小規模サイト・中小企業向けのWAF選定
月間数万PV程度のコーポレートサイトや小規模なECサイトでは、導入コストの低さと運用の手軽さが最優先の選定基準になります。専任のセキュリティ担当者がいない組織でも使えるかどうかが重要です。
低コストで始められるクラウド型WAFの活用
小規模サイトに向いているのは、月額数千円~数万円から始められるクラウド型WAFです。クラウド型は自社にサーバーを用意する必要がなく、DNSの設定を変更するだけで導入できる製品もあります。IT担当者が兼任であっても運用を続けやすい点が特徴です。
ただし、安価なプランでは防御できる攻撃パターンの種類や検知精度に差がある場合があります。SQLインジェクション(Webアプリケーションの脆弱性を利用してデータベースを不正操作する攻撃)やクロスサイトスクリプティング(XSS)など主要な攻撃への対応が含まれているかを確認することが重要です。無料トライアルを活用して実際の防御動作を試してからプランを選ぶことをお勧めします。
複数ドメインを一括管理するWAFの選び方
30サイト・50サイトと複数ドメインを運営している企業では、サイトごとに個別のWAFを契約するよりも、FQDN(完全修飾ドメイン名)無制限または複数ドメインをまとめて管理できるプランを選ぶほうが、コストと管理工数を抑えることができます。
複数サイトを一つの管理コンソールで一括設定・監視できる製品を選ぶと、セキュリティポリシーの統一が容易になります。サイトごとにチューニングが必要な場合でも、個別設定と一括設定を使い分けられるシステムが便利です。ドメイン数が増えるにつれて費用がどう変わるかをベンダーに確認し、将来の拡張コストも含めて比較検討することをお勧めします。
中堅~大規模サイト運営会社に必要な機能
100サイト規模のWebメディアや月間数百万~数千万PVを超えるサービスでは、WAFのパフォーマンスと管理の統合性が重要な評価基準になります。
100サイト規模での全サイトのセキュリティ統一管理
100サイト以上を運営するメディア企業では、全サイトでWAFの設定レベルを統一することが内部統制の観点から重要です。特定のサイトだけセキュリティが手薄になる「抜け」を防ぐために、ポリシーの一元適用ができる製品を選ぶことが必要です。
サイトの追加・削除・設定変更をAPIで自動化できる製品があると、DevOpsやCI/CDパイプラインと連携してサイトの立ち上げと同時にWAFを有効化する仕組みを構築できます。運用担当者の作業量が多い場合は、ルール更新や誤検知(正常なリクエストを攻撃と誤って遮断すること)の対応を自動化・半自動化できるマネージドWAFサービスの利用も選択肢の一つです。
大規模トラフィック環境での遅延対策
月間1億PVを超えるような大規模Webサービスでは、WAFがすべてのリクエストを検査することによるレイテンシ(遅延)の増加が課題になります。WAFの処理が遅いと、ユーザー体験の悪化やサービスの応答遅延につながります。処理性能(スループット)と検査による遅延増加の目安をベンダーに確認することが重要です。
CDN(コンテンツデリバリーネットワーク)と統合されたクラウドWAFを選ぶと、エッジ(ユーザーに近い拠点)で攻撃を遮断しながらコンテンツを高速配信できます。大規模環境での導入実績と実測の遅延データをベンダーに提示してもらい、自社のトラフィック規模に対応できるかを評価してから選定することをお勧めします。
大企業・上場企業のガバナンス要件とWAF
上場企業やエンタープライズ規模の組織では、WAFの選定にセキュリティ性能だけでなく、内部統制・監査対応・グループ全体のガバナンスといった観点が加わります。
上場企業が求めるガバナンスとログ管理
上場企業では、WAFによる攻撃検知・遮断のログを適切に保管し、定期的なセキュリティ監査に提出できる体制が求められます。WAFのログを長期間保管できるか、SIEMツール(セキュリティ情報イベント管理システム)と連携してログを分析できるかを確認することが重要です。
外部の第三者機関によるセキュリティ審査や、PCI DSS(クレジットカード情報の保護に関する国際的なセキュリティ基準)などのコンプライアンス要件に対応した製品かどうかも評価基準になります。法務・コンプライアンス部門とIT部門が連携してWAFの選定基準を策定し、ベンダーに書面での確認を求めることをお勧めします。
グループ会社全体のWAFを統合管理する仕組み
グループ会社ごとにバラバラにWAFを導入している場合、親会社がグループ全体のセキュリティ状況を把握できない問題が生じます。本社の管理コンソールからグループ各社のWAFの稼働状況・攻撃ログ・設定を一括確認できる統合管理機能があると、グループ全体のセキュリティガバナンスを強化できます。
グループ会社ごとに異なるセキュリティポリシーを設定しながら、本社が全体を監視できるマルチテナント管理に対応した製品を選ぶことが重要です。グループの新会社を追加する際にWAFの設定を素早く展開できる仕組みがあるかどうかも、管理コストに影響します。グループ全体への展開計画とあわせてベンダーに提案を依頼することをお勧めします。
データセンター・エンタープライズ向けの選択肢
大規模なデータセンター環境や超高スループットが求められるエンタープライズ環境では、アプライアンス型(専用ハードウェア)WAFが選択肢になります。クラウド型とは異なる評価基準を持つことが重要です。
アプライアンス型WAFのメリットと選定ポイント
アプライアンス型WAFは、専用ハードウェアにWAFソフトウェアを搭載したシステムです。社内ネットワーク内にすべてのトラフィックを閉じて処理できるため、外部サービスへのデータ送信が難しい業種や、極めて低い遅延が求められる環境に適しています。
アプライアンス型を選ぶ際は、処理スループット(毎秒処理できるデータ量)と対応セッション数が自社のトラフィックピーク時に対応できるかを確認することが重要です。ハードウェアの拡張性(増設・スケールアウトの容易さ)と、数年後のリプレース計画もあわせて検討しておきましょう。クラウド型と比べると初期投資が大きくなるため、総所有コスト(TCO)で比較することをお勧めします。
クラウド型とアプライアンス型のハイブリッド構成
インターネット向けのWebサービスにはクラウド型WAFを使い、社内向けシステムや機密性の高いサービスにはオンプレミスのアプライアンス型を使うという、ハイブリッドな構成を取る組織も増えています。用途に応じてWAFを使い分けることで、コストとセキュリティのバランスを最適化できます。
複数のWAFを導入する場合、管理コンソールが統合されているか、ログの集約分析ができるかがポイントです。セキュリティインシデントが発生した際に、どのWAFで何が起きたかを素早く把握できる仕組みを整えておくことが重要です。ハイブリッド構成のメリットとデメリットをベンダーと技術的に詳細に議論してから設計を決定することをお勧めします。
企業規模に合ったWAFを比較する
小規模サイトから大規模環境まで幅広い規模に対応したWAFを紹介します。自社の規模と要件に合った製品を選定しましょう。
攻撃遮断くん(株式会社サイバーセキュリティクラウド)
- あらゆる規模のWebシステムへ導入できる最適なWAFを提供。
- DDoS対策プランや定額制プランなど多数のサービスプランを提供。
- 自社開発だからできる手厚いサポート体制。
攻撃遮断くん(株式会社サイバーセキュリティクラウド)は、クラウド型のWebセキュリティサービスです。Webサイトへの不正アクセスや攻撃を自動で検知・遮断する機能を持ち、さまざまな規模のサイトに対応しています。詳細は公式資料でご確認ください。
PrimeWAF
- 低コストで導入できるクラウド型WAF
- カンタン設定ですぐにセキュリティ対策を開始
- 初めてでも安心のサポート体制
PrimeWAFは、クラウド型のWebアプリケーションファイアウォールです。複数サイトの管理や不正アクセス対策に対応しており、規模に合わせた導入が可能です。詳細は資料請求でご確認ください。
Cloudbric WAF+
- 特許取得のロジック&AIエンジンを搭載、高い攻撃検知力
- WAF/DDoS攻撃遮断/API保護/ボット対策/Malicious IP遮断
- 24時間365日監視体制と専門家にお任せのマネージドサービス付帯
Cloudbric WAF+は、AIを活用した攻撃検知機能を持つクラウド型WAFです。Webサイトへの攻撃を自動で検知・遮断する機能と、管理コンソールでの一元管理に対応しています。詳細は資料請求でご確認ください。
WafCharm (株式会社サイバーセキュリティクラウド)
- AWS WAF連携の専門性と認定。
- 24時間365日日本語サポートで対応
- 世界で1,000ユーザー以上の導入実績あり
Cloudflareアプリケーションサービス (クラウドフレア・ジャパン株式会社)
- Webアプリ、API、エッジの推論を保護・高速化
- Webアプリ、API、エッジでの推論を保護し、高速化
- サーバレス開発とエッジ推論でフルスタックアプリをデプロイ
ITトレンドでは、最新の製品・サービスを多数比較・掲載しています。まず資料を取り寄せて機能や特徴をさまざまな製品を比較してみてください。忙しい業務時間内でも、各社に問い合わせる手間なく、たった1回の入力(約60秒)でWAFの一括資料請求が可能です。浮いた時間で、じっくりと製品を比較検討し進めましょう。
WAFの企業規模別選定に関するFAQ
企業規模別の選定についてよくある質問と回答をまとめました。
- ■Q1:小規模サイトにWAFは本当に必要ですか?
- サイトの規模に関わらず、公開しているWebサイトは攻撃のターゲットになる可能性があります。特に個人情報を扱うフォームがある場合は、小規模でもWAFの導入を検討することをお勧めします。低コストで始められるクラウド型から試してみるとよいでしょう。
- ■Q2:複数ドメインを管理する場合、何を基準に選べばよいですか?
- ドメイン数に応じた料金体系(FQDN無制限か従量課金か)と、一括管理コンソールの使いやすさが主な選定基準です。将来のドメイン数増加を見越したコスト試算をベンダーに依頼することをお勧めします。
- ■Q3:アプライアンス型とクラウド型はどちらが安全ですか?
- どちらが安全かは環境によって異なります。クラウド型は最新の攻撃パターンへの対応が速い特徴があり、アプライアンス型は社内ネットワークにトラフィックを閉じられる利点があります。自社の要件に合わせて選ぶことが重要です。
まとめ
WAFの選び方は企業規模によって大きく異なります。小規模サイトには手軽なクラウド型、複数ドメイン運営には一括管理機能、大規模トラフィック環境には低遅延処理、上場企業にはログ管理とガバナンス対応、データセンター環境にはアプライアンス型が適しています。自社の規模と課題を整理したうえで、資料請求を活用して複数製品を比較してみてください。
