【2024年最新】おすすめのWAF製品17選比較|種類や選び方を解説
Webサイトをサイバー攻撃から守るためのサービスである「WAF」。Webアプリケーションの脆弱性を突いた攻撃が巧妙化する昨今、被害を未然に防ぐためにはWAF製品の導入が有効です。本記事では、おすすめのWAF製品を比較し、賢い選び方について詳しく解説します。
目次
WAFとは?
WAF(ワフ)とは「Web Application Firewall」の略称であり、Webアプリケーションの脆弱性を突く攻撃から、Webサイトを保護するセキュリティサービスです。
一般的なファイアウォールとは異なり、SQLインジェクションやクロスサイトスクリプティング、DDoS攻撃など、Webアプリケーションの領域における防御に特化していることが特徴です。
WAFは3種類に大別され、ホスト型WAF(ソフトウェア型WAF)・ゲートウェイ型WAF(アプライアンス型WAF)・サービス型WAF(クラウド型WAF)に分類されます。それぞれのWAFはコストや導入のしやすさ、カスタマイズ性などが異なるため、特徴をよく理解して自社に合う製品を選択してください。
WAFの必要性
WAFが求められている理由は「Webアプリケーション特有の脆弱性をついたサイバー攻撃」が増加しており、これらの攻撃は従来のファイアウォールでは防止しづらいためです。
例えば、SQLインジェクションやクロスサイトスクリプティングといった類のサイバー攻撃は、悪意を持ったユーザーと正常なユーザーの区別がつきにくいため、内部環境と外部環境を区切るためのファイアウォールでは防御が難しいという性質を持っています。
そのため、より網の目の細かい防御手段として、WAFの重要性が増してきているのです。
WAFの種類
WAFは主に、ホスト型・ゲートウェイ型・サービス型の3種類に分類できます。以下に詳しく解説します。
ホスト型WAF(ソフトウェア型WAF)
ホスト型WAFは、Webサーバーに直接インストールするタイプのWAFであり「ソフトウェア型WAF」とも呼ばれています。
専用のハードウェアを購入する必要がないため、ネットワーク構成の見直しが不要となり導入コストを抑えられること、導入期間を短縮できることが大きなメリットです。
一方で、Webサーバーごとに導入が必要となる点がデメリットであり、大規模な環境ではコストが膨らみがちです。
ゲートウェイ型WAF(アプライアンス型WAF)
ゲートウェイ型WAFは、専用ハードウェアをWebサーバと直結して設置して利用するタイプのWAFであり「アプライアンス型WAF」とも呼ばれています。
ネットワーク内にある複数のWebサーバを一台で保護できることに加え、月額の運用コストが不要であることが大きなメリットです。一方で、専用の機器を購入する必要があるため初期費用がかさむほか、設置や運用には専任のエンジニアが必須となる点がデメリットです。
サービス型WAF(クラウド型WAF)
サービス型WAFは、インターネットを介して利用するタイプのWAFであり「クラウド型WAF」とも呼ばれています。
専用ハードウェアを購入をする必要がなく、DNS設定の変更のみで導入可能であるため、初期費用や運用コストを抑えられる点がメリットです。また、シグネチャ自動更新機能により最新の攻撃にも素早く対応できるなど、運用の手間が少ない点も特徴の一つです。
一方で、カスタマイズ性は必ずしも高いとは言えず、柔軟性に欠ける点がデメリットでしょう。
WAFの主な機能
WAFにはさまざまな機能が備わっていますが、代表的な4つの機能を以下に紹介します。
シグネチャの自動更新機能
シグネチャ自動更新機能とは、最新のサイバー攻撃に対応するために、定期的にシグネチャ(攻撃のパターンを記録したファイル)をアップデートする機能です。
自動更新機能により、常に最新のセキュリティ情報を元に新たな脅威に対応できるほか、不正アクセスの検知・防御にも高い効果を発揮します。また、手動更新の手間を省けるうえ、専門知識がなくても効果的なセキュリティ対策を実現できるメリットがあります。
Cookieの保護機能
Cookieの保護機能とは、Webブラウザの閲覧情報を記録するCookieをWAFが暗号化することで、サイバー攻撃による改ざんやセッションの乗っ取りを防ぐ機能です。
この機能が正常に働けば、不正にCookieを入手した第三者によるWebアプリケーションへの攻撃リスクを大幅に軽減してくれます。
特定URL除外・IP制限機能
特定URL除外機能とは、WAFの保護対象から特定のURLを除外することで、必要なアプリケーションへのアクセスだけを許可し、誤検知を防止するための仕組みです。
そして、IP制限機能は特定のIPアドレスからのアクセスを許可、または拒否することで不正アクセスを制限し、セキュリティの向上を図るシステムです。これら2つの機能を組み合わせることで、特定のIPアドレス以外からのアクセスを制限し、悪意のある攻撃を防ぐ機能を実現しています。
レポート機能
レポート機能とは、WAFが検知した不正アクセスやサイバー攻撃の詳細をログとして記録し、わかりやすく視覚化されたレポートを生成する機能です。
レポートにより攻撃の種類や発生頻度、攻撃元IPなどの情報をスムーズに把握できるため、セキュリティ対策の強化や改善などの検討に役立ちます。
WAFの選び方
自社に合ったWAFを選ぶための方法を、以下に紹介します。
防御できる攻撃の種類で選ぶ
自社が防御すべきサイバー攻撃の種類が特定できている場合は、その攻撃を防御できる機能を備えたWAFであるかどうかが重要です。
一例として、WAFで防御できる攻撃には以下が挙げられます。
- DDoS攻撃
- バッファオーバーフロー
- クロスサイトスクリプティング
- SQLインジェクション
- ブルートフォースアタック(総当たり攻撃)
- ディレクトリトラバーサル
ただし、サイバー攻撃の種類ひとつひとつには、無数のバリエーションが存在します。全ての攻撃を完璧に防ぐ手段はないため、あくまで「特定種類の攻撃に強いというデータある」といった限界があることを理解しておきましょう。
管理できるWebサイトの数で選ぶ
自社が複数のWebサイトを運用している場合には、1つのWAFで複数のサイトを管理できるかどうかに注目しましょう。
なぜなら、1つのWAFで複数のWebサイトをまとめて管理できれば、コストの削減や管理の効率性に圧倒的な差が出るためです。
ただし、サイト数無制限のプランや、追加するサイトの数によって料金が変動するサービス、あるいはオプションでサイトの追加可能な契約など、WAFサービスによってその実現形態はさまざまです。
各WAFの価格やプランを比較し、自社に適したものを選ぶとよいでしょう。
シグネチャの更新頻度で選ぶ
クラウドWAFを選定する際には、シグネチャの更新頻度を確認することが重要です。
なぜなら、サイバー攻撃の手法は日々進化していることから、頻繁にシグネチャが更新されるWAFほど高いセキュリティが期待できるためです。ベンダーにシグネチャの更新頻度を確認したうえで、満足のいく回答が得られない場合には、他のサービスを検討することをおすすめします。
十分なサポートが得られるか否かで選ぶ
自社に専門知識を持つスタッフや部署が整っていない場合や、WAFの運用に不慣れな場合などは、サポート体制の品質で選ぶこともひとつの方法です。
サポート体制を比較する場合には、以下の点を入念にチェックするとよいでしょう。
- 24時間365日サポートの有無
- 電話や訪問サポートの有無
- 専門知識のあるスタッフが対応してくれるかどうか
- 無償サポートはあるか、その範囲はどこまでか
一般的なサポートは無料であるケースが大半ですが、自社に合わせたカスタマイズや高度な技術サポートが必要な状況では、追加料金がかかる場合もあります。トータルのランニングコストを見積るためにも、事前に料金体系をよく確認しておきましょう。
導入・運用にかかる手間・費用で選ぶ
自社の予算を鑑みて、導入や運用にかかる手間・費用で選ぶ方法もあります。
多くのWAFは、導入時に初期費用と月額運用コストが発生します。その費用相場は条件次第で大きく異なりますが、規模が大きい場合には初期費用だけで100万円以上となるケースもあれば、総額が数万円程度で済むケースもあります。
もし、手間や費用の少なさを重視したい場合には、クラウド型WAFに的を絞って検討することをおすすめします。
導入実績で選ぶ
どのような状況であっても、そのWAFの導入実績はチェックすべきポイントです。
導入しているサイト数に加えて、自社と同業種や同規模での実績があるか否かが極めて重要です。なぜなら、通信環境によって適切なWAFのタイプは大きく異なるため、同業種や類似規模での導入事例は、もっとも証明力の強い判断材料となるためです。
無料トライアルの有無で選ぶ
WAFの運用に慣れていない場合や初めて導入する場合には、無料トライアルの有無も選定基準にすべきでしょう。なぜなら、せっかくWAFを導入しても、うまく使いこなせなければ意味がないためです。
また、選定するWAFによっては初期費用が高額になることもあり、導入してから軌道修正をするにはさらなる工数や追加費用がかかります。こうした状況を防ぐためには、無料トライアルの活用が最も効果的です。
おすすめのWAF製品17選比較
おすすめのWAF製品17種類を、以下に紹介します。
BLUE Sphere
BLUE Sphereは、クラウド型の総合セキュリティサービスであり、WAF・DDoS防御・改ざん検知機能を備えた総合的なセキュリティサービスを提供しています。
初期費用を抑えつつ、複数のWebサイトのセキュリティ対策を一括して管理できる点や、シグネチャの自動更新機能により、最新のサイバー攻撃にも対応可能である点が特徴です。
三井住友海上によるサイバーセキュリティ保険が付帯されており、事故時の賠償費用をカバーできることも大きな魅力です。
提供元 | 株式会社アイロバ |
初期費用 | 10万円 |
料金プラン | 45,000〜15万4,000円/月 ※総データ量、平均帯域によって変動 |
機能・特徴 | クラウド型WAF、DDoS防御、改ざん検知、自動シグネチャ更新、サイバーセキュリティ保険、オールインワンセキュリティほか |
URL | 公式サイト |
Cloudbric WAF+
Cloudbric WAF+は、WAF・DDoS攻撃対策・SSL証明書の自動提供・脅威IP遮断・悪性ボット遮断などを統合した、クラウド型のセキュリティサービスです。
Webトラフィック特性学習AIと論理演算検知エンジンを搭載しているほか、最大40GbpsのDDoS攻撃に対応できるなど、非常に高度なエンタープライズセキュリティサービスを提供しています。月額費用が比較的安価であり、DNS設定の変更のみで簡単に導入できることも魅力的です。
提供元 | ペンタセキュリティ株式会社 |
初期費用 | 68,000円〜 |
料金プラン | 28,000円〜/月 |
機能・特徴 | WAF、DDoS攻撃対策、SSL証明書の自動提供、脅威IP遮断、悪性ボット遮断、AIと論理演算検知エンジンほか |
URL | 公式サイト |
SiteGuard
SiteGuardは、純国産の総合Webセキュリティサービスであり、ホスト型WAF・ゲートウェイ型WAF・クラウド型WAFのすべてのタイプを提供しています。
導入・運用の手間が少ないながら、SQLインジェクションやクロスサイトスクリプティングなどの攻撃からWebサイトを強力に保護します。24時間365日対応の問い合わせ窓口が備わっていることも強みです。
提供元 | EGセキュアソリューションズ株式会社 |
初期費用 |
|
料金プラン |
|
機能・特徴 | ホスト型WAF、ゲートウェイ型WAF、クラウド型WAF、攻撃防御、サイバーセキュリティ保険ほか |
URL | 公式サイト |
PrimeWAF
PrimeWAFは、導入の容易さを追求したクラウド型WAFサービスです。
主な機能として、攻撃検知と防御、リアルタイムでのダッシュボード表示、利用帯域に応じた柔軟な料金設定などを提供しているほか、サイトの条件に合わせたカスタム防御にも対応しています。また、無料トライアルも用意されているため、WAFを初めて導入する場合でも、使用感を確認してから本格的な導入を検討できます。
提供元 | バルテス株式会社 |
初期費用 | 55,000円(税込) |
料金プラン | 1サイト限定プラン
サイト入れ放題プラン
|
機能・特徴 | 脆弱性診断、ペネトレーションテスト、クラウド診断サービスセキュアプログラミングセミナー、WAFサービスほか |
URL | 公式サイト |
攻撃遮断くん
攻撃遮断くんは、国内シェアNo.1のクラウド型WAFです。
主な機能として、24時間365日の日本語サポート、AIエンジンによる高速・正確な攻撃検知、Web改ざん検知オプションやAPI提供などを備えていながら、容易に導入できる手軽さが大きな特徴です。また、開発からサポートまで全てを国内で対応しているため、誤検知対応などの緊急時でも素早い対応が望めるでしょう。
提供元 | SCSKセキュリティ株式会社 |
初期費用 | 無料 |
料金プラン | Webセキュリティタイプ
DDoSセキュリティタイプ
サーバセキュリティタイプ
|
機能・特徴 | 24時間365日日本語サポート、攻撃検知AIエンジン、迅速な導入、国産サービス、Web改ざん検知オプション、API提供ほか |
URL | 公式サイト |
AIONCLOUD WAAP
AIONCLOUD WAAPは、WebアプリケーションとAPIを保護する総合セキュリティサービスです。
既知のサイバー攻撃およびゼロデイ攻撃を防御し、APIセキュリティ機能で企業のAPIを可視化・保護します。また、ボット管理機能やアプリケーション階層のDDoS防御機能も備えており、マシンラーニングアルゴリズムによる未知の脅威にも対応可能です。
提供元 | 株式会社モニタラップ |
初期費用 | 無料 |
料金プラン |
|
機能・特徴 | WAF、APIセキュリティ、ボット管理、DDoS保護、脅威インテリジェンス、マシンラーニングアルゴリズムほか |
URL | 公式サイト |
イージスWAFサーバセキュリティ
イージスWAFは、AIエンジン搭載のクラウド型WAFです。
DNS切り替え型とエージェント連動型の2種類が提供されていますが、いずれも最短即日で導入・設定が完了します。また、DDoS攻撃やゼロデイ攻撃に対応しつつ、負荷を低減しながら高いセキュリティを実現できる堅牢さを強みとしています。さらに、セキュリティエンジニアによる無料のサイバー攻撃診断レポート付きで、1か月間の無料体験も用意されています。
提供元 | 株式会社ROCKETWORKS |
初期費用 | ピーク時トラフィックの目安
|
料金プラン | ピーク時トラフィックの目安
|
機能・特徴 | AIエンジン搭載、DNS切り替え型、エージェント連動型、DDoS攻撃防御、ゼロデイ攻撃対応、無料サイバー攻撃診断、1か月の無料体験ほか |
URL | 公式サイト |
デジサート クラウド型WAF
デジサート クラウド型WAFは、2,000サイト以上の利用実績を備えた、WebアプリケーションとWebサイトをサイバー攻撃から保護するクラウド型のWAFです。
プラットフォームの脆弱性にもWAFセンターのインフラで対策をしているので、OpenSSL 1.0.1系の脆弱性 (OpenSSL Heartbleed vulnerability) や、GNU bashの脆弱性を利用した攻撃(CVE-2014-6271)、SSL3.0の脆弱性を利用した攻撃(CVE-2014-3566)などの攻撃も防御できる質の高いサービスです。
提供元 | デジサート・ジャパン合同会社 |
初期費用 | ピーク時トラフィックの目安
|
料金プラン | ピーク時トラフィックの目安
|
機能・特徴 | Webアプリケーション防御、SSLサーバ証明書連携、シグネチャ自動更新、DDoS対策オプション、セキュリティ診断、専門知識不要で簡単に導入可能ほか |
URL | 公式サイト |
Scutum
Scutumは、12年連続で国内シェアNo.1になっているクラウド型のWAFです。
SQLインジェクションやクロスサイトスクリプティングなどの攻撃からWebサイトを守り、情報漏えいや改ざんリスクを軽減します。また、AI型のWAFエンジンを搭載しており、最新の脅威に対応する高精度な防御を実現してくれるでしょう。導入・運用が簡単なうえ、24時間365日のサポート体制も整っているため、初めてWAFを導入する場合にもおすすめです。
提供元 | 株式会社セキュアスカイ・テクノロジー |
初期費用 | ピーク時トラフィックの目安
|
料金プラン | ピーク時トラフィックの目安
|
機能・特徴 | AI型WAFエンジン、SQLインジェクション防御、クロスサイトスクリプティング防御、情報漏えい防止、改ざん検知、24時間365日サポート、簡単導入ほか |
URL | 公式サイト |
CloudCoffer on Cloud]
CloudCoffer on Cloudは、最先端のAIエンジンを搭載したSaaS型WAFです。改ざん防止、情報漏えい防止、DDoS攻撃防止など多岐にわたるセキュリティ機能を備えており、複数FQDNの保護を実現しています。
DNS設定の変更とSSL証明書のアップロードだけで導入できることに加えて、日次・週次・月次の検知レポートで攻撃傾向を把握できることも特徴です。
提供元 | 株式会社レイ・イージス・ジャパン |
初期費用 | 107,800円(税込) |
料金プラン |
|
機能・特徴 | AIエンジン搭載、改ざん防止、情報漏えい防止、DDoS攻撃防止、DNS設定変更とSSL証明書アップロードで簡単導入、複数FQDN保護、日次・週次・月次の検知レポートほか |
URL | 公式サイト |
Imperva WAF
Imperva WAFは、WebアプリケーションとAPIを保護するためのセキュリティサービスです。
グローバルSOCと連携して最新の攻撃を防ぐことに加え、誤検知の少なさに強みを持ち、90%以上のユーザーがブロッキングモードで運用していると発表されています。また、ポリシーの自動作成とルールセットにより、サードパーティコードのリスクを軽減し、PCI準拠の自動化セキュリティを実現してくれるでしょう。なお、オンプレミス型とクラウド型があり、自社の環境に適した柔軟な導入が可能です。
提供元 | Imperva, Inc. |
初期費用 | 要問い合わせ |
料金プラン | 要問い合わせ |
機能・特徴 | 包括的なWebアプリケーションとAPI保護、誤検知の最小化、グローバルSOC連携、ポリシー自動作成、PCI準拠の自動化、オンプレミス、クラウド環境に対応ほか |
URL | 公式サイト |
マネージドWAFサービス
マネージドWAFサービスは、セキュリティ事業大手のセコムが提供しているクラウド型のWAFです。
24時間365日、休まず監視と運用を行い、Webアプリケーションを狙ったサイバー攻撃を検知・遮断します。AWSやAzureなどの各種クラウド環境で利用できるうえ、DDoS攻撃対策やクレジットカード情報の漏洩防止などの機能も備えています。大規模システム向けのオンプレミス型も提供されているため、さまざまな規模の企業にフィットするでしょう。
提供元 | セコムトラストシステムズ株式会社 |
初期費用 | 要問い合わせ |
料金プラン | 要問い合わせ |
機能・特徴 | 24時間365日常時監視・運用、多様なクラウド環境対応、DDoS攻撃対策、クレジットカード情報漏洩防止、個別シグネチャ作成、オンプレミス型も提供ほか |
URL | 公式サイト |
Cloud Application Protection Services
Cloud Application Protection Servicesは、エンタープライズ向けの常時適応型WAFです。
一定のセキュリティ基準、評価基準に準拠したICSAラボ認定済みのWAFを基盤に、OWASP Top 10の代表的な脅威のすべてに対応しています。また、新たな脅威に対しても常時自動的に適応する機能を備えています。さらに、正常な通信を学習する独自のポジティブセキュリティモデルと、シグネチャによるネガティブセキュリティモデルの2つを提供しており、API保護・ボット管理・DDoS対策などを幅広くカバーしてくれるでしょう。
提供元 | 株式会社アズジェント |
初期費用 | 要問い合わせ |
料金プラン | 要問い合わせ |
機能・特徴 | 幅広いWebアプリケーションセキュリティ適用範囲、自動化ポリシー生成技術、包括的なAPI防御、ボットを検知・管理・防御、リアルタイムシグネチャ自動生成によるDDoS防御ほか |
URL | 公式サイト |
Barracuda Web Application Firewall
Barracuda Web Application Firewallは、Webサイトとアプリケーションをサイバー脅威から保護するクラウド型のWAFです。
OWASP Top 10の攻撃・ゼロデイ攻撃・データ漏洩・アプリケーションレイヤDoS攻撃など、幅広い脅威に対する防御を実現しています。また、大量データの表示に適したダッシュボードを備えており、システムの状態や使用率、、サブスクリプションステータス、システムパフォーマンス、攻撃統計データ、発信元の場所などがわかりやすく表示されます。
提供元 | Barracuda Networks, Inc. |
初期費用 | 要問い合わせ |
料金プラン | 要問い合わせ |
導入企業数 | 非公開 |
機能・特徴 | OWASP Top 10攻撃防御、ゼロデイ攻撃防御、データ漏洩防止、アプリケーションレイヤDoS防御、APIとモバイルアプリの保護、悪意のあるボット検出、DDoS攻撃防御、詳細なアクセス制御ほか |
URL | 公式サイト |
MSS for Imperva Incapsula
MSS for Imperva Incapsulaは、ソフトバンクテクノロジーが提供するクラウド型WAFサービスです。
Microsoft Azureなどのクラウド環境を24時間365日体制で監視し、サイバー攻撃から保護してくれるサービスです。また、専門アナリストによるリアルタイム分析、アラート対応、システムのチューニングの作業代行が提供されており、高品質かつ柔軟なセキュリティを実現できる点が大きな特徴です。
提供元 | SBテクノロジー株式会社 |
初期費用 | 要問い合わせ |
料金プラン | 要問い合わせ |
導入企業数 | 非公開 |
機能・特徴 | 24時間365日監視、専門アナリストによる分析、アラート対応、システムチューニング、DDoS攻撃対策、セキュリティレポーティングほか |
URL | 公式サイト |
InfoCage SiteShell
InfoCage SiteShellは、NECが提供しているソフトウェア型のWAFです。通常のファイアウォールやIDS/IPSでは防ぎきれない、WebサイトやWebアプリケーションへの悪質な攻撃を防御します。
自社のWebサーバに直接インストールでき、オンプレミス環境のみならず、クラウドや仮想環境にも適応できるため、自社の環境に合わせて柔軟に導入・運用できるでしょう。
提供元 | 日本電気株式会社 |
初期費用 | 要問い合わせ |
料金プラン | 要問い合わせ |
機能・特徴 | Webアプリケーション防御、オンプレミス・クラウド・仮想環境に適応、不正アクセス防止、情報漏洩対策、ソフトウェア型WAF、リアルタイムモニタリングほか |
URL | 公式サイト |
Advanced WAF
Advanced WAFは、WebアプリケーションとAPIを保護するために設計された高度なセキュリティソリューションです。
行動分析・ボット対策・認証情報の暗号化などを活用して、最新の攻撃からアプリケーションを守ります。また、マシンラーニングを用いた高精度の攻撃検知機能を備えており、OWASP Top 10の脅威に対応する包括的な防御を実現しています。
提供元 | F5ネットワークスジャパン合同会社 |
初期費用 | 要問い合わせ |
料金プラン | 要問い合わせ |
機能・特徴 | 行動分析、ボット対策、認証情報の暗号化、マシンラーニング、OWASP Top 10の脅威に対応、API保護ほか |
URL | 公式サイト |
おすすめ製品を比較し自社にあったWAFを導入しよう
さまざまなサイバー攻撃からWebアプリケーションを保護するためには、最新のセキュリティサービスであるWAFの導入が有効です。
WAFは一般的なファイアウォールとは異なり、より高度にアプリケーションへの攻撃に特化した防御を実現してくれます。WAFにはさまざまな種類があるため、企業によって求める機能や料金、運用体制などは大きく異なるでしょう。本記事の内容を参考に、自社にあったWAFを賢く導入してください。
WAFの記事をもっと読む
-
ご相談・ご質問は下記ボタンのフォームからお問い合わせください。
お問い合わせはこちら