Webアプリケーションの脆弱性を突いたサイバー攻撃を検知・ブロックする「WAF(Webアプリケーションファイアウォール)」。Webアプリの市場拡大にともない、現在では多種多様なWAFが提供されているため、自社に適したものを選ぶのが難しい状況となっています。ここでは、WAFを選定する際の比較ポイントや導入時の注意点を説明します。
また、導入実績の多い代表的なWAF(Webアプリケーションファイアウォール)をご紹介します。自社の課題や目的に照らし、適切なサービスを見つけてください。
WAFの比較方法・選び方
WAFを比較選定する際のポイント
WAFを比較選定する際にチェックしておきたいのは、以下の4つのポイントです。
- 導入形態は自社に合っているか
- 導入・運用コストは予算に合っているか
- 自社と類似した企業の導入実績はあるか
- 充実したサポートが受けられるか
各項目を詳しく見ていきます。
■導入形態は自社に合っているか
WAFの導入形態は「ソフトウェア型」「アプライアンス型」「クラウド型」の3タイプに分けられます。それぞれの特徴は以下の通りです。
|
ソフトウェア型(ホスト型) |
WebサーバにWAFのソフトウェアを直接インストールするタイプ。 ・専用機器が不要のため導入コストを抑えやすい。ただし、大規模なシステムの場合はWebサーバごとに導入する必要があるため、導入コストが高くなる ・比較的短期間で導入できる ・運用・メンテナンスは自社で行う必要がある |
|
アプライアンス型(ゲートウェイ型) |
WAFの機能を搭載した専用ハードウェアを外部ネットワークとWebサーバの間に設置する。 ・Webサーバから独立した機器なのでWeb サーバに負荷を与えない ・1台で複数のサーバを保護できる ・柔軟にカスタマイズできる ・ 導入コスト・運用コストは高い |
|
クラウド型(サービス型) |
インターネット上に提供されているクラウドサービスを利用するタイプ。 ・システム構築や専用機器が不要で短期間で導入できる ・初期費用を抑えられる ・運用・メンテナンスはベンダーが行う ・カスタマイズ性は低い |
自社の事情や予算に合わせて適切な導入形態を選択しましょう。
■導入・運用コストは予算に合っているか
WAFは導入形態や導入規模によって費用が大きく変わるため、予算をふまえて選定する必要があります。ハードウェアを用意する必要があるアプライアンス型は初期費用が高額ですが、大規模システムの場合は、Webサーバごとにインストールするソフトウェア型よりも割安になる場合があります。
クラウド型は初期費用を抑えられるものの、月額制なのでランニングコストが必要です。保守・メンテナンスにかかる費用もあわせて、導入コスト・運用コストを含めた概算を出したうえで検討しましょう。
■自社と類似した企業の導入実績はあるか
「過去にどのような企業が導入したか」という導入実績もチェックしておきたいポイントです。自社の規模・業種に近い企業への導入実績が豊富であれば、自社のWebサイト・Webサービスに必要な防御機能を有しているという見方ができます。また、導入実績が少ないベンダーと比べると、セキュリティ対策のノウハウが蓄積されているといえるでしょう。
■充実したサポートが受けられるか
WAFを適切に運用するには、サイバー攻撃のパターンやシグネチャの設定方法などに関する専門知識が必要です。そのため、自社のリテラシーや運用体制に不安がある場合は、ベンダーのサポートが充実しているかどうかをチェックしておくことが大切です。
導入時・導入後のサポート内容や、対応可能な曜日・時間帯、料金の有無について、電話や公式サイトのフォームから問い合わせておきましょう。
課題・ニーズ別に見たWAFの向き・不向きの傾向
どのようなWAFを選ぶべきかは、自社の課題によっても変わってきます。以下に課題・ニーズ別の向き・不向きの傾向をまとめました。
|
課題・ニーズ |
向き・不向きの傾向 |
|---|---|
|
導入規模が小さい/導入・運用の負担が少ないものにしたい |
クラウド型のWAFはハードウェアの準備が不要で、かつベンダーがメンテナンスを行うため、リソースが限られた中小企業でも手軽に導入しやすい |
|
導入規模が大きい/自社のシステム担当者がカスタマイズしながら運用を最適化したい |
サーバの台数にかかわらず環境構築がしやすいアプライアンス型のWAFがおすすめ。導入規模が大きいほど費用対効果が良くなり、柔軟にカスタマイズ可能なので大企業に適している |
|
日々進化するサイバー攻撃・脅威に随時対処できるようにしたい |
防御パターンを自動アップデートする機能が搭載されたWAFであれば、新種の攻撃も検知・ブロックしやすい。AIエンジンを活用しているものもある |
|
情報セキュリティに関する自社の知識・ノウハウが不足している |
ベンダーの手厚いサポートが受けられるWAFであれば、運用面で適切なアドバイスがもらえ、トラブル発生時でも速やかに対処してもらえる。24時間365日、セキュリティアナリストによるサポートが受けられるものもある |
WAFの導入時に注意すべき点
WAFの導入により、動作性に影響を及ぼすことがあるため、事前テストを実施することが大切です。テストによって、普段のトラフィックと比べてどのくらい負荷が増えるかを確認しておけば、本番もスムーズに導入しやすくなります。実際にサイバー攻撃を仕掛け、検知・ブロックの精度を確認するのもおすすめです。
また、WAFをスムーズに運用するために「運用ポリシー」を作成しておきましょう。運用体制やトラブル発生時の対応フローなどをまとめておけば、業務範囲や責任の所在が明確化されます。
自社に合ったWAFを選定しよう
WAFは導入形態によって運用方法や費用感が変わってきます。そのため、検討時は導入規模や予算を考慮しながら自社に合ったタイプを選択してください。くわえて、自社と類似した企業への導入実績があり、サポート体制が整っているベンダーであればセキュリティ機能と運用面の両方で安心感を持てます。ここで紹介した比較ポイントを参考に、最適なWAFを見つけてください。
WAF・DDoS対策サービス 7選
1.Barracuda Web Application Firewall
(参照元:https://www.barracuda.co.jp/products/waf/)
|
サービス名 |
Barracuda Web Application Firewall |
|
キャッチフレーズ |
最新の脅威からアプリケーションとデータを保護 |
|
サービス概要 |
顧客情報などの流出は、信用の失墜・賠償責任などを企業にもたらします。脆弱性対策として、セキュアプログラミングによるWebアプリケーションのセキュリティ向上をさせても、 常にバージョンアップが必要となり、膨大なコストが発生し続けるものです。 こうした問題を解決するのがサーバサイドに設置するWebアプリケーションファイアーウォール、通称WAF。 Webアプリケーションを脅威から守り、Webサービスのセキュリティを極限まで向上させます。 |
|
運営企業 |
|
|
サービス詳細 |
導入した企業の声
独立行政法人国立高等専門学校機構 有明工業高等専門学校 創造工学科 准教授 マルチメディアセンタ情報基盤部長 松野 良信様:
導入目的は、Webアプリケーションを使用する際のセキュリティはサーバを設置した担当者に任せている部分が多く、組織として対応が必要と考えていたため。Barracuda Web Application Firewallを活用することで、校内のサーバの状況を把握することができ、不正なアクセスも減りました。
2.攻撃遮断くん
(参照元:https://www.shadan-kun.com/)
|
サービス名 |
攻撃遮断くん |
|
キャッチフレーズ |
新たな脅威にいち早く対応 |
|
サービス概要 |
セキュリティ技術者不要で新たな脅威に瞬時に対応!クラウド型WAF「攻撃遮断くん」 |
|
向いてる形態 |
BtoB/BtoC |
|
導入社数 |
約 12000 社 (2019年06月16日時点) |
|
価格 |
・価格はお問合せください |
|
運営企業 |
|
|
サービス詳細 |
3.Cloudbric
(参照元:https://www.cloudbric.jp/)
|
サービス名 |
Cloudbric |
|
キャッチフレーズ |
企業のWebサイトを守る 全方位型セキュリティ対策 |
|
サービス概要 |
クラウドブリックのセキュリティプラットフォームにてより効果的かつ効率的なセキュリティ対策を実現 |
|
向いてる形態 |
BtoB/BtoC |
|
価格 |
・価格はお問合せください |
|
運営企業 |
|
|
サービス詳細 |
4.Imperva Cloud WAF (旧 Incapsula)
(参照元:https://www.softbanktech.co.jp/service/list/imperva/incapsula/)
|
サービス名 |
Imperva Cloud WAF (旧 Incapsula) |
|
キャッチフレーズ |
クラウド型の WAFおよび DDoS 対策サービス |
|
サービス概要 |
Web アプリケーションファイアウォール(WAF)、DDoS 対策、DR(グローバルロードバランス)、CDN でお客様の Web サイトをトータルで守るクラウドセキュリティサービスです。 |
|
向いてる形態 |
BtoB/BtoC |
|
機能一覧 |
・機能 |
|
価格 |
・価格はお問合せください |
|
運営企業 |
|
|
サービス詳細 |
5.Kona Site Defender
(参照元:https://www.akamai.com/ja/products/kona-site-defender)
|
サービス名 |
Kona Site Defender |
|
キャッチフレーズ |
エッジでの WAF 保護と DDoS 防御 |
|
サービス概要 |
攻撃者にもお客様のアプリケーションにも近いエッジでアプリケーションのセキュリティを確保します。1 日 1,780 億件もの WAF ルールトリガーを通じて攻撃を詳細に把握し、この比類ない可視性を活用することで、最新の脅威に遅れることなく、洗練された精度の高い WAF 保護を提供しています。柔軟性の高い防御は、アプリケーション全体のセキュリティ確保だけでなく、API やクラウド移行など変化するビジネス要件への対応や管理オーバーヘッドの大幅な削減にも役立ちます。 |
|
向いてる形態 |
BtoB/BtoC |
|
機能一覧 |
・カスタマイズ可能な自動化された保護 |
|
価格 |
・価格はお問合せください |
|
運営企業 |
|
|
サービス詳細 |
6.LACクラウドWAF監視・運用サービス
(参照元:https://www.lac.co.jp/operation/cloudwaf.html)
|
サービス名 |
LACクラウドWAF監視・運用サービス |
|
キャッチフレーズ |
クラウドWAF監視・運用サービス |
|
サービス概要 |
Webアプリケーションを狙った攻撃を防御するセキュリティ対策ソリューションに、 |
|
向いてる形態 |
BtoB/BtoC |
|
機能一覧 |
・MSS |
|
価格 |
・価格はお問合せください |
|
運営企業 |
|
|
サービス詳細 |
7.スキュータム
(参照元:https://www.scutum.jp/outline/saas_waf.html)
|
サービス名 |
スキュータム |
|
キャッチフレーズ |
シンプル、手軽、安価! |
|
サービス概要 |
≪世界初のSaaS型WAF≫ |
|
向いてる形態 |
BtoB/BtoC |
|
機能一覧 |
・ブロック機能 |
|
価格 |
・【基本料金】ピーク時のトラフィックス目安:~500kbps 29,800円 / 月 |
|
運営企業 |
|
|
サービス詳細 |
株式会社シーラベルについて