TOP > SaaS > 情報システム > セキュリティ対策強化 > WAF
TOP > SaaS > 情報システム > セキュリティ対策強化 > WAF
記事更新日: 2023/08/04
今やWebアプリケーションのセキュリティ環境を整えることは、どの会社にとっても必須の業務。
そこで今回は、Webアプリケーションに対する攻撃を防げるWAFをご紹介します。
おすすめのWAFを13つ厳選し、それぞれの特徴や機能、さらにWAFのメリットやデメリット等についてまとめました。
Webのセキュリティ環境構築についてお悩みの方、WAFの選定・導入を検討している方は、ぜひ最後までご覧ください。
このページの目次
WAFとは、ファイアウォールの一種で「Web Application Firewall」の頭文字をとったもので、Webアプリケーションに対する不正な攻撃を防御する役割を果たします。
画像出典元:「Cloudbric」公式HP
全世界に13,500以上のユーザーがいるCloudbric。セキュリティ管理者が直接管理をしているかのような高レベルのWAFであり、Webサイトへの攻撃に対してロジカルに分析し、遮断をしてくれます。
・WAF
・DDos対策
・SSL証明書
・セキュリティポリシーのカスタマイズ対応
・月次レポート
・契約単位の完全独立環境
・24/365監視対応
| プラン |
エコノミー (~5Mbps) |
ビジネス (~50Mbps) |
ハイパフォーマンス (~1Gbps) |
| 月額費用 | 28,000円~ | 110,000円~ | 180,000円~ |
括弧内はピーク時トラフィックの目安です。
すべてのプランに対し、初期費用が発生します。
画像出典元:「Scutum(スキュータム)」公式HP
国内シェア連続No.1を誇るScutum。世界初のクラウド型WAFサービスで、小規模サイトからクラウドコンピューティング環境まで対応しています。
約1週間からの短期間で導入でき、24時間365日の運用サポートもあり、実績豊富です。
・ブロック機能
・モニタリング機能
・防御ログ閲覧機能
・レポート機能
・ソフトウェア更新機能
・防御ロジック更新機能
・特定URL除外機能
・IPアドレスの拒否/許可設定機能
・脆弱性検査用IPアドレス管理機能
・SSL/TLS通信機能
ピーク時トラフィックの目安によって初期費用および月額費用が異なります。
| ~500kbps | ~5Mbps | ~10Mbps | |
| 月額費用 | 29,800円 | 59,800円 | 128,000円 |
初期費用:98,000円
| ~50Mbps | ~100Mbps | ~200Mbps | |
| 月額費用 | 148,000円 | 198,000円 | 298,000円 |
初期費用:198,000円
200Mbps超:100Mbpsごとに100,000円加算 / 月
画像出典元:「攻撃遮断くん」公式HP
サービス開始からわずか約3年半で累計導入実績が国内1位となった攻撃遮断くん。DNS切り替え型WAFとエージェント連動型WAFの2タイプがあり、ニーズに応じた柔軟なWAFの使用ができます。
また、リアルタイムでサイバー攻撃が可視化できる管理画面があることで、より適切な状況把握と情報共有が行えます。
・管理画面
・シグネチャカスタマイズ
・コメント付きレポート
・サイバー保険付帯
・Web改ざん検知オプション
詳細はお問い合わせが必要です。
各種DDos攻撃から自社サイトを24時間365日監視し、かつセキュリティ対策工数を削減したいと考えている企業におすすめです。詳細なレポートで自社でもセキュリティ状態をチェックしておきたい場合にも有効です。
WAFを導入したいけれどなにから始めればよいのか悩んでいる会社にはうってつけです。面倒な初期設定やシステム変更は不要で、3ヵ月の無料トライアルから従量課金制で簡単に利用できます。
| プラン | 10GBプラン | 20GBプラン | 50GBプラン | 100GBプラン |
| 月額費用 | 10,000円 | 15,000円 | 30,000円 | 45,000円 |
無料トライアルは 5GBまでです。
50GB以上のプランであれば「MALWARE CHECKER」の簡易診断が無料でついてきます。
画像出典元:イージス 公式HP
「イージス」はクラウド型WAFです。攻撃元IP・攻撃シグネチャパターンを日々モニタリング、情報を蓄積・学習、自動でアップデートしサーバー攻撃者から保護します。
高額なハードウェアの設置や運用は不要。既存のサーバに追加できる強力で利便性の高いセキュリティシステムです。
| プラン | 月々お支払い |
セキュリティ アドバイス |
おまとめ監視 |
| 月額費用 | 50,000円 | 70,000円 | 90,000円 |
セキュリティアドバイス、サーバー死活監視の有無により料金が異なります。
WAF・DDoS防御・WEBサイトの改ざん検知の多層防衛で、様々なサイバー攻撃からWEBサイトを保護してくれます。
導入時初期調整からサポートまでが基本サービスに含まれ、料金プランもオプション費用は一切掛からず平均値課金なので大変リーズナブルなセキュリティシステムです。
3か月ごとの平均トラフィックを基準とした料金体系で、クリーニングされたリクエストに対しサーバが応答した通信にのみ課金されます。
登録ドメイン数は無制限です。
国内販売台数、2007年から6年連続シェアNo.1を記録した抜群の信頼度のWAF製品。
一般企業だけでなく、行政や金融機関、大学などに幅広い導入実績があり、小規模から大規模まで多彩なラインナップと構成メニューで様々なユーザーのニーズに応えます。
オンプレミス型は最低価格1,285,000円~です。
SaaS版は、以下の通りです。
| 契約帯域 | 0.5Mbps | 1Mbps | 2Mbps | 5Mbps |
| 1PCあたり | 14,000円 | 20,000円 | 34,000円 | 54,000円 |
初期費用が29,800円かかります。
画像出典元:デジサート クラウド型WAF 公式HP
デジサート クラウド型WAFでは、WEBサイトのセキュリティ管理の手間やコストに悩んでいる会社におすすめです。また、クラウド型のためスピーディーに導入でき、早期運用を考えている会社には特に最適です。
| 500kbps | 500k~5Mbps | 5M~10Mbps | 10M~50Mbps | 50M~100Mbps |
| 年間339,720円 | 年間681,720円 | 年間1,459,200円 | 年間1,687,200円 | 年間2,257,200円 |
【10Mbpsまで】初期費用:98,000円
【10Mbpsを超える場合】初期費用:198,000円
1ヶ月間の無料トライアルが利用可能です。
AIONCLOUD(エーアイオンクラウド)では、高度な防御機能によりWebサイトを脅威から守り、メンテナンスは一切不要。保守工数をなるべく抑えたいと考えている企業におすすめです。
CloudCoffer on Cloud(クラウドコッファー オン クラウド)は、初期設備の負担を抑えつつ、自社サイトをリアルタイムで適切に守りたいと考えている企業におすすめです。
AIの学習能力で“育つセキュリティ”を複数のサイトに適用したいと考える企業にも適しています。
【プラットフォームAプラン】初期費用 :98,000円/月額費用58,000円 (共有 DDoS対策付)
【プラットフォームBプラン】初期費用 :148,000円/月額費用128,000円 (専用DDoS対策付)
SiteGuard(サイトガード)はシンプルで使いやすく、金融機関や官公庁を始め100万件以上の導入実績があります。
ファイヤーウォールにいまいち効果を感じず、また導入や運営を手軽にしたい中小企業から大企業におすすめです。
画像出典元:「Clearswift」
「Clearswift(クリアスウィフト)」は、ウイルスの受信を安全に拒否しセキュリティ対策を強化したい会社におすすめです。
情報漏えいを防止し、24時間電子メールを保護します。オンプレミスやOffice365などのクラウドと各企業に合ったスタイルで導入ができます。
WAF選定時のポイントとしてまず挙げられるのが、防御できる攻撃の種類です。
基本的にWebアプリケーションのセキュリティを行うWAFですが、それぞれのツールごとに対応可能な攻撃範囲が異なります。
そのため、対応できる攻撃の種類を「9種類」といった具合に具体的に示してくれているツールだと安心です。また、HP上等に明示されていない場合は、あらかじめ問い合わせて確認をしておきましょう。
WAFを選定する際は、実際にきちんと運用されているか、実績を持っているかどうかも大切なポイントとなります。
そのため導入企業数だけでなく、導入している企業の規模や属する業種・業態もチェックすると良いでしょう。
WAFはセキュリティ強化のために導入するものなので、セキュリティが強ければ強いほど良いと考えがちですが、強すぎると自社で利用しているアプリケーションを遮断してしまう可能性もあります。
よって、自社のレベルに即したセキュリティレベルのWAFを選定することが大切です。
WAFには3タイプあります。それぞれのタイプの特徴やメリット・デメリットを以下にご紹介します。
WAF専用の機器を用意し、Webアプリケーションの手前に設置したりハードウェアにインストールしたりして使用します。独自のWAFシステムを構築するため柔軟なカスタマイズが可能ですが、初期費用や維持費用、さらに専門的なスキルが必要となります。
対象となるWebサーバーにWAFのソフトウェアをダウンロードして使用するのが、ソフトウェア型です。アプライアンス型よりも低コストで導入できカスタマイズ性が高くなっていますが、1台につき1つのWAFが必要なためサーバーの台数が多いと費用がかさみます。
専用の機器を必要とせず、クラウド上から直接WAFのサービスが受けられます。すぐに導入でき初期費用が抑えられ、専門的なスキルやメンテナンス等の手間が不要です。
しかし、セキュリティが十分ではない場合やサービスの障害時に運用ができなくなるというデメリットもあります。
WAFでは、他のセキュリティツールよりも幅広い攻撃を防御することができます。
対策が難しく被害が大きくなりやすい攻撃や、セキュリティ上の重大な攻撃もWAFは対応可能。また、セキュリティの即効性も高いため、パッチ修正時等の応急処置にも適しています。
Webアプリケーションは重大な注意を払って使用していたとしても、安全な状態を保つのは難しく、さらにオンライン上では常に攻撃対象となっているため、日々新たな脅威にさらされているのが現状です。
よって、Webアプリケーションの脆弱性を保護するためには、様々な脅威から守ることのできるツールが必須となります。
WAFはWebアプリケーションへの攻撃を防ぐために開発されたツールであるため、Webアプリケーションの脆弱性を保護するのに適しています。
アプリケーションレベルで利用できるWAFは、複数のWebアプリケーションのセキュリティレベルを均質化することができます。
WAFの導入により、それぞれのアプリケーションの脆弱性に対する漏れを防ぐことができ、ばらつきもなくすことができるため、社内のWebアプリケーションに対するセキュリティを一定レベル以上に保つことが可能となり、管理が行いやすくなります。
様々な攻撃からWebアプリケーションを守ってくれるWAFですが、WAF導入後Webサイトに繋がらなくなってしまったというケースも見受けられます。
そのため、あらかじめWAF選定時に自社が求めるセキュリティレベルを明確にしておくこと、そのレベルに適したWAFを選定することが大切です。
上記に記したように、Webアプリケーションを守ってくれるWAFは必要以上にセキュリティを強くしてしまうケースがあるため、日々負荷率やログを確認し、適切な運用が行えているかどうかをチェックする必要があります。
そのため、WAFを導入してセキュリティを高めることができたとしても、その後の運用で手間が増えてしまう可能性もあります。
WAF導入前に、社内でのWAF運用形態等をきちんと構築しておきましょう。
Webアプリケーションを適切に守ってくれるWAFは、これからさらに必要性が増していくとされています。
WAFに興味をお持ちの方は今回の記事を参考に、自社に適したコスト・セキュリティレベルのWAFを選定し、ぜひこれからの会社運営に役立ててみてください。
画像出典元:O-dan
