Webアプリケーションの脆弱性を突いたサイバー攻撃を検知・ブロックする「WAF(Webアプリケーションファイアウォール)」。Webアプリの市場拡大にともない、現在では多種多様なWAFが提供されているため、自社に適したものを選ぶのが難しい状況となっています。ここでは、WAFを選定する際の比較ポイントや導入時の注意点を説明します。

また、導入実績の多い代表的なWAF(Webアプリケーションファイアウォール)をご紹介します。自社の課題や目的に照らし、適切なサービスを見つけてください。

面倒なITサービス選定。無料でプロに相談しませんか? 詳しくはこちら

WAFの比較方法・選び方

WAFを比較選定する際のポイント

WAFを比較選定する際のポイント

 

WAFを比較選定する際にチェックしておきたいのは、以下の4つのポイントです。

 

  • 導入形態は自社に合っているか
  • 導入・運用コストは予算に合っているか
  • 自社と類似した企業の導入実績はあるか
  • 充実したサポートが受けられるか

 

各項目を詳しく見ていきます。

 

■導入形態は自社に合っているか

WAFの導入形態は「ソフトウェア型」「アプライアンス型」「クラウド型」の3タイプに分けられます。それぞれの特徴は以下の通りです。

 

ソフトウェア型(ホスト型)

WebサーバにWAFのソフトウェアを直接インストールするタイプ。

・専用機器が不要のため導入コストを抑えやすい。ただし、大規模なシステムの場合はWebサーバごとに導入する必要があるため、導入コストが高くなる

・比較的短期間で導入できる

・運用・メンテナンスは自社で行う必要がある

アプライアンス型(ゲートウェイ型)

WAFの機能を搭載した専用ハードウェアを外部ネットワークとWebサーバの間に設置する。

・Webサーバから独立した機器なのでWeb サーバに負荷を与えない

・1台で複数のサーバを保護できる

・柔軟にカスタマイズできる

・ 導入コスト・運用コストは高い

クラウド型(サービス型)

インターネット上に提供されているクラウドサービスを利用するタイプ。

・システム構築や専用機器が不要で短期間で導入できる

・初期費用を抑えられる

・運用・メンテナンスはベンダーが行う

・カスタマイズ性は低い

 

自社の事情や予算に合わせて適切な導入形態を選択しましょう。

 

■導入・運用コストは予算に合っているか

WAFは導入形態や導入規模によって費用が大きく変わるため、予算をふまえて選定する必要があります。ハードウェアを用意する必要があるアプライアンス型は初期費用が高額ですが、大規模システムの場合は、Webサーバごとにインストールするソフトウェア型よりも割安になる場合があります。

 

クラウド型は初期費用を抑えられるものの、月額制なのでランニングコストが必要です。保守・メンテナンスにかかる費用もあわせて、導入コスト・運用コストを含めた概算を出したうえで検討しましょう。

 

■自社と類似した企業の導入実績はあるか

「過去にどのような企業が導入したか」という導入実績もチェックしておきたいポイントです。自社の規模・業種に近い企業への導入実績が豊富であれば、自社のWebサイト・Webサービスに必要な防御機能を有しているという見方ができます。また、導入実績が少ないベンダーと比べると、セキュリティ対策のノウハウが蓄積されているといえるでしょう。

 

■充実したサポートが受けられるか

WAFを適切に運用するには、サイバー攻撃のパターンやシグネチャの設定方法などに関する専門知識が必要です。そのため、自社のリテラシーや運用体制に不安がある場合は、ベンダーのサポートが充実しているかどうかをチェックしておくことが大切です。

 

導入時・導入後のサポート内容や、対応可能な曜日・時間帯、料金の有無について、電話や公式サイトのフォームから問い合わせておきましょう。 

課題・ニーズ別に見たWAFの向き・不向きの傾向

課題・ニーズ別に見たWAFの向き・不向きの傾向

 

どのようなWAFを選ぶべきかは、自社の課題によっても変わってきます。以下に課題・ニーズ別の向き・不向きの傾向をまとめました。

 

課題・ニーズ

向き・不向きの傾向

導入規模が小さい/導入・運用の負担が少ないものにしたい

クラウド型のWAFはハードウェアの準備が不要で、かつベンダーがメンテナンスを行うため、リソースが限られた中小企業でも手軽に導入しやすい

導入規模が大きい/自社のシステム担当者がカスタマイズしながら運用を最適化したい

サーバの台数にかかわらず環境構築がしやすいアプライアンス型のWAFがおすすめ。導入規模が大きいほど費用対効果が良くなり、柔軟にカスタマイズ可能なので大企業に適している

日々進化するサイバー攻撃・脅威に随時対処できるようにしたい

防御パターンを自動アップデートする機能が搭載されたWAFであれば、新種の攻撃も検知・ブロックしやすい。AIエンジンを活用しているものもある

情報セキュリティに関する自社の知識・ノウハウが不足している

ベンダーの手厚いサポートが受けられるWAFであれば、運用面で適切なアドバイスがもらえ、トラブル発生時でも速やかに対処してもらえる。24時間365日、セキュリティアナリストによるサポートが受けられるものもある

WAFの導入時に注意すべき点

WAFの導入時に注意すべき点

 

WAFの導入により、動作性に影響を及ぼすことがあるため、事前テストを実施することが大切です。テストによって、普段のトラフィックと比べてどのくらい負荷が増えるかを確認しておけば、本番もスムーズに導入しやすくなります。実際にサイバー攻撃を仕掛け、検知・ブロックの精度を確認するのもおすすめです。

 

また、WAFをスムーズに運用するために「運用ポリシー」を作成しておきましょう。運用体制やトラブル発生時の対応フローなどをまとめておけば、業務範囲や責任の所在が明確化されます。

自社に合ったWAFを選定しよう

WAFは導入形態によって運用方法や費用感が変わってきます。そのため、検討時は導入規模や予算を考慮しながら自社に合ったタイプを選択してください。くわえて、自社と類似した企業への導入実績があり、サポート体制が整っているベンダーであればセキュリティ機能と運用面の両方で安心感を持てます。ここで紹介した比較ポイントを参考に、最適なWAFを見つけてください。

WAF・DDoS対策サービス 7選

1.Barracuda Web Application Firewall

(参照元:https://www.barracuda.co.jp/products/waf/)

サービス名

Barracuda Web Application Firewall

キャッチフレーズ

最新の脅威からアプリケーションとデータを保護

サービス概要

顧客情報などの流出は、信用の失墜・賠償責任などを企業にもたらします。脆弱性対策として、セキュアプログラミングによるWebアプリケーションのセキュリティ向上をさせても、 常にバージョンアップが必要となり、膨大なコストが発生し続けるものです。 こうした問題を解決するのがサーバサイドに設置するWebアプリケーションファイアーウォール、通称WAF。 Webアプリケーションを脅威から守り、Webサービスのセキュリティを極限まで向上させます。

運営企業

バラクーダネットワークスジャパン株式会社

サービス詳細

Barracuda Web Application Firewallの詳細を見る

 

導入した企業の声

独立行政法人国立高等専門学校機構 有明工業高等専門学校 創造工学科 准教授 マルチメディアセンタ情報基盤部長 松野 良信様:

導入目的は、Webアプリケーションを使用する際のセキュリティはサーバを設置した担当者に任せている部分が多く、組織として対応が必要と考えていたため。Barracuda Web Application Firewallを活用することで、校内のサーバの状況を把握することができ、不正なアクセスも減りました。

 

2.攻撃遮断くん

(参照元:https://www.shadan-kun.com/)

サービス名

攻撃遮断くん

キャッチフレーズ

新たな脅威にいち早く対応

サービス概要

セキュリティ技術者不要で新たな脅威に瞬時に対応!クラウド型WAF「攻撃遮断くん」
攻撃遮断くんは、外部からのサイバー攻撃を遮断し、個人情報漏洩、改ざん、サービス停止などからWebサイトを守るクラウド型Webセキュリティサービスです。
【特長】
・日本での自社開発
・24時間365日の手厚いサポート
・国内トップクラスの脆弱性対応スピード
・複数サイトでも定額で安心してご利用
(参照元:株式会社サイバーセキュリティクラウドHP)

向いてる形態

BtoB/BtoC

導入社数

約 12000 社

(2019年06月16日時点)

価格

・価格はお問合せください

運営企業

株式会社サイバーセキュリティクラウド

サービス詳細

攻撃遮断くんの詳細を見る

 

3.Cloudbric

(参照元:https://www.cloudbric.jp/)

サービス名

Cloudbric

キャッチフレーズ

企業のWebサイトを守る 全方位型セキュリティ対策

サービス概要

クラウドブリックのセキュリティプラットフォームにてより効果的かつ効率的なセキュリティ対策を実現
・ロジカル分析WAF
シグネチャーのアップデートが不要なロジックベース検知エンジン搭載のWAFにより、Web攻撃や情報漏洩、ウェブ改ざんを防ぎます。
・無料SSL証明書
ウェブサイトからの通信を暗号化するSSL証明書を無償提供しており、証明書の簡単な設置・更新により常時SSLを実現します。
・DDoS対策
どんなプランを利用してもお客様ごとに完全独立されているWAFセキュリティ環境を提供し、追加課金なしでDDoS攻撃に対応します。
(参照元:ペンタセキュリティシステムズHP)

向いてる形態

BtoB/BtoC

価格

・価格はお問合せください

運営企業

ペンタセキュリティシステムズ

サービス詳細

Cloudbricの詳細を見る

 

4.Imperva Cloud WAF (旧 Incapsula)

(参照元:https://www.softbanktech.co.jp/service/list/imperva/incapsula/)

サービス名

Imperva Cloud WAF (旧 Incapsula)

キャッチフレーズ

クラウド型の WAFおよび DDoS 対策サービス

サービス概要

Web アプリケーションファイアウォール(WAF)、DDoS 対策、DR(グローバルロードバランス)、CDN でお客様の Web サイトをトータルで守るクラウドセキュリティサービスです。
【特長】
・信頼性の高いクラウド WAF
・クラウドサービス提供拠点が世界中に存在
・DDoS 攻撃対策
常に 5Tbps を超える帯域を保有しており、10秒以内の DDoS 攻撃緩和 SLA を提供します。たとえ数百 Gbps の帯域消費攻撃があっても瞬時に DDoS 攻撃の緩和を開始することでお客様の Web サイトを脅威から守ります。
(参照元:SBテクノロジー株式会社HP)

向いてる形態

BtoB/BtoC

機能一覧

・機能

価格

・価格はお問合せください

運営企業

SBテクノロジー株式会社

サービス詳細

Imperva Cloud WAF (旧 Incapsula)の詳細を見る

 

5.Kona Site Defender

(参照元:https://www.akamai.com/ja/products/kona-site-defender)

サービス名

Kona Site Defender

キャッチフレーズ

エッジでの WAF 保護と DDoS 防御

サービス概要

攻撃者にもお客様のアプリケーションにも近いエッジでアプリケーションのセキュリティを確保します。1 日 1,780 億件もの WAF ルールトリガーを通じて攻撃を詳細に把握し、この比類ない可視性を活用することで、最新の脅威に遅れることなく、洗練された精度の高い WAF 保護を提供しています。柔軟性の高い防御は、アプリケーション全体のセキュリティ確保だけでなく、API やクラウド移行など変化するビジネス要件への対応や管理オーバーヘッドの大幅な削減にも役立ちます。
【特長】
・最高水準の精度
・場所を問わずすべてのアプリケーションを保護
(参照元:Akamai HP)

向いてる形態

BtoB/BtoC

機能一覧

・カスタマイズ可能な自動化された保護
・API の自動ディスカバリーおよびセキュリティ
・0 秒 DDoS 緩和 SLA
・攻撃に対する詳細な可視性とレポート機能
・IP レピュテーション(オプション)
・マネージド・セキュリティ・サービス(オプション)

価格

・価格はお問合せください

運営企業

Akamai

サービス詳細

Kona Site Defenderの詳細を見る

 

6.LACクラウドWAF監視・運用サービス

(参照元:https://www.lac.co.jp/operation/cloudwaf.html)

サービス名

LACクラウドWAF監視・運用サービス

キャッチフレーズ

クラウドWAF監視・運用サービス

サービス概要

Webアプリケーションを狙った攻撃を防御するセキュリティ対策ソリューションに、
セキュリティ監視・運用を組み合わせることで、さまざまな環境に分散している複数のWebサイトに、
高度なセキュリティ対策を一括で適用できるサービスです。

【特長】
・ポリシー運用の手間が不要
・脆弱性対策を強化
・DDoS攻撃に対応
・検知情報をレポート提供
・機器の追加導入が不要

(参照元:株式会社ラックホームページ)

向いてる形態

BtoB/BtoC

機能一覧

・MSS
・POS

価格

・価格はお問合せください

運営企業

株式会社ラック

サービス詳細

LACクラウドWAF監視・運用サービスの詳細を見る

 

7.スキュータム

(参照元:https://www.scutum.jp/outline/saas_waf.html)

サービス名

スキュータム

キャッチフレーズ

シンプル、手軽、安価!

サービス概要

≪世界初のSaaS型WAF≫
SaaS型だから実現できた抜群の機動性が、小規模サイトからクラウドコンピューティングまで柔軟に対応したセキュリティをご提供します。従来型WAFの課題を克服するためにクラウドモデルを採用したScutumは、世界で初となるクラウド型WAFです。導入サイトとの通信をScutumセンター経由にすることで、Webアプリケーションファイアウォールの機能を提供します。
【特徴】
・「かんたん」:導入まで約1週間
・「あんしん」:最新の脆弱性対策を常に反映
・「低コスト」:月29,800円~の料金体系
(参照元:株式会社セキュアスカイ・テクノロジーHP)

向いてる形態

BtoB/BtoC

機能一覧

・ブロック機能
・モニタリング機能
・防御ログ閲覧機能
・レポート機能

価格

・【基本料金】ピーク時のトラフィックス目安:~500kbps  29,800円 / 月
・【初期費用】ピーク時のトラフィックス目安:~500kbps  98,000円 / 初期費用
・【基本料金】ピーク時のトラフィックス目安:~10Mbps  128,000円 / 月
・【初期費用】ピーク時のトラフィックス目安:~10Mbps  98,000円 / 初期費用
・【基本料金】ピーク時のトラフィックス目安:~200Mbps  298,000円 / 月
・【初期費用】ピーク時のトラフィックス目安:~200Mbps  198,000円 / 初期費用

運営企業

株式会社セキュアスカイ・テクノロジー

サービス詳細

スキュータムの詳細を見る