユーザ認証関連の攻撃にも対応
• ■常時セキュリティ対策を最新化
  →新しい脆弱性からも防御
• ■24時間365日フルサポートと自動アップデート
  →運用をおまかせできる

MSS for Imperva Incapsula

SBテクノロジー株式会社

• check24時間365日体制でセキュリティ専門アナリストが監視
• check誤検知の有無や危険度の判断、想定される被害や対策案なども通知
• checkセキュリティログ監視に加えて、WAF 運用の最適化もサポート

ソフトバンク・テクノロジー株式会社が提供。WAFを使っての外部からの攻撃防御とセキュリティ専門家による代行運用クラウドサービスです。

• ■24時間365日の監視を実施
• ■誤検知の有無・危険度の判断に加えて想定される被害や対策案も通知。
• ■専門家によるチューニングとセキュリティレベルの改善活動を実施。
• ■月次レポートには独自のフォーマットを採用
• ■専門家の知見やトレンドを踏まえたコメント付き

Clearswift SECURE Web Gateway

Clearswift Ltd.が提供。アップロード・ダウンロード・掲示板への書込み内容に応じて細かくポリシーを設定することができる情報漏洩対策ソリューションです。

Web経由の情報漏洩対策・URLフィルタリング・ウイルス対策・スパイウェア対策機能をオールインワンで提供し、機密データ漏洩によるリスクを軽減します。

• ■社内からの送信データの厳密な監視・制御機能
  →過失・故意に関わらず漏洩を防止
• ■オプションによってデータ内の重要項目を自動でアスタリスクに変換可能
• ■URLフィルタリング機能は豊富なカテゴリー
  →サイトのアクセス可否を設定可能

Barracuda Web Application Firewall

バラクーダネットワークスジャパン株式会社が提供。一般企業だけでなくECサイト・金融機関・行政・大学などの様々な業種に利用されているWAF製品です。L７ DDos攻撃に対応したり、GeoIPにより国ごと許可やブロックが可能するなどさまざまな機能を有します。

• ■日本語のインターフェースとセットアップガイドつき
  →困ったときも安心
• ■あらゆる規模のサイトに対応できる５つの豊富なモデルを準備
• ■３種の導入方式から選択可

TrustShelter/WAF

NTTテクノクロスが提供。簡単・低コストが特徴のクラウド型WAFサービスです。常時最新の対策を反映した高いセキュリティを実現し、24時間体制での運用サポートを行います。

• ■ギガビットレベルのDDoS攻撃にも対応
  →業務・サービスの停止リスクを低減
• ■セキュリティ専門家によるサポートやマニュアルあり
• ■既存システムのDNS設定を変更するのみ
  →簡単に利用が開始できる
• ■Webサイトの停止不要

シマンテック クラウド型WAF

シマンテックが提供。WAFセンターを経由することでWAFの機能を提供するSaaS/ASP 型の サービスです。クラウド提供により初期費用を抑えると同時にチューニング・運用・保守の手間から解放されます。

• ■新しい攻撃にもスピーディーに対応
• ■１カ月間の無料トライアルが可能。
• ■明瞭で利用しやすい料金体系

SecureSphere Web Application Firewall

IMPERVAが提供。Webアプリケーションの正常な挙動を学習し、常に最新の脅威情報と相関付ける独自機能によりWebサイトを保護します。一見無害で通常の防御スキルではすり抜けてしまうような攻撃にも対処することができます。

• ■相関関係攻撃検証機能
  →業界最高水準の誤検知の低さを実現
• ■柔軟な導入方式
• ■システム状況やセキュリティ・イベントを詳細に表示できる
  →攻撃に対する詳細な分析が可能

WAPPLES

ペンタセキュリティシステムズ株式会社が提供。Webハッキング遮断・情報漏洩防止・不正ログイン防止・Web改ざん防止の４つのソリューションを提供するセキュリティ製品です。独自に開発された論理演算検知エンジンで解析を行いWeb攻撃を遮断します。

• ■頻繁にシグネチャーをアップデートすることなく新種・亜種の攻撃に対応
• ■攻撃が成立するためのロジックを理解し解析
  →誤検知の発生を抑制
• ■環境に応じて導入形態を選択可能

WAFの必要性

次にWAFの必要性について２点に分けて説明します。

Webアプリケーションにはセキュリティの弱点がある

Webアプリケーションは企業内でのみ利用されるシステムに比べて攻撃を受け易いです。常にインターネット上に公開されており、外部からのアクセスが容易なためです。

本来であればWebアプリケーションの要件定義・設計・コーディング、それぞれのタイミングでセキュリティ対策を施します。そして脆弱性のないプログラムを完成させなければなりません。

しかし限られた予算とスケジュールの中で、完全に脆弱性を排除するのは非常にハードルが高いです。そのため、現実的には十分なセキュリティ対策のとられていないWebアプリケーションが多く存在します。

WAFは複数の脅威をブロックできる

WAFを導入すれば、さまざまなサイバー攻撃を防ぐことが可能です。具体的にはクロスサイトスクリプティングやSQLインジェクションなどのWebアプリケーションの脆弱性に対応します。

これはファイアウォールやIPS/IDSなどといったWAF以外の製品では防ぐことのできない領域です。このため、アプリケーション側での対策が不十分な場合、WAFは非常に有効なセキュリティ対策製品と言えます。

WAFの導入時のポイント

実際にWAFを導入する場合、以下のポイントに気を付けましょう。

どのくらい初期費用と運用費用が発生するか

導入の際には運用費用と合わせたトータル費用を確認するようにしましょう。つい初期費用ばかりに目が行きがちですが、効果的に利用し続けるために運用サポートは必須です。

また、自社での導入・運用作業が必要となる場合には、そのための要員を確保できるか・人員コストはどの程度かもあわせて検討しましょう。

セキュリティ強度と導入目的のバランスはどうか

自社の導入目的を整理した上で、その目的にあったセキュリティ強度の製品を選ぶようにしましょう。WAFは外部からの攻撃を遮断しますが、セキュリティ強度を強めすぎると正常なアクセスまでも遮断してしまいます。

これではWebアプリケーションの利便性を損なってしまいねません。また、将来的に規模の拡大や運用変更の可能性がある場合は、拡張性を備えた製品を選ぶことも重要です。

どのくらいサポート体制は充実しているか

WAF製品を選定する場合にはサポート体制がどの程度充実しているかも確認しましょう。WAFは運用後にも定期的にチューニングを行い、常に最新の防御態勢にしておくことが重要です。

例えばブラックリスト方式という攻撃パターンから判断して不正アクセスを検知する方式があります。この場合にはシグネチャの調整が必要になります。

また、ホワイトリスト方式という許可した対象以外からのアクセスを排除する方式があります。この場合であればパラメータの調整が定期的に必要になります。

自社に合ったWAF製品でセキュリティ強度を高めよう

Webアプリケーションは常に外部からの攻撃リスクにさらされています。アプリケーションの脆弱性からデータを守るためにはWAFの導入が必須と言えます。

また、導入に際しては、導入・運用コストだけでなく、セキュリティ強度やベンダーサポートの充実度が十分かも確認すべきです。自社に合ったWAF製品を導入し、セキュリティ強度を高めましょう。