WAF(Web Application Firewall)とは、サイバー攻撃からWebアプリケーションを守る役割を担うセキュリティ製品です。この記事では、WAF製品を徹底比較するとともに、WAFの必要性や製品選択のポイントについて解説します。

資料請求をする(無料)≫

※外部の資料請求サイト『ITトレンド』へ遷移します。

WAFとは

WAFは、Webアプリケーションを守る役割を担うソフトウェアです。よく比較されるファイアウォールやIPSとは、防御する層が以下のように異なります。

  • WAF:公開WebサーバーのWebアプリケーション
  • ファイアウォール:インフラ・ネットワーク
  • IPS:ソフトウェア・サーバーOS
  • セキュリティ対策ソフト:クライアント端末のOS

WAFの防御範囲は他のセキュリティ製品とは異なるため、より手厚いセキュリティ対策には欠かせません。

WAFの提供形態は、現在主流のクラウド型WAF、アプライアンス型WAF(ハードウェア組み込み型)、パッケージソフト型WAF(サーバーにインストールして使用)の3種類があります。これからご紹介する製品はいずれもクラウド型WAFで、手軽に導入できるため運用の手間がかかりません。

令和3年3月4日に警察庁が発表した広報資料「令和2年におけるサイバー空間をめぐる脅威の情勢等について」によると、「サイバー攻撃・サイバー犯罪はその手口を深刻化・巧妙化させつつ国内外で多数発生しており、サイバー空間における脅威は、極めて深刻な情勢となっている」といいます。また、同年のサイバー犯罪の警察による検挙件数も過去最多であったと発表されています。

大企業でないから標的にされることもないだろう、と考えている中小企業の方もいらっしゃるかもしれませんが、もはや企業規模は関係なくどの企業でもサイバー攻撃にあう可能性はあると考えておいたほうがよいでしょう。企業は自社の信頼を失わないためにも強固なセキュリティ対策を行っていく必要があります。

引用:「令和2年におけるサイバー空間をめぐる脅威の情勢等について」警察庁ウェブサイト https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_kami_cyber_jousei.pdf

WAFの基本機能

WAFは、以下の機能を組み合わせることで、SQLインジェクションなど様々なサイバー攻撃からWebアプリケーションを守ります。

機能名 機能概要
シグネチャ更新 攻撃パターン(シグネチャ)をチェックして攻撃遮断
パラメータ検査 ホワイトリスト(正しい仕様)に照らしてパラメータを検査
クッキー暗号化 クッキーを読み取れなくしてセッションハイジャックを防御
セッション管理 Webセッションの開始から終了までの一連の流れを管理
クローキング 検索エンジンや閲覧者に対して異なるコンテンツを表示

その他にも、最新技術により新たな攻撃に対応する機能が開発されています。各WAF製品は、新しい機能を取り込みながら日々進化するサイバー攻撃に対応しています。

WAF13製品を徹底比較!

管理画面でサイバー攻撃をリアルタイムに確認「攻撃遮断くん」
株式会社サイバーセキュリティクラウド

POINT
  • 参考価格:別途問い合わせ
  • 提供形態:サービス / クラウド / SaaS
  • 従業員規模:全ての規模に対応
  • 売上規模:全ての規模に対応

クラウド型の国産WAFサービス「攻撃遮断くん」。エージェントを防御対象のWebサーバーにインストールする「エージェント連動型」と、DDoS攻撃にも対応する「DNS切り替え型」が用意されています。

クラウド型なので導入や運用の手間もかからず、24時間365日Webアプリケーションに対するサイバー攻撃を守り続けます。1契約で1つのWebサイトから多数のWebサイトまで対応可能です。

また、サイバー攻撃の状況をタイムリーに確認できる管理画面も提供。サイバー攻撃の傾向を確認するのに役立ちます。


自動更新で常に最新の防御態勢&高い拡張性「Scutum(スキュータム)」
株式会社セキュアスカイ・テクノロジー

POINT
  • 参考価格:(ピーク時トラフィック500kbpsまででホスト追加不可の場合)初期費用98,000円、月額29,800円 ~、最低利用期間1カ月
  • 提供形態:クラウド / SaaS / サービス
  • 従業員規模:全ての規模に対応
  • 売上規模:全ての規模に対応

「Scutum」は、導入までには1週間程度、運用はお任せと手間をかけずに利用できるクラウド型のWAF製品です。シグネチャーの自動更新やWebアプリケーションの脆弱性にも素早く対応し、利用者側が意識することなく常に最新の防御体制が整えられています。サポートは24時間365日対応と、何かあった場合も安心です。

また、拡張性の高さも本製品の特徴です。将来ホストを追加する場合の料金プランや、高トラフィックオプション、DDoS攻撃オプションなども用意されています。拡張性の高さを重視する場合は、ぜひ検討したい製品です。


AIエンジン搭載でゼロディ攻撃もシャットアウト「CloudCoffer on Cloud」
株式会社アリス

POINT
  • 参考価格:(5MbpsAプラン)初期費用98,000円、月額58,000円 ~
  • 提供形態:SaaS
  • 従業員規模:全ての規模に対応
  • 売上規模:全ての規模に対応

SaaS型WAFサービスで高度なAIエンジンを搭載している「CloudCoffer on Cloud」。本製品の大きな特徴は、高度なサイバー攻撃(ゼロディ攻撃・難読化攻撃・バックドア攻撃・組み合わせ攻撃)に対応している点です。

他社製品ではオプションになっていることも多いDDoS攻撃対応も標準機能に入っています。クラウドサービスであり、ユーザ側の作業はDNS設定とSSL証明書のアップロードのみと、導入時の負担が少ない点も魅力です。


論理演算検知基盤エンジンが判断・検知・分析「Fortify」
株式会社スホ

POINT
  • 参考価格:初期費用25,000円(他社WAF製品から乗り換える場合は免除)、月額料金は別途問い合わせ
  • 提供形態:サービス / SaaS
  • 従業員規模:全ての規模に対応
  • 売上規模:全ての規模に対応

「Fortify」は、SaaS型のWAFサービスです。WAFの機能だけでなく、セキュリティ管理者が直接WAFを管理するような、きめ細やかなWeb攻撃遮断サービスを提供しています。高度な論理演算検知基盤エンジンを搭載しているため、人工知能に似た働きで受信データがサイバー攻撃かどうかを判断して遮断できます。

他社では別途料金がかかることもあるレポート付のWebサイト脆弱性診断、SSL証明書、DDoS対策は全て無料です。ほかにも他社WAF製品から乗り換える場合は初期費用が免除されるなど、サービス面が充実している点も特徴の1つです。


セキュリティ専門家の知見とAIで精度の高い攻撃検知「CyberNEO」
株式会社スカイアーチネットワークス

POINT
  • 参考価格:月額50,000円(ウェブリクエスト件数1,000万件まで)~
  • 提供形態:クラウド / サービス
  • 従業員規模:全ての規模に対応
  • 売上規模:全ての規模に対応

「CyberNEO」は、最新のサイバー攻撃に対して常に専門家の知見を取り入れた対応を行うクラウド型のWAFサービスです。

定期的に攻撃データの傾向を見直して対策を反映しますが、反映前には必ず性能評価も実施。そのため、安定した性能を保ちつつ最新の攻撃傾向に対応し、より正確はサイバー攻撃の検知と遮断を行います。

料金体系はウェブリクエスト件数で変化する方式を採用。スタンダードはウェブリクエスト件数1,000万件まで、アドバンスは1億件までです。上限を超えた場合は追加料金がかかります。


クラウド型WAFの中でも特にリーズナブル「secuWAF」
株式会社セキュアイノベーション

POINT
  • 参考価格:10GBプラン月額10,000円~、100GBプラン月額45,000円など
  • 提供形態:クラウド
  • 従業員規模:全ての規模に対応
  • 売上規模:全ての規模に対応

「secuWAF」は、月額10,000円から利用できるクラウド型WAF製品です。従量課金方式なので、毎月最適な料金で利用できます。Webアプリケーション診断専門のエンジニアが実施する簡易診断も無料で受けられます。

オプションでは、MALWARE CHECKERによるマルウェア検出や、詳細Webアプリケーション診断を提供。また、カスタマイズの相談も可能です。

WAFにあまりコストをかけられないが導入してみたいという場合に、他製品と比較検討してみたい製品です。


ロジックベースの検知エンジンで様々な攻撃を遮断「クラウドブリック(Cloudbric)」
ペンタセキュリティシステムズ株式会社

POINT
  • 参考価格:別途問い合わせ
  • 提供形態:サービス / クラウド / SaaS
  • 従業員規模:全ての規模に対応
  • 売上規模:全ての規模に対応

「クラウドブリック」は、シグネチャーを使わない、ロジックベースの検知エンジンを搭載したクラウド型のWAFサービスです。5カ国で特許取得済みの検知エンジンは、Web攻撃特性をリアルタイムで分析。新種・亜種の攻撃パターンを見抜いて迅速に対応します。

クラウド型ですが、ユーザごとに独立したサービス環境を用意するため、独自のセキュリティポリシーを用いることも可能です。管理画面からは、簡単なユーザ設定も行えます。


資料請求をする(無料)≫

※外部の資料請求サイト『ITトレンド』へ遷移します。

WAF+DDoS攻撃+CDNを備えたセキュリティサービス「MSS for Imperva Incapsula」
SBテクノロジー株式会社

POINT
  • 参考価格:別途問い合わせ
  • 提供形態:サービス / クラウド
  • 従業員規模:500名以上
  • 売上規模:全ての規模に対応

「MSS for Imperva Incapsula」は、WAF製品「Imperva Incapsula」に加えて、DDoS 攻撃対策やCDN(トラフィック最適化)などのサービスも、包括的に提供するクラウド型のセキュリティサービスです。

Webアプリケーション側は何も追加修正する必要なく導入できます。さらに、セキュリティ専門アナリストが運用監視を行うため、自社リソースを割くことなく高レベルの運用監視が可能です。サイバー攻撃の一次連絡やチューニング作業も代行してもらえます。

WAFだけでなく、Webサイトに対する総合的なセキュリティ対策を一括して任せたいと考えている場合は、ぜひ検討してみてください。


基本サービスでDDoS防御・改ざん検知などにも対応「BLUE Sphere」
株式会社アイロバ

POINT
  • 参考価格:初期費用100,000円、月額45,000円~154,000円(平均トラフィックにより変動)
  • 提供形態:クラウド / SaaS / サービス
  • 従業員規模:全ての規模に対応
  • 売上規模:全ての規模に対応

「BLUE Sphere」は、シンプルな価格体系で、1契約でWebサイトを無制限に登録でき、クラウド型WAF以外にも様々なセキュリティ機能を備えたサービスです。WAF以外には、DDoS防御・改ざん検知・DNSハイジャックに対応しています。

WAFには論理基盤型の検知エンジンを搭載し、ゼロディ攻撃にも備えられます。サイバーセキュリティ保険の無償付帯やSSL証明書の無償発行もあり、これらのコストを抑えられる点もメリットの1つです。


世界中の脅威情報を連携&選択できる価格体系「AIONCLOUD」
株式会社モニタラップ

POINT
  • 参考価格:(月間トラフィック量課金の場合)初期費用0円、月額4,000円~、(帯域保証課金の場合)初期費用50,000円、月額90,000円~
  • 提供形態:クラウド / サービス
  • 従業員規模:全ての規模に対応
  • 売上規模:全ての規模に対応

世界レベルの脅威情報共有基盤により、新しい攻撃にもより迅速な対応ができる「AIONCLOUD」。シンプルな管理画面を備え、詳細な設定はユーザ側でも行えるクラウド型WAFです。

価格体系は、月間トラフィック量または帯域保証2種類の課金方式を提供。自社にはどちらが向いているかを検討しましょう。毎月安定したトラフィック量なら月間トラフィック量課金がおすすめです。月によってトラフィック量が大きく異なる場合は帯域保証課金を検討しましょう。


定額制でWAFに加えてIPSやクラウド監視機能も提供「イージス」
株式会社ロケットワークス

POINT
  • 参考価格:月々お支払いプラン50,000円 ~
  • 提供形態:クラウド / SaaS
  • 従業員規模:全ての規模に対応
  • 売上規模:全ての規模に対応

「イージス」は、WAF以外のセキュリティ機能を提供するクラウド型WAFサービスです。IPS機能やクラウド監視の機能も提供し、月次報告書も標準機能で提供されています。社内からの情報漏えいを防ぐクラウド監視サービスも搭載しています。

定額制の料金体系のため、他社製品を比較するときは、自社で利用したい機能と自社Webサイトのトラフィック量を精査すると比較しやすいでしょう。

IPS機能やクラウド監視の機能が自社のIT環境にない場合は、WAFとともにこれらの機能を導入できる本製品も検討候補の1つに加えてください。


導入・運用もワンストップで「SmartConnect Network & Security」
NTTスマートコネクト株式会社

POINT
  • 参考価格:初期費用100,000円、2Mbpsまで月額40,000円 ~(最低利用期間1カ月)
  • 提供形態:クラウド / SaaS
  • 従業員規模:全ての規模に対応
  • 売上規模:全ての規模に対応

クラウド型WAFに加えて、インフラ運用や高度セキュリティオペレーションもワンストップで提供する「SmartConnect Network & Security」。他社製品からの乗り換えも1週間程度で完了でき、導入に自社リソースを割く必要がありません。

WAFの運用もセキュリティ専門の監視運用センターが対応します。会社側には、月次報告書が発行されるため、1カ月でどのようなインシデントが発生して対策されていたのかも一目瞭然です。

自社にセキュリティ運用専門の担当を置くことができずWAFの導入に迷っている場合は、導入や運用の手間がかからない本サービスを検討してみるとよいでしょう。


WAFなどのセキュリティ機能も備えたCDN「CDN square」
アクセリア株式会社

POINT
  • 参考価格:別途問い合わせ
  • 提供形態:クラウド
  • 従業員規模:全ての規模に対応
  • 売上規模:全ての規模に対応

「CDN square」は、CDNとしての機能にWAFなどのセキュリティ機能も備えた、高機能なクラウド型CDNサービスです。CDNサービスは3種類(マネージドCDN・ソリューションCDN・ブローカリングCDN)用意されており、ニーズに合わせて選べます。

セキュリティ機能では、WAFのほかDDoS対策、ファイアウォールなどの機能があり、SSL証明書発行も無料です。

自社環境のセキュリティ機能が弱い場合は、WAFだけでなく、他のセキュリティ機能も導入できる本製品の導入を検討してみてはいかがでしょうか。

WAF製品13選比較表

                                           
製品名 提供形態 参考価格対象従業員規模
攻撃遮断くん サービス / クラウド / SaaS 別途お問合せ全ての規模に対応
Scutum クラウド / SaaS / サービス 月29,800円~(ピーク時トラフィック500kbpsまででホスト追加不可の場合)全ての規模に対応
CloudCoffer on Cloud SaaS 月58,000円~(5MbpsAプラン)全ての規模に対応
Fortify サービス / SaaS 別途お問合せ全ての規模に対応
CyberNEO クラウド / サービス 月50,000円(ウェブリクエスト件数1,000万件まで)全ての規模に対応
secuWAF クラウド 10GBプラン月10,000円~、100GBプラン月45,000円全ての規模に対応
クラウドブリック サービス / クラウド / SaaS 別途お問合せ全ての規模に対応
MSS for Imperva Incapsula サービス / クラウド 別途お問合せ500名以上
BLUE Sphere クラウド / SaaS / サービス 月45,000~154,000円(平均トラフィックにより変動)全ての規模に対応
AIONCLOUD クラウド / サービス 月間トラフィック量課金:月額4,000円~、帯域保証課金:月90,000円~全ての規模に対応
イージス クラウド / SaaS 月々お支払いプラン50,000円~全ての規模に対応
SmartConnect Network & Security クラウド / SaaS 月40,000円~(2Mbpsまで)全ての規模に対応
CDN square クラウド 別途お問合せ全ての規模に対応
 

WAF製品選定のポイント3つ

WAF製品選定のポイントを3点解説します。

1、セキュリティレベルと用途のバランス

セキュリティレベルが低すぎるのはもちろん問題ですが、高すぎても正常なアクセスを遮断してしまうなどの弊害が出ます。自社が必要とするセキュリティレベルと用途のバランスについては、専門家とも相談しながら見極めつつ、製品選びの指針としてください。

2、初期コストと運用コスト

ご紹介しているクラウド型WAFでは、初期費用数万円、月額数万円とだいたい似通った価格帯です。ただし、処理性能を求める場合は運用コスト(月額料金)が高くなる傾向にあります。求める処理性能とコストのバランスについても、各製品比較したいポイントです。

3、サポートやソリューションサービスの内容

WAFは、常に最新の状態にメンテナンスをするなど、専門的な知識を持った担当者の運用が欠かせません。クラウド型WAFであれば、運用面をある程度任せられますが、サポート内容の細かな部分は製品によって異なります。

また、WAFに関連するセキュリティ関連のソリューションサービスを展開している製品もあります。自社に合った内容のソリューションがあれば検討してみるのもよいでしょう。

WAFを導入してサイバー攻撃に備えよう

WAFは、他のセキュリティ製品とは異なる層でサイバー攻撃を防御するソフトウェアです。他のセキュリティ製品と併用することでより高いセキュリティ対策となるため、導入の検討をおすすめします。

WAFの導入を検討する際は、以下よりWAF製品の資料を入手して、製品の比較検討などにお役立てください。

資料請求をする(無料)≫

※外部の資料請求サイト『ITトレンド』へ遷移します。

[PR]提供:マイナビニュース