Menu
Close

クラウドWAFとは?仕組みや基本知識をわかりやすく解説|おすすめ製品18選も紹介

この記事で解説すること

クラウドWAFとはそもそも何か、ファイアウォールやIPS/IDSの違い、防げる攻撃の種類、クラウド型・ホスト型・アプライアンス型の違い、クラウド型WAFが注目される背景、仕組み、導入方法、メリット・デメリット、比較ポイントから、おすすめの製品一覧まで、比較検討するうえで必要な情報を網羅してご紹介します。

「クラウドWAF」の製品比較表

※税込と表記されている場合を除き、全て税抜価格を記載しています

  • 製品名
  • 料金プラン
  • プラン名金額
  • 無料トライアル
  • 最低利用期間
  • 基本的な機能
    • 採用管理システム
  • サービス資料
  • 無料ダウンロード
  • ソフト種別
  • サポート
初期費用 10万円
利用料金 45,000円/月額
備考
※3カ月のアウトバウンドデータ量が0.5TBまで
制限なし
クラウド型ソフト 
電話 / メール / チャット /
10GBプラン 11,000円/月
20GBプラン 16,500円/月
50GBプラン 33,000円/月
100GBプラン 49,500円/月
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 55,000円
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 100,000円~
利用料金 要相談
備考
問い合わせ後にヒアリング
1カ月
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 無料
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 5.8万円
利用料金 月額2.8万円
備考
1FQDNあたり
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
利用料金(Pro) 20ドル/月
利用料金(Business) 200ドル/月
利用料金(Enterprise) 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 98,000円
利用料金 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 68,000円~
利用料金 28,000円~
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
最低契約期間1カ月
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
最低契約期間1カ月
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 98,000円~
備考
※1FQDNあたり
利用料金 29,800円~
備考
※1FQDNあたり
制限なし
クラウド型ソフト 
電話 / メール / チャット /

価格や製品機能など、見やすい一覧表から、気になる製品をまとめてチェック!

目次

クラウドWAFとは、クラウド型のWAF(Web Application Firewall)のことを指します。不正アクセスによる個人情報流出や、脆弱性をついた攻撃はとどまるところを知らず、世界中で新たな脅威が次々と生まれています。顧客や世間からの信頼を失わないためにも、企業としては強固なセキュリティを構築し、被害を未然に、最小限に防ぎたいところ。Webアプリケーション層に対する攻撃を防ぐ手段として、WAFを導入する企業も多いですが、なかでも近年注目されているのがクラウドWAFです。クラウド型なら、従来主流だったインストール型やアプライアンス型に比べて、安価で手間なく導入でき、ベンダー主導で導入から運用まで行うため、自社内にセキュリティに関する高度な専門知識をもつ人材を確保する必要がないということで、注目されています。本記事では、クラウドWAFとはそもそもなにか、どんな攻撃を防げるのか、ツールを選ぶ際のポイント、おすすめのクラウドWAFの製品などをご紹介します。製品導入前の比較検討の材料として、ぜひ参考にしてみてください。

クラウドWAFとは

まずはクラウドWAFについて、セキュリティ担当者が知っておきたい基礎知識をご紹介します。そもそもWAFとは何か、WAFの仕組み、ファイアウォールやIPSとの違い、WAFで防げる攻撃と防げない攻撃など、概要をつかんでいきましょう。

そもそもWAFとは

WAFとは「Web Application Firewall」の頭文字をとった略称で、「ワフ」と読みます。一般的に、WAFはサーバーの前面に配置して、不正アクセスや脆弱性を利用した攻撃などからWebサイトやWebサービス、Webアプリケーション、APIを保護します。

WAFの特徴の1つは、Webアプリケーションへのすべての通信を、監視・精査すること。不審な攻撃が見つかった場合は、通信を遮断し、Webアプリケーションに攻撃が到達することを防ぎます。

また、WAFはWebアプリケーションの脆弱性を補完する役目を持っています。現状の攻撃パターンから予兆を発見し、大規模攻撃へと発展する前に対策を講じ、重大インシデントを未然に防ぐことができます。

インターネットバンキングや、顧客の支払い関係を取り扱うECサイト、課金制のWebアプリケーションでは、金融機関にまつわる個人情報を多く取り扱います。万が一サイバー攻撃を受けた場合に、その損害は多大なものとなり、企業経営にも影響をもたらすことでしょう。日々登場する新たな攻撃への対策として、また、強固なセキュリティ体制構築の一手として、WAFが注目されています。

【図解】多層防御の仕組み

近年の不正な通信や情報漏洩、改ざんなどを防ぐためには高度なセキュリティを構築しなければなりません。そのためにはWAFだけでは不十分で、ファイアウォール、IPSなど複数のセキュリティツールを組み合わせて多層防御するのが一般的です。

ネットワーク層、OS・ミドルウェア層、Webアプリケーション層と、階層が分かれていますが、一般的に高階層になるにつれて防御が難しく、より強固なセキュリティシステムを構築する必要があります。

セキュリティベンダーによっては、こうした多層防御をワンストップで提供しているところもあります。製品比較の際に確認してみましょう。

ファイアウォール、IPS/IDS、WAFの違い

WAFが「不正アクセスを防ぐセキュリティシステム」であるならば、そのほかのファイアウォールやIPS/IDSとは何が違うのでしょうか?端的に言うと、違いは「保護する階層」にあります。

ファイアウォールとは

おそらく聞きなじみのある「ファイアウォール」は、もともと防火壁の意味をもちます。インターネット通信を行う際に、外部からの攻撃を阻止し、許可された通信のみを通過させます。ファイアウォールは、インターネット初期からあるセキュリティシステムで、主に、基盤となるネットワーク層を保護します。

IPS/IDSとは

次に、IPSやIDSとの違いですが、ファイアウォールが最も低い階層であるインターネット層を保護する目的なのに対して、IPS/IDSは中間層であるOS層を保護します。

OS(オペレーティングシステム)は、パソコンやアプリの操作をつかさどるものですが、サイバー攻撃や悪意のあるアクセスは、このOSの脆弱性を狙ってきます。これらの攻撃からOSを守るのがIPS・IDSの役割です。両者の違いは以下の通り。

  • IPS:不正侵入防止システム(Intrusion Prevention System)
  • IDS:不正侵入検知システム(Intrusion Detection System)

厳密にいうと、IPSは、不正アクセスを「防止」するのに対して、IDSは不正アクセスを「検知」します。この2つを用いて、包括的にネットワーク上の通信を監視して不正なアクセスを検知、ブロックします。

 

WAFで防げる攻撃

WAFが得意とする、防御可能な攻撃について解説します。できること・できないことを明確にしておきましょう。

防げる攻撃

WAFは通信の中身を解析できるため、Webアプリケーション層の脆弱性をついた攻撃を防ぐことができます。一例をご紹介します。

  • SQLインジェクション
  • クロスサイトスクリプティング(XSS)
  • ディレクトリトラバーサル
  • OSコマンドインジェクション
  • ファイルインクルード
  • バッファオーバーフロー
  • ブルートフォースアタック
  • ゼロデイ攻撃
  • 改行コードインジェクション
  • LDAPインジェクション
  • URLエンコード攻撃
  • DDoS攻撃

不正なコードをやコマンドを注入したり、外部からファイル名を操作したり、悪意あるスクリプトを実行したり、不正アクセスによりパスワードや認証情報を抜き取ったりする攻撃手法です。これらの攻撃を受けた場合、気づかぬうちにデータの改ざん、情報漏洩、パスワードの漏洩などが行われている可能性があります。こうした不正な攻撃を未然に検知し、防ぐのがWAFの役目です。

防げない攻撃

WAFはおもに高階層での防御をブロックするシステムのため、中・低階層、つまりネットワーク層やOS、ソフトウェアをターゲットにした攻撃や、botによる不正ログインなどを防ぐことはできません。この階層の防御は、ファイアウォールやIPS/IDSを用います。

また、基本的にWAFは事前に策定したシグネチャ(不正アクセスを検知するリスト)をもとに、通信の検知と防御を行うため、ときには正常なアクセスをブロックしてしまったり、不正アクセスにもかかわらず、通過させてしまうこともあります。これらを「誤検知」と言いますが、誤検知を防ぐためにはシグネチャの、こまめな更新や精度の高い設定が必要不可欠です。

クラウドWAFの場合は、ベンダーにシグネチャの設定や運用を任せることが多いのですが、「どの程度の質でシグネチャを運用してくれるのか」はしっかり見極めたいところです。また、WAFは既知の攻撃パターンをもとにしたシグネチャでブロックの判断をしているため、基本的に「未知の攻撃」は防げません。ただ、「未知の攻撃」に対しても攻撃を検知遮断するために、各社対策を講じています。例えば、まだ認知されていない未知の攻撃に対しても、現状の攻撃パターンから予測し、対策を講じてくれるクラウドWAFもあります。強固なセキュリティシステムを構築するためにも、クラウドWAFの製品選びは非常に重要と言えるでしょう。

 

WAFの種類

WAFには大きく分けて3種類のタイプがあります。セキュリティツールを選ぶうえで、どのWAFを設置するかは重要な要素となります。タイプごとに特性や違いがあるので、どのタイプが自社に相応しいのかを判断するために、しっかり理解していきましょう。

クラウド型

セキュリティベンダーがSaaS*としてWAFの機能を提供する方法です。多くのケースで、DNS**設定の切り替えのみで導入できます。アプライアンス型やホスト型と比較して、手軽で安価なのが特徴です。

近年の事業者は、ビジネス形態によってはセキュリティの物理環境を構築していないことも多く、そのような場合にクラウドWAFは重宝します。Webサイト、Webアプリケーションが普及してきた近年は、クラウド型WAFが主流となりつつあります。クラウドWAFの場合、セキュリティシステムの導入やシグネチャの設定・更新などの運用は、ベンダーに丸ごと委託することが多いです。

*「Software as a Service」の略称。呼称は「サース」もしくは「サーズ」。ベンダーのサーバーで稼働させているソフトウェアをユーザーが利用できる。

***Domain Name System。ドメイン名とIPアドレスを紐づけるシステム。

アプライアンス型

アプライアンス型は、WAF専用の物理的なハードウェアを自社のネットワーク(サーバー)の前段に設置する方法です。サーバーにあまり負荷をかけずに運用できます。WAFが用いられるようになった初期から利用されている方法で、運用方法は自社か、外部委託となります。専用のハードウェアを用いるため、クラウドWAFより初期費用や運用コストは割高になります。

ホスト型

WAFが登場した初期から活用されているタイプ。自社の保有するサーバーに、ベンダーが提供するWAFのソフトウェアをインストールする方法です。アプライアンス型と比べるとハードウェアが必要ないので、初期費用を抑えることができます。自社内にすでにネットワークが構築されており、サーバ数も潤沢というケースで主に用いられます。導入や初期設定、運用、メンテナンスは基本的には自社で行うため、高度な専門知識をもつエンジニアが必要となります。

クラウドWAFのニーズが高まっている背景

近年は、WebサイトやWebアプリケーションが普及しており、クラウドWAFを採用する企業も増えてきています。アプライアンス型やホスト型と比べても安価で手軽なクラウドWAFは、今や主流のセキュリティシステムと言えるでしょう。ここからはクラウドWAFの需要が高まっている背景についてより詳しく解説します。

Webアプリケーションサービスの拡大

クラウドWAFが広がっている背景として、まずは、WebサイトやWebアプリケーションが拡大・普及したことが挙げられます。物理的な設備や敷地を保有していない個人や企業などでも、誰もが簡単にWeb上でサービスやアプリを提供できるようになった結果、Webアプリケーションへの依存度が高まっています。しかしながら、使用しているプログラムの多くはセキュリティ上万全ではなく、セキュリティの脆弱性はまだまだ存在しており、不正アクセスの突破口となるリスクも散見されています。そして、セキュリティが不十分だった場合、サイバー攻撃を受けやすくなり、その被害も甚大になってきている、という背景があります。

新たな脆弱性攻撃の脅威

次に、新たに出てくる脆弱性攻撃の脅威です。インターネットの歴史は、悪意あるアクセスをどう防ぐかという歴史でもあります。インターネットが普及して間もないころは、ファイアウォールやIPSなどで防御可能だった攻撃も、時代を経て徐々に巧妙になってきており、今でも次々と新しい脅威が発生しています。これらに対応するには、WAFを用いた高度なセキュリティ環境構築が必要であり、脆弱性をついた攻撃をいかに防ぐのかを考えていかなければなりません。

情報漏洩による企業リスク

現在、個人情報の取り扱いは多くの企業にとって、もっともプライオリティの高い業務となっています。個人情報の漏洩は、顧客のイメージダウンにつながり、企業経営にダイレクトに影響をもたらします。場合によっては、企業経営自体が傾きかねない重大なインシデントです。各所で対策を練っているにもかかわらず、セキュリティの目をかいくぐったサイバー攻撃による個人情報流出は後を絶ちません。2024年8月時点で、例えば以下のようなニュースがありました。

KADOKAWA  ハッカー集団によるランサムウェア被害

大規模なシステム障害が続く出版大手「KADOKAWA」はサイバー攻撃を行ったとするハッカー集団によって、学校法人「角川ドワンゴ学園」の生徒の個人情報などが漏えいした可能性が高いと、明らかにしました。

漏えいのおそれがあるのは、N中等部とN高等学校、それにS高等学校の在校生、卒業生、保護者の一部の個人情報です。

引用:NHK   KADOKAWA 「角川ドワンゴ学園」生徒の個人情報など漏えいか

九州電力関連企業 約10万件の個人情報流出

九州電力系で変圧器の製造・販売などを手がけるキューヘン(福岡県福津市)は5日、約10万4000件の個人情報が社外に漏洩した可能性があると発表した。顧客の名前や住所、電話番号が含まれる。社内ネットワークの一部が第三者による不正アクセスを受けた。

漏洩した可能性があるのは、給湯器の販売やメンテナンス、修理などに使用する個人情報。このなかには九州電力から給湯器販売で委託を受けた約4000件も含まれるという。福岡県警に被害届を提出したほか、国の個人情報保護委員会などにも報告した。ランサムウエア(身代金要求型ウイルス)による攻撃とみている。

引用:日本経済新聞 九州電力系、個人情報10万件漏洩か 不正アクセスで

シャープ 不正アクセスで個人情報流出

シャープは29日、公式オンラインストア「ココロストア」などに不正アクセスがあったと発表した。サイトで商品やサービスを注文した顧客203人の氏名や住所、電話番号、メールアドレスなどの個人情報が流出したほか、サイトにアクセスした約10万人についても個人情報が流出した可能性があるという。シャープではオンラインストアなどのサービスを停止し、メールなどで注意喚起を始めた。

引用:日本経済新聞 シャープ、不正アクセスで個人情報流出 最大で10万人も

顧客の支払い関係の情報を取り扱うようなECサイトでは、特に、厳重なセキュリティ環境が必要です。現況のセキュリティ対策だけでは、新たに生まれる脅威や悪意あるサイバー攻撃に対応しきれない可能性もあります。早急に手立てを打つべきでしょう。

クラウドWAFが注目される理由

このように、Webサイトの普及、新たな脅威の登場、情報漏洩リスクと、背景を見てきましたが、これらへの対応策としてクラウドWAFは大変優れています。クラウドWAFのメリットは後程詳しく説明しますが、端的に言うと以下の3つの特徴があります。

  • 導入しやすい
  • 安価
  • 高度な専門知識が不要

Webアプリケーションのサービス提供者は、サーバーやセキュリティ構築のための設備などを所有していないことが多く、DNS*の切り替えのみでネットワーク上にセキュリティを構築できるWAFは大変使い勝手がよいシステムです。シグネチャの設定や更新もベンダーに丸投げできるとあって、運用の手間が不要です。セキュリティ構築のために人材確保や時間を割いていられないという企業に大変好都合。コストが安く抑えられ、高度なセキュリティを構築できるということで、クラウドWAFは注目されています。

*Domain Name System。ドメイン名とIPアドレスを紐づけるシステム。

クラウドWAFの仕組み

概要を理解できたところで、ここからはクラウドWAFの仕組みについて解説します。専門用語は出てきますが、わかりやすく説明するので仕組みを理解していきましょう。

シグネチャによる攻撃検知

クラウドWAFはおもにシグネチャを用いて攻撃を検知し、遮断します。シグネチャとは、過去の攻撃パターンやウイルス、今後予想されるウイルスをまとめた定義ファイルのこと。一般的に、WAFの製品はシグネチャを手動で設定・更新しますが、クラウドWAFの多くは、ベンダーがシグネチャの運用を代行してくれます。クラウドWAFの製品によって、シグネチャの作成方法や更新頻度、更新方法などが異なっているため、比較検討するうえで重要な項目となります。

スコアリングによる攻撃検知

企業独自の基準で、過去のさまざまな攻撃傾向や実績などの要素をスコアリングし、閾値を超えた通信のみを攻撃として判定し、検知します。危険と判定したソースIPからのアクセスを検知・ブロックできます。スコアリングによる防御は、誤検知が少なくなるというメリットがありますが、手動での細かなチューニングが必要で、高度な専門知識が必要とされます。企業の独自判断に依存する、難易度が高い、などのデメリットがあります。

AIによる攻撃検知

近年では、AIを搭載したクラウドWAFが登場しています。過去の蓄積データをもとにAIが現在の攻撃をモニタリングして、攻撃を判定します。現在の攻撃傾向から未知の攻撃を予測することも可能で、未知の攻撃に対して強いという特徴があります。一方、攻撃判定に至ったロジックがわかりにくくブラックボックス化しがち、AIの性能の見極めが難しい、製品によってAIの技術に差がある、などの難点があります。

クラウドWAFの導入方法

クラウドWAFの導入方法はおもに2種類。DNS切り替え型とエージェント連動型です。それぞれ詳しく解説します。

DNS切り替え

クラウドWAFの多くは、DNS設定の切り替えで導入できます。DNSとは、Domain Name Systemの略語で、ドメイン名とIPアドレスを結びつけるシステムのことです。ウェブサーバーと、ユーザーの間にDNS切り替え型クラウドを配置することで、サイバー攻撃を防御できます。簡単に切り替えらえるため、導入前の期間が短く、手間もかかりません。一方で、クラウドWAF自体に障害が発生しているときはWebサービスも停止しなければならないというリスクがあります。ベンダーのサポート体制が構築できているか、稼働率は高く維持できているか、などを確認しましょう。

エージェント連動型

Webサーバー、あるいは、ロードバランサに、エージェントを介在させる方式です。サーバーの通信ログを監視し、不正なアクセスを検出した際に、Webサーバーに遮断命令を出してアクセスをブロックします。エージェント連動型で導入した場合は、攻撃を検知・遮断する最中でもユーザーへのレスポンスの低下は見られません。パフォーマンスにあまり影響しないので、トラフィック容量の大きいサイトを運営している事業者に向いています。

 

クラウドWAFのメリット・デメリット

クラウドWAFのメリット・デメリットをご紹介します。まとめると、それぞれ以下の3つです。

メリット

  • 最短で導入可能
  • コストが低い
  • 運用の手間が少ない

デメリット

  • シグネチャの更新頻度
  • 利用料に応じてコスト増大
  • セキュリティの質や機能をベンダーに依存する

クラウドWAFのメリット3選

まずは3つのメリットから解説します。

1.最短で導入可能

クラウドWAFは、アプライアンス型やホスト型のように物理的な設備が不要です。また、専用のシステムを構築したり、改修したりする必要もありません。そのため、クラウドWAFの製品によって異なりますが、導入までの期間は即日対応してくれることが多いです。専門知識がなくとも設定できるような仕組みになっていたり、マニュアルが整備されている製品もあります。この点も製品選びの際に確認しておきましょう。

2.コストが低い

物理設備が不要で、かつ多くの人手を必要としないため、コストが安く済みます。セキュリティのための敷地や設備をもたないWebサイト・Webアプリケーション管理者にとって、あたらしく設備を導入するのは手間も費用もかかるもの。「できるだけコストを抑えたい」「時間や高度な専門知識を持つ人材を調達することなくWAFを導入したい」というニーズを満たしてくれます。

3.運用の手間が少ない

クラウドWAFは導入時も、導入後の運用も、ベンダーが主導で行ってくれます。自分たちでシグネチャを設定・更新する製品もありますが、一般的にはベンダー側でシグネチャのチューニング作業も代行してくれるため、自社で専門的なエンジニアやアナリストを雇う必要がありません。また、AIによる自動更新や、スコアリングなどを用いて、自動でシグネチャを設定・更新をするところも多いです。トラブルが起きた際も、すぐにメールや電話で対応してくれたり、定期レポートを提出してくれるようなベンダーもあります。運用・サポート体制の内容を精査しつつ、製品導入を検討しましょう。

 

クラウドWAFのデメリット3選

メリットの多いクラウドWAFですが、デメリットも存在します。自社に導入する際に、どれほど影響が出そうか、想像しつつ読み進めていきましょう。

1.製品によってシグネチャの更新頻度が異なる

クラウドWAFは、基本的にはベンダー側でシグネチャの更新を行いますが、決められた業界ルールなどがあるわけではなく、その更新頻度や速度は製品によってさまざまです。

新たな脅威は日々発生しているので、シグネチャの更新の間が空いてしまうと、悪意あるアクセスから狙われる可能性が高くなります。製品選びの際には、シグネチャの更新頻度をチェックするようにしましょう。

2.利用量に応じてコスト増大

クラウドWAFの料金体系は、トラフィックやFQDN*、通信速度などで区別していることが多く、事業者の利用量に応じてコストも増大します。Webサイトの数やトラフィックが少ないうちは問題にならなかったとしても、サイトが成長するにつれて比例して費用がかさむことになります。

現時点でのトラフィックだけで導入を判断すると、のちのち契約の切り替えを検討せざるを得なくなるかもしれません。クラウドWAFを導入する際は「今後の成長見込み」も含めて考慮する必要があります。

*Fully Qualified Domain Name。ドメイン名とホスト名の総称。「完全修飾ドメイン名」とも。

3.セキュリティの質や機能をベンダーに依存する

クラウドWAFは、運用をほぼ丸投げできる点がメリットですが、裏を返せば「ベンダーにセキュリティの質と機能を依存する」ことを意味します。そのためにも、製品選びは非常に重要です。

防御できる攻撃の種類やDDoS攻撃への対応可否などは製品ごとに少しずつ違います。

コスト面や導入のしやすさに目がいきがちですが、「サイトを悪意のあるアクセスから保護する」というそもそもの目的を達成するにはどの製品がふさわしいのか、という視点で比較検討していきましょう。

 

クラウドWAFの比較ポイント

それでは、ここからは具体的にクラウドWAFの比較ポイントを見ていきましょう。ポイントは以下の5つです。

  1. 防御できる攻撃(セキュリティレベル)
  2. シグネチャの更新方法と頻度
  3. 導入機関と工数
  4. 料金体系
  5. サポート体制

1.防御できる攻撃(セキュリティレベル)

クラウドWAFが防御できる攻撃は、主に脆弱性をついた攻撃です。参考として挙げられるのが、OWASP*(Open Worldwide Application Security Project)TOP10までの脅威です。OWASPとはセキュリティシステムの情報を発信しているコミュニティです。

*OWASPは、ソフトウェアのセキュリティを向上させることを目的とした非営利団体で、世界中のエキスパートが集まるオープン・コミュニティでの情報をもとに、セキュリティ上の欠陥や脆弱性などをランク付けしています。

引用:OWASP TOP10

以下のような攻撃事例が挙げられています。

  1. アクセス制御の不備
  2. 暗号化の失敗
  3. インジェクション
  4. 安全が確認されない不安な設計
  5. セキュリティの設定ミス
  6. 脆弱で古くなったコンポーネント
  7. 識別と認証の失敗
  8. ソフトウェアとデータの整合性の不具合
  9. セキュリティ・ログとモニタリングの失敗
  10. サーバーサイド・リクエスト・フォージェリ

AWSやAzureなどのパブリッククラウドは、OWASP Top10の脅威に準拠していることが多く、そのほかのクラウドWAFの場合は、すこしずつ対応範囲が異なります。

「脆弱性を狙った攻撃には強いけれど、DDoSには対応していない」「ネットワーク層への攻撃からWebアプリケーション層までワンストップでセキュリティを構築できる」「SQLインジェクション、サイトスクリプティングなどの最低限の防御のみを備えており、安価で提供している」など、製品ごとに特色があります。検討中の製品では、どんな攻撃を防御できるのかを確認していきましょう。

2.シグネチャの更新方法・頻度

既知の攻撃パターンを定義づけしたシグネチャは、製品によって特色がでる項目です。管理者が自ら細かく設定できるもの、設定から更新までベンダーにお任せできるもの、AIやスコアリングにより自動化されているものなどがあります。セキュリティ対策したいWebサイトやWebアプリケーションによっても、何が最適かは異なります。クラウドWAFの場合は、一般的にベンダーに運用を丸投げできますが、だからこそ、製品のシグネチャの精度が自社サービスに合っているのかどうかは見極めたいところです。

3.導入期間と工数

クラウドWAFは、アプライアンスやホスト型に比べて導入期間が短く、工数も少ないです。製品によってどの程度の日数で導入できるかは異なるので、確認しておきましょう。ただし、自社で用いている現行のセキュリティシステムと仕様が合わない、連携に不具合が出る、といった突発的なトラブルも考えられるため、期間には余裕をもたせておくべきでしょう。導入さえうまくいけば、その後はほとんど手がかからずに運用できます。

4.料金体系

料金体系は、トラフィックや通信速度、FQDN*数に応じて複数のメニューが用意されていることが多いです。もしくは、トラフィックに応じて費用が追加されていく従量課金制の製品もあります。月額固定料金をセールスポイントにしている製品もあり、実際に運用したらどのくらいのコストがかかるのかは精緻に試算しておきたいところです。従量課金制の場合は、今後のサービス拡大予測を熟慮したうえで製品を選ぶ必要があります。トラフィックの増大にともなってクラウドWAFのランニングコストが増大し、当初の見込み予算を超えてしまった、というケースも考えられます。各製品の料金形態については、慎重に精査しましょう。

*Fully Qualified Domain Name。ドメイン名とホスト名の総称。「完全修飾ドメイン名」とも。

5.サポート体制

万が一攻撃を受けた際に、どのように対応してもらえるのかは大事なポイントです。メールや電話、チャットなど、問い合わせ窓口では、どの連絡手段に対応しているのか、また、日時や時間帯はいつ対応可能か、などを事前に確認しておきましょう。また、ベンダー側で24時間365日監視体制があるか、トラブル発生時に原因特定やレポート提出などを行っているか、現状の攻撃から未知の攻撃について予測し提案してくれるか、なども把握しておきましょう。

おすすめのクラウドWAF 18選

クラウドWAF脆弱性診断ツール/サービス

トライアル 有り
サポート 電話 メール 

製品のおすすめポイント

  • 多層防御を可能にするオールインワンセキュリティサービス
  • プロのセキュリティエンジニアによる管理体制を用意
  • FQDNが無制限となる料金プランで高いコスパを実現
トライアル 有り
サポート メール 

製品のおすすめポイント

  • セキュリティ機能を自動アップデートして新たな脅威を検出
  • 柔軟な個別設定でWebサイトの特性に合わせたチューニングが可能
  • データ容量内なら複数サイトを一括防御できる料金体系
トライアル 有り
サポート 電話 メール 

製品のおすすめポイント

  • 24時間365日日本語でテクニカル面をサポート
  • 攻撃検知AIエンジン搭載で誤検知を素早く検出
  • スピーディに導入可能なクラウド型サービス
トライアル 無し
サポート 電話 メール 

製品のおすすめポイント

  • ソフトウェアテスト専門企業のノウハウを利用
  • Webサイトの状況を素早く検知するダッシュボード
  • 利用帯域を超えたら自動的にプラン切り替え
トライアル 有り
サポート 電話 メール 

製品のおすすめポイント

  • クラウド型WAFだからDNSの設定変更だけで導入できる
  • 直感的操作が可能なインターフェースの管理画面
  • 1つの契約で複数サイトを一括管理できる料金体系
トライアル 無し
サポート チャット 

製品のおすすめポイント

  • マネージドルールにより新たな脅威にいち早く対応
  • ボットトラフィックを制御するセキュリティルール
  • APIを利用してAWS WAFを管理することも可能
トライアル 有り
サポート チャット 

製品のおすすめポイント

  • OWASP10位までのセキュリティリスクを包括的に防御
  • 個別に設定されたルールセットで未然に脅威を防ぐ
  • Azure Virtual NetworkでDDoS攻撃防御もサポート
トライアル 有り
サポート メール 

製品のおすすめポイント

  • 脆弱性を利用したシステム攻撃を検知しブロック
  • Security Operation Centerがログを監視
  • FQDNあたりのパッケージ型料金体系を採用
トライアル 有り
サポート 電話 チャット 

製品のおすすめポイント

  • 正しいトラフィックのみ通過させる誤検知機能
  • セキュリティポリシーの自動作成とルールセット
  • OWASPトップ10を超える、業界最高レベルのWebセキュリティ
トライアル 有り
サポート メール チャット 

製品のおすすめポイント

  • 高度なWebアプリケーションファイアウォール
  • AWS、Azureなどのパブリッククラウドに対応
  • Security Operation Center による監視と分析
トライアル 無し
サポート メール 

製品のおすすめポイント

  • CDN上でのWAFを含むクラウドセキュリティを構築
  • セキュリティセンターによるモニタ監視機能
  • ユーザビリティ・ビジネスパフォーマンスの向上を保証
トライアル 有り
サポート 電話 メール 

製品のおすすめポイント

  • CDN大手のクラウドフレアが提供するセキュリティ
  • Cloudflareの特徴はコネクティビティクラウド
  • Webサイトの規模を問わず、最小コストで運用
トライアル 有り
サポート メール 

製品のおすすめポイント

  • 独自のAI技術により脆弱性をついた広範囲の攻撃に対応
  • 専門知識がなくともDNS設定の切り替えで簡単に導入可能
  • 料金プランに応じて複数のFQDNをまとめて保護できる
トライアル 有り
サポート メール 

製品のおすすめポイント

  • クラウドWAFで悪意のあるアクセスを遮断
  • エキスパートによるセキュリティサービスを実施
  • ダッシュボードで脅威となる攻撃をリアルタイムチェック
トライアル 有り
サポート 電話 メール 

製品のおすすめポイント

  • AWSをはじめとした最新クラウド環境に対応
  • NATO指定ベンダーにも供給される実績と性能
  • セキュリティエンジニアによる月次防御証明報告書
トライアル 有り
サポート 電話 メール 

製品のおすすめポイント

  • 脆弱性を悪用した不正アクセスを検知してブロック
  • エンジニアでなくとも管理画面でログを検索・閲覧可能
  • 保守・運用・シグネチャ更新もベンダーが対応
トライアル 有り
サポート 電話 メール 

製品のおすすめポイント

  • AWS、Azureなどのクラウド環境に対応
  • 24時間365日有人による不正アクセス監視体制
  • 検知ログ検索機能と月次レポートの提供あり
トライアル 無し
サポート 電話 メール 

製品のおすすめポイント

  • Webアプリケーションの脆弱性をカバー
  • システム運用のプロが24時間365日サポート
  • トラフィックを目安にした明瞭な料金体系で幅広いニーズに対応

「クラウドWAF」の製品比較表

※税込と表記されている場合を除き、全て税抜価格を記載しています

  • 製品名
  • 料金プラン
  • プラン名金額
  • 無料トライアル
  • 最低利用期間
  • 基本的な機能
    • 採用管理システム
  • サービス資料
  • 無料ダウンロード
  • ソフト種別
  • サポート
初期費用 10万円
利用料金 45,000円/月額
備考
※3カ月のアウトバウンドデータ量が0.5TBまで
制限なし
クラウド型ソフト 
電話 / メール / チャット /
10GBプラン 11,000円/月
20GBプラン 16,500円/月
50GBプラン 33,000円/月
100GBプラン 49,500円/月
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 55,000円
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 100,000円~
利用料金 要相談
備考
問い合わせ後にヒアリング
1カ月
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 無料
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 5.8万円
利用料金 月額2.8万円
備考
1FQDNあたり
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
利用料金(Pro) 20ドル/月
利用料金(Business) 200ドル/月
利用料金(Enterprise) 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 98,000円
利用料金 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 68,000円~
利用料金 28,000円~
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
最低契約期間1カ月
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
最低契約期間1カ月
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問い合わせ後にヒアリング
利用料金 要相談
備考
問い合わせ後にヒアリング
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 98,000円~
備考
※1FQDNあたり
利用料金 29,800円~
備考
※1FQDNあたり
制限なし
クラウド型ソフト 
電話 / メール / チャット /

価格や製品機能など、見やすい一覧表から、気になる製品をまとめてチェック!

まとめ

クラウドWAFとはなにか、クラウドWAFが防げる攻撃、WAFの種類や仕組み、クラウドWAFが注目される背景など、事前に知っておきたい基本知識や選び方をご紹介しました。本記事でご紹介した、選ぶときのポイントなども参考にしつつ、ぜひ自社に相応しい製品を導入してください。また、おすすめのクラウドWAF製品をご紹介しているので、比較検討の際のご参考にしてみてください。

クラウドWAFの比較表を表示する

おすすめ比較一覧から、
最適な製品をみつける

カテゴリーから、IT製品の比較検索ができます。
1805件の製品から、ソフトウェア・ビジネスツール・クラウドサービス・SaaSなどをご紹介します。

すべてみる