個人情報を取り扱う企業はサイバー攻撃への対策が迫られていることもあり、「WAFを導入してWebサイトのセキュリティを強化したい」と考えている企業も多いのではないでしょうか。 WAFは導入方法が3タイプあり、「自社がどのタイプにあっているのか」「どのベンダーのWAFを選べばいいのか」など、それぞれのツールを比較するには時間がかかります。 そこでこの記事では、自社と相性のいいWAFの選び方やおすすめのツール15選をまとめました。 この記事を読めば時間のかかるWAFの比較をスムーズに行えます。 自社と相性のいいWAFを見極められる内容となっておりますので、ぜひ参考にしてください。 WAFについて理解を深めたい方は、以下の記事を参考にしてください。 参考:WAFとは?セキュリティ対策に必要な理由や種類、導入効果を解説 24時間365日電話サポート!国産のクラウド型WAF(無料資料)

失敗しないWAFの選び方

WAFには特徴やサポート範囲などが異なるため、選定する際は注意しないといけません。

失敗しないWAFの選び方導入目的と防御できる攻撃の種類が合っているか確認する初期費用・運用コストを確認する運用サポート付きかどうかベンダーのサポート範囲を確認する自社と類似している導入実績があるかどうか無料ウェビナー・トライアルでツールのイメージを確認するWebサイトの処理性能への影響を確認するシグネチャの更新頻度を確認するWAF製品のピックアップ【PR】24時間365日電話サポート!国産クラウド型WAF「攻撃遮断くん」WAFの3つのタイプを解説おすすめのWAF製品15選アプライアンス型WAF製品【4選】アプライアンス型1. Imperva SecureSphereアプライアンス型2. FortiWebアプライアンス型3. Barracuda WAFアプライアンス型4. SecureSoft Sniper DDXソフトウェア型WAF製品【3選】ソフトウェア型1. SiteGuardソフトウェア型2. Clearswift SECURE Web Gatewayソフトウェア型3. SmartCloud ソフトウェアWAFクラウド型WAF製品【8選】クラウド型1. Cloudbricクラウド型2. Scutumクラウド型3. 攻撃遮断くんクラウド型4. シマンテック クラウド型WAFクラウド型5. Imperva Incapsulaクラウド型6. AEGIS Security Systemsクラウド型7. WAF BENKEIクラウド型8. AIONCLOUDまとめ

WAFの選定で失敗しないためには、以下の7点を参考にしましょう。

導入目的と防御できる攻撃の種類が合っているか確認する初期費用・運用コストを確認する運用サポートを確認する自社と類似している導入実績を確認する無料ウェビナー・トライアルでツールのイメージを確認するWebサイトの処理性能への影響を確認するシグネチャの更新頻度を確認する

それでは解説します。

導入目的と防御できる攻撃の種類が合っているか確認する

WAFの導入目的と防御できる攻撃の種類があっているかを確認しましょう。 WAFには防ぐことのできる、できないサイバー攻撃があります。 WAFで防御できる攻撃は以下の通りです。

バッファオーバーフロークロスサイトスクリプティングSQLインジェクションDDoS攻撃ブルートフォースアタック(総当たり攻撃)ディレクトリトラバーサル

WAFを導入することで、Webサイトへの不正アクセスの監視・ブロックやログの確認などのセキュリティ対策ができるようになります。 導入目的とWAFの防御できる攻撃の種類があっているか確認し、異なる場合は以下の記事を参考にサイバー攻撃別の対策方法を確認してください。 参考:【2022年最新】サイバー攻撃対策ソフト11個を厳選比較!目的にあったセキュリティソフトの選び方も解説

初期費用・運用コストを確認する

WAFにかかる初期費用と運用コストを確認しておきましょう。特に確認しておくべきは初期コストよりも運用コストです。 運用コストの中でも、セキュリティのチューニングコストの負担が大きくなりがちです。 新しい脆弱性が見つかった場合、不正アクセスが正常なアクセスかを判断するためのルールブックである「シグネチャ」の更新が必要になります。 シグネチャの更新が必要になった場合、その都度ベンダーにチューニングを依頼すると運用コストがかかります。 自社で運用する場合はセキュリティに詳しい人材の人件費等がかかります。 大規模になると初期費用100万円以上、年間の運営費用が10万円を超えるなど、Webサイトのセキュリティに対して費用対効果が見合わない可能性があります。 会社の規模感が小さいにも関わらず、専用機器を自社に設置して運用するアプライアンス型のWAFを導入してしまっては、コストが合いません。 クラウドに特化した、低コストで運用できるサービスを提供しているベンダーもありますので、運用コストを確認した上で費用対効果に見合ったサービスを選びましょう。

運用サポート付きかどうか

WAFの提供元であるベンダーからの運用サポートがあるかを確認しておきましょう。 環境構築や運用保守を任せられるサービスと、WAFは設置できるがその後の運用等は自分で行う必要があるサービスまでさまざまです。 自社にセキュリティ部門がある場合は運用・保守のないサービスでも構いませんが、メールやチャットサポートなど、何かあったときに質問できる環境が整っているWAFを選びましょう。 セキュリティ部門がない、専任の担当者がいない場合は保守運用まで任せられるサポートが整っているWAFを選ぶのがおすすめです。 WAFを活用したセキュリティを全て任せられるので、専門的な知識を持った社員がいなくてもセキュリティを強化できます。 サポートのないWAFと比べると費用は高くなりますので、その点だけ注意しましょう。

ベンダーのサポート範囲を確認する

ソフトウェア型WAFは手軽に導入でき、カスタマイズできるのが特徴ですが、クラウドWAFと比べると運用に専門的な知識が必要になります。 そのため、セキュリティに関するサービスのため、何かあった時の相談先、サポートが必要です。 また、万が一セキュリティが作動しない等のトラブルが発生した場合にも迅速に対応できる環境が必要です。 テクニカルサポートが整っているサービスや海外製のWAFを利用する場合は日本語での問い合わせができるかも確認しておきましょう。 多少コストが高くなったとしても、サポートの手厚いサービスを選びましょう。

自社と類似している導入実績があるかどうか

WAFを導入する前にベンダーの導入事例を見て自社に近い業種・業界の実績があるかを確認しましょう。 会社規模やサーバーの数によって導入すべきWAFのタイプが異なります。 自社にあったWAFを見つけるには、ベンダーの事例から同業種、または近い業界の導入事例を確認しましょう。 同じような業種・業界を見つけた上で問い合わせを行えば、導入に失敗することはありません。

無料ウェビナー・トライアルでツールのイメージを確認する

無料ウェビナーやトライアルで導入イメージを確認できるかが重要なポイントになります。 アプライアンス型のWAFはクラウド・ソフトウェアに比べて導入コストが高く、1,000万円をこえることもあります。 導入してから「カスタマイズ性が微妙」「操作しにくい」という不満が出ても自社でカスタマイズするには工数がかかるため、あらかじめウェビナーや無料トライアルを通じてイメージを確認できるかを確認しておきましょう。 最初の設計段階が特に重要であるため、「自社で扱えるサービスか」「設計・運用方法」を確認しておきましょう。 ウェビナーやトライアルで使用感を確認できない場合は他のサービスを検討すべきです。

Webサイトの処理性能への影響を確認する

クラウド型のWAFを導入する場合は、Webサイトへの処理性能の影響を無料トライアルや設計時点で確認してもらいましょう。 WAFを使うことでWebサイトの本来の動きが阻害されたり、誤検知によりコンテンツが表示されなくなる可能性があります 特に動的コンテンツのあるWebサイトではコンテンツの一部が不正アクセスと検知され、表示されない可能性があります。 そこで必要になるのが導入箇所に合わせてセキュリティの設定を変えるチューニングという作業です。 動的コンテンツを取り扱っているWebサイトでクラウドWAFを導入するのであれば、チューニングにも対応してくれるクラウドサービスを選びましょう。 もしくは、検知したアクセスを管理できる(不正アクセスでない場合はアクセス権限を変更できる)ようなツールを使えばWebサイトを正しく表示しつつ、セキュリティ面を強化できます。

シグネチャの更新頻度を確認する

クラウドWAFはセキュリティ運用を行ってくれますが、不正アクセスが正常なアクセスかを判断するためのルールブックである「シグネチャ」の更新頻度を確認しておきましょう。 Webサイトに向けたサイバー攻撃は日々、新しい脅威が生み出されています。 未知の脅威に対応するためにも、シグネチャの更新頻度が高ければ高いほどセキュリティ面で信頼できるサービスと言えます。 特にクラウドWAFを比較検討する際にはベンダー側にシグネチャの更新頻度や更新定義を確認しておきましょう。 その際、具体的な回答を得られない場合は他のサービスを検討した方がいいでしょう。

WAF製品のピックアップ【PR】

WAFの3つのタイプを解説

WAFには前述した通り3つのタイプがあり、それぞれ特徴が違います。WAFのタイプごとに適した企業の特徴は以下の通りです。 「攻撃遮断くん」の資料をダウンロード

特徴

・クラウド型国産WAFで最短翌営業日から導入可能 ・AIの攻撃検知技術によって検知困難な未知の攻撃にも対応可能 ・最大1,000万円保障のサイバー保険付き

セキュリティ

防御パターンを自動アップデートしてくれるので、担当者なしで最適なセキュリティシステムを構築できる

サポート体制

自社開発なので万が一のトラブルの際も、開発者が24時間365日サポート可能

導入実績

NTTドコモ・SBI証券・官公庁・大手金融機関など、サービス導入数は5,000サイト以上

料金

Webセキュリティタイプ 1サイトプラン10,000円~ 詳しくはこちら

おすすめの人

・攻撃状況やブロックした結果を可視化できるWAFを導入したい ・短納期かつ、低コストでセキュリティ対策を実施したい ・サイトやシステムを止めることなくセキュリティを強化したい ・保守・運用に手間のかからないサービスを探している 「攻撃遮断くん」の資料をダウンロード

アプライアンス型:自社にセキュリティ部門があり、複数サーバーを持つような大企業ソフトウェア型:カスタマイズ性のあるWAFを手軽に導入したい大・中小企業クラウド型:セキュリティ部門はないが、WEBサイトにWAFを設置したい特定のサイトにWAFを行いたい中小企業

それぞれの特徴や利用時のメリット・デメリット、相性のいい企業について解説していきます。

おすすめのWAF製品15選

ここでは、おすすめのWAF製品を15個紹介し、重要なポイントを解説します。 なお、重要度を客観化するためにおすすめのWAFを紹介したサイトを調査し、検索結果をスコアリングして上位表示の製品から順に掲載しています。

アプライアンス型WAF製品【4選】

アプライアンス型1. Imperva SecureSphere

アプライアンス型2. FortiWeb

アプライアンス型3. Barracuda WAF

アプライアンス型4. SecureSoft Sniper DDX

ソフトウェア型WAF製品【3選】

ソフトウェア型1. SiteGuard

ソフトウェア型2. Clearswift SECURE Web Gateway

ソフトウェア型3. SmartCloud ソフトウェアWAF

SmartCloud ソフトウェアWAF

クラウド型WAF製品【8選】

クラウド型1. Cloudbric

クラウド型2. Scutum

クラウド型3. 攻撃遮断くん

クラウド型4. シマンテック クラウド型WAF

クラウド型5. Imperva Incapsula

クラウド型6. AEGIS Security Systems

クラウド型7. WAF BENKEI

クラウド型8. AIONCLOUD

まとめ

WAFは、Webアプリケーションの脆弱性を狙った不正なアクセスを防止するためのセキュリティシステムです。 導入する際は、自社が求めるセキュリティレベルを明確にし、コスト・セキュリティ・サポート体制を確認した上で、選ぶことをおすすめします。 多発するWebアプリケーションへのサイバー攻撃に対して、無防備なままで被害にあえば、企業の信用にも関わります。 まだ導入していない方は、この記事を参考に、ぜひ一度検討してみてください。 24時間365日電話サポート可!国産のクラウド型WAF(無料資料)

参考サイト一覧

クラウド型WAFを導入するメリットとデメリットをそれぞれまとめてみた|CyberSecurityTIMES WAFの役割=Webアプリケーションに潜む脆弱性の“無害化”|Scutum WAF(ウェブアプリケーションファイアウォール)の種類と選び方のポイント|サイバーセキュリティ.com WAF製品の比較21選 | 選び方や導入のポイントも解説|ボクシルマガジン FortiWeb 新たな脅威に対して先進の技術でプロテクションを展開|キーマンズネット Web アプリケーション ファイアウォール FortiWeb|ITトレンド

WAF 15 - 94 WAF 15 - 22 WAF 15 - 85 WAF 15 - 63 WAF 15 - 40 WAF 15 - 44 WAF 15 - 13 WAF 15 - 41 WAF 15 - 19 WAF 15 - 30 WAF 15 - 44 WAF 15 - 6 WAF 15 - 60 WAF 15 - 30 WAF 15 - 18 WAF 15 - 46 WAF 15 - 86