最終更新日:2023-12-15
アクセスの多いWebサイトでは、脆弱性攻撃への対策として導入必須なWAF。ここではどのようなタイプのWAFを入れるべきか、WAFを選ぶ際に意識することは何か、比較のポイントや主なサービスとともにご紹介します。
WAFとは、HTTPS/HTTPで通信されるWebサイトへの悪意のある攻撃を検知・防御するサービス。Webアプリケーションファイアウォール(Web Application Firewall)の略称です。
通常のファイアウォールはあらゆる通信を防御対象とするものの、Webサイトとの通信内容までは把握できないため、HTTPS/HTTPの特性を活かした攻撃には対処できないのがネック。
WAFは通信内容を把握できるので、悪意のある攻撃を検知できます。「シグネチャ」と呼ばれるあらかじめ想定した攻撃パターンと通信を照合させて不審な挙動を把握し、攻撃と見なした場合はアラート通知や通信ブロックでWebサイトを防御します。WordPressなどのCMSを利用するWebサイトの保護にも有効です。
Webサイトの脆弱性を狙った代表的な攻撃手法としては、下記のようなものがあります。
こうした攻撃を防ぐために、できるだけ万全にWebアプリケーションを開発することは大切です。しかし、脆弱性が全くない、完璧な状態にするのは非常に困難なため、WAFの利用が広く普及しています。
WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“WAF”の 一括資料ダウンロードする(無料)
WAFには主に3つのタイプがあり、セキュリティ、通信性能、導入・運用のしやすさで自社に適したWAFを選ぶことになります。
クラウド型のWAFは、自社のネットワーク構成を変える必要がないため、導入しやすいタイプです。多くはDNSやSSL証明書の設定をするだけ使えるようになります。手間のかかる初期設定や検知対象の微調整などはサービス提供者側がリモートで設定することも可能なため、運用負担も抑えられます。
将来の拡張性を担保したいという場合にも向いています。最初はWebサイトの利用者が少ないのでトラフィックが少ないけれど、将来は多くなる可能性もあり、そうなった場合でもWAFを変えることなく対応したいという場合、サービスによっては料金プランを変えるだけで、大量のトラフィックにも対応できるようになります。
トラフィックが少なく、安価に済ませたい場合は共有型を使う手もあります。共有型のクラウド型WAFの場合は他Webサイトとリソースを共有する分、安価に利用できます。ただし、アクセス数が多い場合や高速なアクセス処理を求める場合には不向きです。その場合は、占有型のクラウド型WAFを選択しましょう。
「WAFの環境構築は自社で行う」ことを前提に、価格重視で最低限のWAFを利用したい場合で、パブリッククラウドを利用しているのであれば、パブリッククラウド提供会社が提供しているWAFの利用が比較的安価です。
たとえば、AWSであれば「AWS WAF」、Azureであれば「Azure WAF」があります。これらのサービスは利用時間や通信料などによる従量課金制のため、一時的にアクセスが増える場合や、期間限定でWebサイトを運用する場合にも向いています。
導入に際して、WAFの初期設定やその後の運用負担に不安がある場合は、初期設定が行われているマネージドルールを合わせて使うのも有効です。AWS WAF向けのマネージドルールについては、「AWS WAF向けマネージドルールのおすすめは?種類別サービス7選」で詳しくご紹介しています。
専用のハードウェアにWAFを組み込んだアプライアンス型WAF は、主には自社ネットワークの中に設置して利用します。アプライアンス型WAFは、高速処理のためにハードウェアを最適化させているとともに、自社専用でリソース全てを使えるため、安定した高速通信が必要な場合は特に向いています。
大規模サイトで高速性と安定性重視であれば、アプライアンス型WAFは有力な選択肢と言えます。
WAFのソフトウェアを自社でサーバー上に構築して運用するタイプです。インストールや運用だけでなく、セキュリティポリシーの設定やシグネチャの更新などが必要(アプライアンス型WAFも同様)になりますので、一定の手間はかかります。ただし、設定の自由度の高さや、小規模であればWebサイトのWebサーバーに同居して利用することもできますので、自社運用でも問題がなければ使い勝手の良いタイプです。
Webサイトへのアクセスが多いのに、WAFでの通信分析に時間を要するようでは、Webサイトの応答速度が低下してしまい、ユーザーの満足度に大きく影響します。WAFが通信のボトルネックになることがないよう、Webサイトのピークトラフィックにさらに余裕を待たせたスペックのWAFを準備しておく必要があります。
なお、クラウドWAFにおいては、従量課金制で必要リソースを適宜割り当てるので速度低下を心配する必要がないものや、料金プランを変更するだけでピークトラフィックを変更できるものがあります。
どのような攻撃にも対応できるようにするためには、ハッキングや不正ログインなどの主要な攻撃は全て検知・防御できるWAFにすべきです。SQLインジェクションやクロスサイトスクリプティングなどへの対応はもちろん、セキュリティコミュニティ「OWASP」が出している脆弱性リストに対応しているサービスも多くあります。
また、ただ対応しているだけでなく、攻撃パターンであるシグネチャの更新頻度や検知するAIの精度も重要になります。多くの主要なWAFでは、運用上支障のないペースでシグネチャが更新されていますので、実績あるWAFを選べば大きな違いにはならない場合がほとんどです。
自社で環境構築や運用保守を行う前提であれば問題ありませんが、そうでない場合は比較的手間のかからないクラウド型WAFを中心に検討することが多いでしょう。一口にクラウド型WAFといっても、運用開始後のトラブル発生時にどこまでどのように対応してくれるかは、サービスやプラン次第になりますので、万一のトラブル発生時の想定が必要です。
たとえば、WAFの誤検知で通信を遮断してしまった場合、正常な通信が遮断されて利用できない、という致命的な事態を招いてしまいます。そのような万が一の際に、メールやチャットで対応方法を一から確認している時間はありませんので、電話やリモート操作で即対応できる、というのは重要なポイントになります。
まずは導入や運用負担の少ないクラウド型のWAFをご紹介します。
“WAF”の 一括資料ダウンロードする(無料)
(出所:アイロバ公式Webサイト)
WAFだけでなく、Webサイトの防御に有効なDDos監視、改ざん検知、DNS監視、そしてサイバー保険もセットになったクラウドサービス。セキュリティ事業の知見を活かした検知精度の高さや過検知の抑制も強み。
料金体系は、Webサイト数やドメイン数が無制限で、使用したデータ量に応じての課金になるため、Webサイトを複数運用している企業に導入しやすい。その際、データ量は3か月平均で計算するため、一時的なアクセス急増による負担を軽減できる。同社エンジニアによる導入時や運用時のサポートも標準料金に含む。
(出所:Cloudbric WAF+公式Webサイト)
企業のWebセキュリティ確保に必須とされる、「WAFサービス」「DDoS攻撃対策サービス」「SSL証明書サービス」「脅威IP遮断サービス」「悪性Bot遮断サービス」の5つのサービスを単一のプラットフォームで統合的に利用できるクラウド型WAFサービス。114ヵ国より収集される脅威情報とエキスパート部隊の専門性が強み。
導入時と導入後運用時の2つのフェーズにおいてCloudbric Labsの国内外のセキュリティ専門家集団によるマネージド・セキュリティ・サービスを提供。専門家でなくても使いこなせる、視認性の高いダッシュボードと検知ログのメニューもポイント。過去3カ月分のサマリーレポートを自動作成できる機能を備える。エージェントやモジュールのインストール不要の簡単なプロセスで導入できる。
(出所:攻撃遮断くん公式Webサイト)
累計導入サイト数が20,000サイト以上、継続率約99%(2022年の月次平均解約率)の実績を有するクラウド型WAF。SQLインジェクション、クロスサイトスクリプティング、ブルートフォースアタックなどの主要な攻撃に対応。DNS切替え型に加えて、クラウドの監視センターへログ送信し、遮断命令を受けて攻撃を遮断するエージェント連動型もあり。
全てのプランで電話サポートが利用可能なため、万一の時も安心。定額で複数サイトをカバーできる「Webサイト入れ放題プラン」もある。
(出所:PrimeWAF公式Webサイト)
低コストかつ、導入には専門知識が不要な、ゼロ情シス・一人情シスの中小企業も気軽に導入できるWAF。「初めてのセキュリティ対策」として多くの企業で選ばれている。月額利用料は、Webサイトへの通信量に応じて課金する従量制。もしものアクセス急増に備えて高いプランを契約しておく必要がないのが、手頃な価格の理由。
管理画面がわかりやすく、攻撃への対策が立てやすいのも魅力。提供会社のバルテス社のノウハウにもとづた初期設定が標準で利用可能で、簡単にWebサイトの防御を始められるのも中小企業にはありがたい。
(出所:SiteGuard Cloud Edition公式Webサイト)
13年以上の販売実績を持つソフトウェアメーカーが提供する純国産WAF。導入~運用までエンジニアがフルサポートするマネージド型で、サイト情報などの初期設定とDNS切り替えのみですぐに利用開始できるのが強み。管理画面もシンプルで直感的に操作できるインターフェースで、専用の管理フォームから各種チューニングをエンジニアへすぐ依頼できる。
搭載された標準シグネチャで多様な攻撃の検出・防御が可能。シグネチャのカスタムや国別フィルタにも対応し、システム環境や方針に合わせてセキュリティを最適化できる。WordPressなどのCMSサイトやApache Strutsなどのミドルウェアの保護にも有効だ。
クラウド型以外にも、Webサーバー上でモジュールとして動作するホスト型、リバースプロキシとして動作するゲートウェイ型も提供。セキュリティ対策方針やインフラ構成などに合わせて、導入タイプの選択も可能だ。
(出所:Ray-SOC WAF公式Webサイト)
検知が難しい攻撃も防御できる、高性能なAIエンジンを搭載したクラウドWAFサービス。技術提携企業が、世界中のハニーポットやサイトから収集した攻撃手法を学習させて、OWASPの上位10種はもちろん、ゼロデイ攻撃や難読化攻撃、ヘッダーやボディに埋め込まれた攻撃、POSTメソッドによる攻撃にも対応。検知後はスピーディーに自動判定・遮断し、少ない処理の負荷でWebサイトのセキュリティ強化を実現する。
環境構築やチューニング、運用状況の監視、防御統計分析・レポート作成などの手間がかかる作業は、Ray-SOCセンターが担当し、導入~運用まで一連の社内負担を軽減できることもメリット。サイトやアクセス数が多い場合は、共有型でなく占有型を選べば安心だ。
(出所:Imperva WAF公式Webサイト)
クラウドサービスとアプライアンス(仮想を含む)から選んで利用できる米国企業のWAFサービス。AWS、AzureやGCPなどの環境下でも利用可能。防御できる範囲の広さや検知精度の高さは世界中で定評あり。ポリシーを自動化する機能や用意されたルールを使用することで、負担を抑えながら利用を開始できる。
トラフィック分析やルール作成などをオプションで依頼することもできる。コストをかけてでも対策を強化したい場合に特に向いている。
(出所:Scutum公式Webサイト)
脆弱性診断サービスを手掛ける会社が開発するクラウド型WAFサービス。SQLインジェクションやクロスサイトスクリプティングなど主な攻撃手法に対応。シグネチャ形式ではなく、因果関係を分析するベイジアンネットワークと異常検知アルゴリズムをもとにした独自開発のAIによる検知精度の高さ・誤検知の少なさが強。脆弱性情報の収集に力を入れ、即座に対策できるようにしている。
ピーク時のトラフィック量に応じて料金が変わる体系。オプションで分析レポートの作成を依頼したり、DDoS対策を強化したりできる。
(出所:マネージドWAFサービス公式Webサイト)
24時間365日の有人監視やレポート提供がセットになっている点がユニークなクラウド型WAF。WAFの導入だけでなく、稼働・性能監視、障害対応、シグネチャの更新、設定変更などの運用作業を任せることができる。AWSやAzureなどのクラウド環境にも対応。
(出所:AWS WAF公式Webサイト)
AWS利用者にとっては利用しやすいWAFサービス。SQL インジェクションやクロスサイトスクリプティングなど一般的な攻撃パターンに対応。分レベルの短時間で導入可能。初期設定が予め用意されたマネージドルールを利用できるので環境構築の負荷も小さい。小規模サイトであれば月数千円程度から利用できるサービス。
対象サーバーはAWS上のサーバーに限られるため、AWSで運用しているサーバーに対してWAFを効率的に導入したい場合に向いている。
(出所:Azure WAF公式Webサイト)
Azure上でクラウドのサーバー環境を運用している場合に利用しやすいAzure向けWAFサービス。SQLインジェクションやクロスサイトスクリプティングなど主な攻撃手法に対応。あらかじめ設定されたマネージルドルールを使えば設定の負担を軽減できる。イベントログのSIEMツールとの連携にも対応。
料金体系は従量課金制でスケーリングできるので、ピーク時のトラフィックを想定することなく導入できる。
(出所:Barracuda WAF公式Webサイト)
アプライアンス型WAFだけでなく、クラウド型WAF、AzureやAWS向けのWAFも提供している。小規模サイトから大規模サイトまで5つのモデルで対応。
ブルートフォース攻撃、インジェクション攻撃などの主要な攻撃に加えて、アップロードファイルのアンチウィルスや個人情報の違法コピーを防ぐデータ盗難プロテクション機能を保有。
送信元のIPレピュテーション(送信元の信頼性の高さ)を同社独自のデータベースに蓄積しており、IPレプリケーションの程度に応じたアクセス制御が可能。
(出所:FortiWeb公式Webサイト)
ファイアウォールで世界的にシェアの高い同社のWAF。高速処理を実現するためのハードウェア性能を有するため、大規模サイトに適している。AWSやAzureで動作する「FortiWeb on AWS」や「FortiWeb on Azure」もある。定期的なシグネチャ更新による防御だけでなく、機械学習エンジンを用いたゼロデイ攻撃対策もある。
(出所:InfoCage SiteShell公式Webサイト)
Webサイトにインストールするタイプ。Webコンテンツ改ざん防止の監視オプションもあり。SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクションなどの主要な攻撃に対応。
Webサイトに直接インストールするホスト型、WAF専用サーバーにインストールするネットワーク型、スイッチのミラーポートに接続したWAF専用サーバーにインストールするスニファ型から選べる。
Webサイトを運営する企業にとって不可欠なWAF。大規模サイトで高速処理を前提にするのであれば、依然としてアプライアンス型WAFは安心ですが、一定の導入コストや運用負荷は必要です。ECサイトのようにアクセスの多いWebサイトにおいても中規模サイトまではクラウド型WAFで十分対応できることが増えています。
WAFの動作が不安定だとWebサイトの利用に致命的な影響を与えますので、万一の自社での運用が不安であれば、どのようなタイプであれ、即時のサポートと、ログ分析などのチューニング支援が受けられるサービスを選ぶと安心です。
WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“WAF”の 一括資料ダウンロードする(無料)
株式会社アイロバ
クラウド型のWAF/DDoS防御/改ざん検知機能を備えた総合セキュリティサービス。Webサイトのあらゆる脅威にオールインワンのセキュリティで対応できます。...
ペンタセキュリティ株式会社
企業のWebシステムを守る一石五鳥のWebセキュリティ・プラットフォーム・サービス。社内にセキュリティ専門家がいなくても手軽に運用・導入ができます。...
EGセキュアソリューションズ株式会社
15年以上の販売実績を持つソフトウェアメーカーが提供するマネージド型純国産WAF。SiteGuardシリーズは累計導入サイト数150万サイト超、国内WAF市場シ...
株式会社レイ・イージス・ジャパン
高性能なAIエンジンで、ヘッダーやボディに埋め込まれた攻撃も防御。運用状況はRay-SOCセンターが監視するため、社内で行う必要はありません。...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
