おすすめのWAF製品9選!選び方のポイント

WAFのイメージ
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

WordPressをはじめとするWebサービスを公開する際には、セキュリティ対策が欠かせません。

そんなセキュリティ対策の一つとして、WAF(Web Application Firewall)の導入が挙げられます。

WAFはさまざまなサイバー攻撃を検知・防御することができる製品であり、現在ではさまざまなタイプが存在しています。
タイプごとに特徴があるため、ご利用の環境に合わせて選択することが重要です。

今回は、WAFの概要からタイプ別のおすすめWAF製品について紹介します。

WAFとは

WAFはWeb Application Firewallの略称です。
Webサービス・Webアプリケーションのセキュリティ的に弱い部分である「脆弱性」を狙った攻撃からWebサイトを守るために利用します。

主にWebサーバーの前段に設置し、通信内容を検査してサイバー攻撃と思われる通信は遮断することが可能です。

WAFの導入をおすすめする理由

WAFを導入することで、次に挙げるようなサイバー攻撃を防ぐことができます。

  • 不正ログイン
  • Webサイトの改ざん
  • 個人情報などの重要情報の盗取

など

このようなサイバー攻撃は、主にWebアプリケーションの脆弱性によってもたらされるもの。
Webアプリケーションごとに基本的な脆弱性対策は行われていますが、想定外のバグや技術の進歩によって脆弱性が生まれる場合があります。

多くのWEBアプリケーションでは、定期的に脆弱性対策としてバージョンアップが行われますが、脆弱性が見つかってから対策されるまでの間に攻撃される「ゼロデイ攻撃」によって、バージョンアップが間に合わずに攻撃を受けてしまう可能性も考えられるのです。

そのため、それぞれのソフトウェアの対策だけに頼らず、包括的にWebアプリケーションを守ることができるWAFの導入が重要となります。

WAFの3タイプについて

現在提供されているWAF製品は、大きく3つのタイプに分けられます。
それぞれのタイプごとに特徴がありますので、一つずつ見ていきましょう。

クラウド型

クラウド型WAFは、クラウドサービスとしてWAFの機能を提供するタイプです。
クラウド型は近年主流になりつつあるタイプといえるでしょう。

他のタイプと比べて、専用ハードウェアを必要としないため導入が簡単で運用の手間も少ない点が特徴です。

初期導入コストは抑えられますが、月々の運用コストは他のタイプと比べると割高となります。

ソフトウェア型

ソフトウェア型WAFは、Webアプリケーションと同じWebサーバーにインストールして利用するタイプです。

ソフトウェア型は専用ハードウェアを増やす必要がなく、Webサーバーの数が少ない場合は導入コストを抑えられます。

しかし、Webサーバーの数が増えるほど導入コストがかさむため、環境に合わせて選択することが重要です。

アプライアンス型

アプライアンスとは、特定の用途に特化した専用のハードウェアです。アプライアンス型はネットワーク型・ゲートウェイ型とも呼ばれます。

Webサーバーとは別に専用ハードウェアとなるアプライアンス型WAFを用意し、Webサーバーの前段に設置することで、配下のWebサーバーに対してWAFの機能を提供します。

アプライアンス型は、複数のWebサーバーを運用している場合に効果的です。

また、専用に設計されているため、パフォーマンスが重要視される環境でも有効となります。

反対に、その他のタイプと比べるとコストがかかる点や、運用・構築のためにネットワーク知識などの専門知識が必要である点がデメリットです。

クラウド型おすすめのWAF製品3選

ここでは、クラウド型のおすすめWAF製品を3つ紹介します。

攻撃遮断くん

攻撃遮断くん
攻撃遮断くんは、株式会社サイバーセキュリティクラウドが提供するクラウド型WAFです。

サービス開始から3年半で累計導入者数国内1位のサービスとなっています。
クラウド型だけでなく、ソフトウェア型も提供しており、環境によって選択することが可能です。

攻撃遮断くんではリアルタイムに攻撃状況が可視化され、サイバー攻撃に対する状況把握・情報共有が適切に行える特徴があります。

また、損害保険ジャパン日本興亜株式会社と協力し、独自カスタマイズされたサイバー保険が付帯している点も特徴です。

『攻撃遮断くん』公式サイト:https://www.shadan-kun.com/

Cloudbric

Cloudbric
Cloudbric社は韓国のソウルに拠点を置く情報セキュリティ企業です。
1997年に創立され、Webセキュリティ業界では20年以上の実績があります。

WAFサービスのCloudbricは、日本・アメリカ・欧州・韓国・中国の5カ国で特許を取得した独自開発の検知エンジンを搭載しており、サイバー攻撃の可視化も可能です。

また、WAFセキュリティだけでなく、無料のSSL証明書の提供や追加料金無しでDDoS対策ができるといった特徴があります。

『Cloudbric』公式サイト:Cloudbric

AWS WAF

AWS WAF
AWS(Amazon Web Service)は、Amazonが提供するクラウドサービスであり、そのクラウドサービス上で提供されるWAFサービスがAWS WAFです。

AWSはITインフラをクラウドで提供するサービスであり、世界中で利用されています。

近年はデータセンターなどにサーバーを設置する「オンプレミス」から、AWSをはじめとするクラウドサービスへ移行する流れがあります。

WebサーバーをAWSで構築している場合は、サポートの柔軟さや管理の容易さの点から、同一クラウドサービス内で完結するAWS WAFを選択するとよいでしょう。

『AWS WAF』公式サイト:https://aws.amazon.com/jp/waf/

ソフトウェア型おすすめのWAF製品3選

ここでは、ソフトウェア型のおすすめWAF製品を3つ紹介します。

SiteGuardシリーズ

SiteGuard
SiteGuardは、株式会社ジェイピー・セキュアが開発・販売するソフトウェア型WAF製品です。
販売店としてキヤノンマーケティングジャパン株式会社が登録されています。

純国産のソフトウェアであるため、日本人にとって使いやすい管理画面・レポート出力が特徴です。
また、国産ならではの高品質なサポート環境も見逃せません。

SiteGuardは用途によって2つのバリエーションが存在しており、環境に応じて選択することが可能です。

  • SiteGuard Server Edition:Webサーバーのモジュールとして動作するソフトウェア型WAF
  • SiteGuard Proxy Edition:リバースプロキシとしてWebサーバーの前段で動作するソフトウェア型WAF
  • また、SiteGuard Browserと呼ばれるServer Editionの利用者向け専用ツールや、WordPress向けのSiteGuard WP Pluginなど、さまざまなSiteGuardシリーズが存在します。

    『SiteGuard』公式サイト:https://siteguard.jp-secure.com/product

SmartCloud ソフトウェアWAF

SmartCloud ソフトウェアWAF
SmartCloudソフトウェアWAFは、NTTコムウェア株式会社が開発・販売するソフトウェア型のWAFです。

WAFを導入・チューニングする際は、セキュリティ診断に応じて適切に行う必要があります。

しかし、専門知識がなければその対応は難しいものです。
SmartCloudソフトウェアWAFでは、セキュリティの専門家によるセキュリティ診断と連動した最適なチューニングが提供されます。

顧客ごとの最適なWAFチューニングの提供は、SmartCloudソフトウェアWAFの最大の特徴といえるでしょう。

『SmartCloud ソフトウェアWAF』公式サイト:https://sc.nttcom.co.jp/sec/waf/softwarewaf

InfoCage SiteShell

InfoCage SiteShell
InfoCage SiteShellは日本電気株式会社(NEC)が開発・販売するソフトウェア型のWAF製品です。

攻撃を検知するための最新の脆弱性対策パッケージ(ブラックリスト)はNECから随時提供されるため、常に最新の脆弱性対策が行なえます。

また、クレジットカード業界のグローバルセキュリティ基準である「PCI DSS」に準拠したWAF機能を提供している点が特徴です。

Webアプリケーションに渡されたデータをチェックし、バッファオーバーフローやSQLインジェクション、クロスサイトスクリプティングなどのさまざまな攻撃を防ぐことができます。

『InfoCage SiteShell』公式サイト:https://jpn.nec.com/infocage/siteshell/index.html

アプライアンス型おすすめのWAF製品3選

ここでは、アプライアンス型のおすすめWAF製品を3つ紹介します。

FortiWeb

FortiWeb
FortiWebはアメリカに本社を置くグローバルセキュリティ企業のFortinetが提供するアプライアンス型WAFです。

WAF専用ハードウェアで開発されているため、業界トップクラスのWAFスループット(処理性能)を誇ります。

SQLインジェクション攻撃、DDoS攻撃などの脅威からの保護だけでなく、AIベースの脅威検知でゼロデイ攻撃からの保護機能も提供しています。
『FortiWeb』公式サイト:https://www.fortinet.com/jp/products/web-application-firewall/fortiweb

Barracuda WAF

Barracuda WAF
Barracuda WAFは、アメリカに本社を置くグローバルセキュリティ企業のBarracuda Networks社が開発・販売するアプライアンス型WAF製品です。

2005年に日本法人を設立し、2007年からは9年連続で導入出荷実績国内No.1を獲得しています(2015年富士キメラ総研調べ)。

Barracuda WAFは「開梱後30分で防御対策が完了」と謳っており、簡単にクロスサイトスクリプティングやSQLインジェクション対策が行える製品です。

また、DDoS攻撃の防御やHTTPキャッシング、HTTP圧縮などにも対応しており、包括的なセキュリティ対策と合わせて通信最適化が行なえます。
『Barracuda WAF』公式サイト:https://www.barracuda.co.jp/products/waf/

Imperva SecureSphere

Imperva SecureSphere
Imperva SecureSphereは、アメリカに本社を置くサイバーセキュリティソフトウェア企業であるImperva社のアプライアンス型WAF製品です。

通常のWAF製品はシグネチャ(攻撃の特徴)ベースで攻撃を検知しますが、Imperva SecureSphereでは、加えて独自のWeb相関ポリシーを攻撃解析に利用しているため、誤検知が非常に少ないという特徴を持ちます。

また、アプリケーションに応じて柔軟なポリシーを作成でき、より詳細なWAFポリシーを作成可能です。
『Imperva SecureSphere』公式サイト:https://www.lac.co.jp/service/product/imperva.html

WAF製品選びで確認すべきポイント

最後に、WAF製品を選ぶ際に確認すべきポイントを見ていきましょう。ここでは、大きく3つのポイントを紹介します。

導入と運用にかかるコスト

基本的にWAFは導入して終わり、ではありません。

セキュリティ分析に応じてWAFのチューニングが必要になる場合がほとんどです。
そのため、導入時のコストと合わせて、運用にかかるコストもしっかりと確認しなければなりません。

たとえば、クラウド型の場合、導入コストは抑えられますが月々のコストは割高であり、加えて運用コストもかかるものです。

アプライアンス型の場合、導入コストは非常に高くつきますが、月々のコストは抑えられます。

ご利用の環境に合わせて、導入コストだけでなく月々のコスト・運用コストも考慮することが大切です。

導入実績

WAFに限らず、セキュリティ製品はどれだけの実績があるのかが重要です。
実績が多い製品はそれだけ安心感をもたらしてくれるでしょう。

WAFの機能としてはどの製品もほとんど同じです。
あとは、細かい要望に応えることができるセキュリティ機能を有しているか、信頼できる製品か、といった点が選択の基準になります。

実績が多い製品は、セキュリティ製品として信頼されていると見ることができるため、確認すべきポイントの一つです。

サポート体制

WAFを適切に運用するためには高度な知識が必要です。
また、セキュリティ製品という性質上、未知の事象に遭遇する場面も多く存在します。

そのため、しっかりとしたサポート体制が整えられていなければ、適切な運用ができない可能性が考えられるのです。

不具合の発生時や攻撃を受けた際など、あらゆる場面でどのようなサポートを受けられるのかは、導入前にしっかりと確認しておきましょう。

まとめ

WAFはWeb Application Firewallの略称であり、Webアプリケーションを狙う攻撃からWebサーバーを守るために利用します。

WAFには、「クラウド型」「ソフトウェア型」「アプライアンス型」の3つのタイプが存在しており、ご利用の環境に合わせて選択することが重要です。

この記事では、3つのタイプごとにおすすめの製品を紹介しましたので、ぜひ参考としてください。

また、WAF製品を選ぶ際には、「導入と運用にかかるコスト」「導入実績」「サポート体制」の3つのポイントに注意して選択しましょう。

WordPressサイトの保守・運用・管理のご相談はこちら

WordPressサイトの制作・リニューアル等のご相談はこちら

WordPressサイトのハッキングからの復旧・不具合の解消はこちら

土井純也

土井 純也 Twitterアイコン Facebookアイコン

WordPressスペシャリスト・エンジニア
株式会社プレートテクノロジー 取締役
1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。