今さら聞けないWAFとは? セキュリティ対策に必要な情報・種類・仕組みを徹底解説
【監修】株式会社ジオコード マーケティング責任者
渡辺 友馬
Webアプリケーションを狙った不正な攻撃への対策が、WAFの活用です。不正な攻撃への対策を講じないでいると、個人情報の流出など企業のリスクに発展しかねません。悪意あるユーザーからの攻撃はWAF以外の方法でも対策可能です。例えば、ファイアウォールやIPSが挙げられます。しかし、WAFとファイアウォール、IPSの役割は異なります。それぞれどのような役割を果たすのかを確認しましょう。
本記事では、WAFの概要や導入が求められる理由、他のセキュリティ対策との違いなどを解説します。
おすすめのWebセキュリティサービス一覧
scroll →
| 会社名 | サービス名 | 特長 | 費用 | 主なサービス |
|---|---|---|---|---|
株式会社サイバーセキュリティクラウド
|
攻撃遮断くん |
|
1サイト月額11,000円~ ※別途、初期導入費用がかかる お問い合わせ |
攻撃検知AIエンジン搭載 サイバー攻撃対策 サイバー保険付帯 |
株式会社スリーシェイク
|
Securify(セキュリファイ) |
|
ASMプラン:お見積り BASICプラン:10万円/月額 STARTERプラン:5万円/月額 Freeプラン:0円/月額 ※契約は年単位 お問い合わせ |
ASM Webアプリケーション診断 Wordpress診断 SaaS診断 |
| 株式会社アイロバ | BLUE Sphere |
|
~1.004TB 月額/45,000円 ~5.022TB 月額/78,000円 ~10.044TB 月額/154,000円 |
WAF DDos攻撃からの防御 改ざん検知 DNS監視サービス サイバーセキュリティ保険 |
| ペンタセキュリティ株式会社 | Cloudbric WAF+ |
|
月額サービス料金 28,000円~ 初期導入費用 68,000円~ |
WAFサービス DDoS攻撃対策サービス SSL証明書サービス 脅威IP遮断サービス 悪性ボット遮断サービス |
| バルテス株式会社 | PrimeWAF |
|
1サイト限定プラン 初期費用 55,000円 0GB以上160GB未満 14,300円 160GB以上10TB未満 33,000円 10TB以上32TB未満 110,000円 サイト入れ放題プラン 初期費用 55,000円 0TB以上10TB未満 110,000円 10TB以上32TB未満 220,000円 |
ペネトレーションテストサービス クラウド診断サービス セキュアプログラミングのソフトウェア品質セミナー WAF |
| EGセキュアソリューションズ株式会社 | SiteGuard Cloud Edition |
|
通信量 400GBまで 初期費用 ¥100,000 価格 (月額) ¥25,000 通信量 1TBまで 初期費用 ¥100,000 価格 (月額) ¥50,000 通信量 4TBまで 初期費用 ¥100,000 価格 (月額) ¥80,000 通信量 10TBまで 初期費用 ¥200,000 価格 (月額) ¥170,000 通信量 20TBまで 初期費用 ¥200,000 価格 (月額) ¥280,000 通信量 40TBまで 初期費用 ¥200,000 価格 (月額) ¥520,000 |
シグネチャ検査(更新、設定はマネージドサービスとして提供します。) CMS設定(WordPress、Movable Type、EC-CUBEの運用に適した設定を行います。) アクセス制御 国別フィルタ ダッシュボード レポート機能 専用フォーム(各種お問い合わせは専用フォームで承ります。履歴管理も可能です。) |
| Amazon Web Services, Inc. | AWS WAF |
|
Web ACL 月あたり (時間で案分) USD 5.00 ルール 月あたり (時間で案分) USD 1.00 リクエスト USD 0.60/100 万件のリクエスト (最大 1500 WCU およびデフォルトの本文サイズの検査*) Bot Control と Fraud Control 上記のタブによる追加費用 |
ウェブトラフィックフィルタリング AWS WAF Bot Control アカウント乗っ取り詐欺の防止 アカウント作成詐欺防止 フル機能 API リアルタイムの可視性 AWS Firewall Manager への統合 |
| 株式会社ROCKETWORKS | イージスWAFサーバセキュリティ |
|
イージスサーバセキュリティタイプ 月額/50,000円 イージスDDoSセキュリティタイプ ~2Mbps 初期費用/¥98,000 月額/¥40,000 ~5Mbps 初期費用/¥98,000 月額/¥60,000 ~10Mbps 初期費用/¥98,000 月額/¥120,000 ~50Mbps 初期費用/¥198,000 月額/¥198,000 ~100Mbps 初期費用/¥198,000 月額/¥250,000 ~200Mbps 初期費用/¥198,000 月額/¥450,000 200Mbps以上 別途見積もり |
サイバー攻撃の検出/遮断 月次レポート サイバーセキュリティに関するアドバイザリー 法務相談(オプション) |
| SBテクノロジー株式会社 | Imperva WAF |
|
- | Web Application Firewall |
| 株式会社セキュアスカイ・テクノロジー | Scutum |
|
~500kbps 初期費用 98,000円 月額 29,800円 ~5Mbps 初期費用 98,000円 月額 59,800円 ~10Mbps 初期費用 98,000円 月額 128,000円 ~50Mbps 初期費用 198,000円 月額 148,000円 ~100Mbps 初期費用 198,000円 月額 198,000円 ~200Mbps 初期費用 198,000円 月額 298,000円 200Mbps 初期費用198,000円 100Mbps毎に100,000円加算 |
1 ブロック機能 Webサイトに対する攻撃と思われる通信を遮断する機能 2 モニタリング機能 Webサイトに対する攻撃と思われる通信を記録する機能 (通信自体は遮断されません) 3 防御ログ閲覧機能 ブロック(モニタリング)した通信をログとして保存し、閲覧できる機能 4 レポート機能 下記の内容を管理画面上で報告する機能 ・攻撃元(IPアドレス)top5 ・攻撃種別top5 ・防御ログの月別ダウンロード 5 ソフトウェア更新機能 防御機能等を向上させるため、ソフトウェアを更新する機能 6 防御ロジック更新機能 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能 7 特定URL除外機能 Webサイト中のWAF機能を利用したくない箇所を防御対象から除外する機能 8 IPアドレスの拒否/許可設定機能 特定のIPアドレスからの通信を拒否、もしくは特定のIPアドレスからの通信のみ許可する機能 9 脆弱性検査用IPアドレス管理機能 Webサイトへの脆弱性診断等を行う際、設定したIPアドレスからの通信についてブロック/モニタリングを行わない機能 10 SSL/TLS通信機能 暗号化された通信についても解読し、防御する機能 11 API機能 Scutumで検知した防御ログや詳細な攻撃リクエスト内容をAPI経由で取得できる機能 |
| エヌ・ティ・ティ・スマートコネクト株式会社 | SmartConnect Network & Security |
|
- |
UTM WAF DDoS Webプロキシ メールセキュリティ ロードバランサ VPN |
| 株式会社モニタラップ | AIONCLOUD WAAP |
|
- |
WAF Webアプリケーションを既存の攻撃、ゼロデイ攻撃などから防御します。 APIセキュリティ 企業のAPIに対する可視性を提供し脅威を遮断します。 ボット緩和 ボットのトラフィックを管理し、Webサイトを保護します。 DDoS保護 アプリケーション階層のDDoS攻撃から企業のWebサイトを守ります。 |
| フォーティネットジャパン合同会社 | FortiWeb |
|
- |
アプリケーションのセキュリティ コンテンツセキュリティ デバイスのセキュリティ NOC/SOC セキュリティ ウェブセキュリティ 管理された検出と対応 SOC-as-a-Service インシデント対応サービス サイバーセキュリティの評価と準備状況 |
| バラクーダネットワークス | Barracuda Web Application Firewall |
|
- |
WebアプリケーションとAPIの保護 + OWASPおよびゼロデイ攻撃に対する保護 + 高度なボット攻撃からアプリケーションを保護 + API保護 + サーバクローキング + URL暗号化 + GEO IPとIPレピュテーションチェック + マルウェア対策とウィルス対策 + マルチプロトコルサポート + アプリケーションDDoS対策 + 大規模なDDoSの防止 + JSONセキュリティ + XMLファイアウォール + アクティブ脅威インテリジェンス + クライアントサイドプロテクション アプリケーションデリバリ + アプリケーションの負荷分散と監視 + コンテンツルーティング + キャッシュ、圧縮、トラフィックの最適化 データ保護とコンプライアンス + アウトバウンドDLP + コンプライアンス認証 IAM + SAMLサポートとSSO + クライアント証明書ベースの認証 + AD FSとの統合 + LDAP、Kerberos、およびRADIUSとの統合 + 2要素認証 レポート + Barracuda Active Threat Intelligenceダッシュボード + 直感的なドリルダウンレポート + 包括的なログ + SIEMとの統合 管理 + HAクラスタリング + ロールベースの緻密なアクセス制御 + REST APIによる自動化とスケーラビリティ + 統合的なDevSecOpsの有効化 + デフォルトのセキュリティテンプレート 中央管理 + 単一コンソール + 証明書の中央管理 + 中央管理通知とアラート 使いやすさ + アプリケーション学習(アダプティブプロファイリング) + 仮想パッチと脆弱性スキャナとの統合 + 自動構成エンジン |
| セコムトラストシステムズ株式会社 | マネージドWAFサービス |
|
- |
DDoS対策 ファイアウォール IPS WAF |
| Amazon Web Services, Inc. | AWS Shield |
|
- |
AWS Shield Standard 基盤となる AWS サービスの静的しきい値 DDoS 保護 インラインの攻撃緩和 AWS Shield Advanced アプリケーショントラフィックパターンに基づいてカスタマイズされた検出 正常性に基づく検出 高度な攻撃緩和機能 自動アプリケーションレイヤー DDoS 緩和策 積極的なイベント応答 保護グループ 可視性と攻撃の通知 DDoS コスト保護 専門サポート グローバルな可用性 一元化された保護管理 |
この記事の目次はこちら
WAFとは?
WAFとは、Web Application Firewallの略で、サイトを守るセキュリティ対策のひとつです。具体的には、WAFはWebアプリケーションを狙った攻撃を防止します。Webアプリケーションには脆弱性と呼ばれる弱点が潜んでいる可能性があります。悪意のあるユーザーからすると、このような弱点は格好の攻撃の的です。そのため、WAFによって通信内容を分析してどのようなやり取りであるかを判断し、不正を防止します。
WAFが守るWebアプリケーションとは?
WebアプリケーションとはWebの技術を活用した技術です。ユーザーはアプリケーションをデバイスにダウンロードすることなく、ブラウザ上で利用可能です。さまざまなSNSのブラウザ版やECサイト、各種予約サイトなどで利用されています。
WebサイトとWebアプリケーションの違いは、ユーザーと運営元(企業)とのコミュニケーションの有無が異なります。Webサイトの場合、いくつものぺージで構成されているのが一般的です。それぞれのぺージではテキストや画像などで情報を伝えています。あくまで運営元からユーザーに対して、一方向で情報を伝えるのがWebサイトです。一方、Webアプリケーションはコメントの書き込みや個人情報の登録など、ユーザーと運営元による相互のコミュニケーションが可能です。
WAFが求められる理由
WAFが求められる理由はWebアプリケーションの弱点をついた攻撃が多いためです。一般社団法人JPCERTコーディネートセンターの報告によれば、Webアプリケーションとソフトウェア製品についての脆弱性の報告件数が以下のとおり異なります(※)。
| 分類 | 2024年第2四半期(4月~6月) | 2004年7月8日~2024年6月30日 |
| ソフトウェア製品 | 81件 | 5,834件 |
| Webアプリケーション | 31件 | 13,177件 |
2024年第2四半期こそ、Webアプリケーションよりソフトウェア製品が上回っているものの、期間トータルで両者を比較すると、Webアプリケーションはソフトウェア製品に対して倍以上の差があります。このように、脆弱性を排除してWebアプリケーションを構築することは難しいため、WAFによって脆弱性を狙った攻撃を防止することが大切です。
※参考:一般社団法人JPCERTコーディネートセンター.「ソフトウェア等の脆弱性関連情報に関する届出状況」.“ソフトウェア等の脆弱性に関する取扱状況(概要)”.p3(2024-10-09).
WAFとその他のセキュリティ対策の違い
セキュリティ対策としてWAF以外にも以下が挙げられます。
- FW(ファイアウォール)
- IPS
ここではそれぞれとWAFとの違いを解説します。
FW(ファイアウォール)
FW(ファイアウォール)とは、社内の端末やネットワークを外部からの不正なアクセスから守るセキュリティ対策です。外部からの不正なアクセスだけでなく、許可されていない外部への通信も防止します。
FW(ファイアウォール)は送信元と送信先の情報をベースに、外部への公開が不要な情報システムを狙った不正なアクセスを制限します。しかし、Webアプリケーションは広く公開する情報システムであるため、FW(ファイアウォール)では不正なアクセスを防止できません。そのため、WAFによって不正なアクセスを防止する必要があります。
IPS
IPSは、OSやOSとアプリケーションをつなぐ存在であるミドルウェアに弱点が存在しています。この弱点を狙った攻撃を防ぐ役割を担っているのがIPSです。他にもファイル共有サービスへの不正な攻撃を防止する際に用いることが可能です。
IPSは幅広い不正な攻撃に対応できるものの、高度化された攻撃には対応できない可能性があります。また、Webアプリケーションに対する悪意ある攻撃はパターンが限られていません。いくつもの攻撃パターンが存在しているため、IPSでは防ぎきれない可能性もあります。そのため、IPSのみに頼るのではなく、WAF活用も検討してWebアプリケーションへの対策を講じましょう。
WAFの主な機能と仕組み
WAFの主な機能は次のとおりです。
- 通信内容の監視と制御
- シグネチャの更新
- IPアドレスの制限
- レポート機能
通信内容の監視と制御
WAFの主な機能のひとつが通信内容の監視と制御です。通信を制御できるのはファイアウォールも同様です。しかし、ファイアウォールはどのような通信内容なのかまでは判断できません。そのため、正常な通信を偽ったパターンの攻撃の遮断は難しいでしょう。
一方、WAFであれば通信内容を確認して正常か異常かを判断します。正常か異常かを判断するベースになるのがアクセスパターンの記録であるシグネチャです。このベースに基づいて不正な攻撃と判断された場合は対象となるサーバーを保護します。具体的には、次のように保護する方法によってタイプが異なります。
| タイプ | ホワイトリスト型 | ブラックリスト型 |
| 仕組み | 許可するパターンの通信は許可するものの、それ以外の通信を拒否する | 定義された不正な攻撃パターンと一致した通信を拒否する |
| メリット | 経験したことない攻撃であっても防ぐことが可能 | 既に判明している攻撃パターンへの効果が期待できる |
| デメリット | 多数の人が利用するECサイトなどでは問題のない通信まで拒否する可能性がある | 未知の攻撃には適していない |
| 適したシーン | 通信パターンが限定的な社内システム | ECサイト |
上記のようにタイプによって異なるため、自社に応じたサービスを導入しましょう。
シグネチャの更新
一般的にクラウド型に備わっているのがシグネチャ自動更新機能です。公的機関やベンダーからの情報だけでなく、ビッグデータをベースに未知の攻撃の情報を得て、攻撃手法を自動で更新できるタイプもあります。クラウド型以外の場合、手動での更新が必要なため負担がかかってしまうでしょう。
なお、更新機能は自動かどうかに加えて、更新までにかかるスピードにも着目するのがポイントです。短時間で更新できるほど、不正な攻撃への脅威が軽減します。更新までの時間がかかってしまうと、その間に不正な攻撃を受けかねません。
シグネチャの自動更新は誤検知防止にも効果的
誤検知防止にもシグネチャの更新は効果的です。悪意あるユーザーからの攻撃パターンの定義が厳しいと、一般ユーザーからの通信であっても、誤って拒否しかねません。このような誤った検知が誤検知です。誤検知が発生した場合、ユーザーの利便性が低下するため満足度が低下しかねません。しかし、誤検知を防ごうと定義を緩くしてしまうと、不正な攻撃を防げない恐れがあります。誤検知を防ぐには、専門的な知識が求められるため、専門的な知識を有するベンダーによる自動更新が有効です。
IPアドレスの制限
WAFは特定のIPアドレスからのアクセスを制限できます。例えば、国外の特定の地域からのアクセスを制限することで、海外からの不正な攻撃を防止可能です。不正な攻撃の多くは海外から行われている傾向にあります。そのため、特定地域のIPアドレスを制限すれば通信内容のチェック不要で通信を制御可能です。
レポート機能
レポート機能が備わっているWAFもあります。レポート機能が備わっていればどのような攻撃があったのかを確認できます。レポート結果をもとにすれば自社に必要なセキュリティ対策を把握しやすいでしょう。また、管理画面から攻撃を同時進行で把握できるタイプもあります。
WAFは3種類に分かれる
WAFは次の3つの種類に分かれます。
- ホスト型
- ゲートウェイ型
- サービス型
それぞれに特徴があるため、導入前に確認しておきましょう。
ホスト型
ホスト型は別名ソフトウェア型としても知られているWAFで、サーバーにWAFをインストールするタイプです。ホスト型はサーバーにインストールするだけで済むため、さまざまな機器を取り揃える必要があります。そのため、導入コストの削減が期待できます。しかし、インストールはサーバーごとに必要なため、管理するサーバーが多いと費用がかさんでしまうでしょう。
ゲートウェイ型
ゲートウェイ型は、ネットワーク型もしくはアプライアンス型とも呼ばれるタイプです。専用のハードウェアを設置する方法もあれば、サーバーにインストールする方法もあります。特に専用のハードウェアを設置する方法であれば、独立しているためサーバーに負荷がかかりません。また、カスタマイズがしやすいため、自社独自のセキュリティ体制を構築したいといった際に適しています。
ゲートウェイ型は複数のサーバーを守るのに適しているため、台数が少ない場合、コストパフォーマンスは下がってしまいます。
クラウド型
クラウド型はクラウドサービスによって提供されているため、サービス型と略されることもあるWAFです。このタイプの場合、専用の機器が不要なため導入コスト、導入期間を抑えられます。そのため、専用のシステム担当がいない小規模な企業での導入が適しています。しかし、クラウド型はカスタマイズが難しく、ベンダーにシステム障害やネットワーク障害が発生した際に影響を受けかねません。また、監視対象が増加すると費用も増えるのが一般的です。
WAFを導入するメリット
WAFを導入するメリットは主に次のとおりです。
- 情報の漏えいなどを防止できる
- 他のセキュリティ対策では対応が難しい攻撃も防げる
情報の漏えいなどを防止できる
WAFが企業にもたらすメリットのひとつが、Webアプリケーションに潜んでいる脆弱性をカバーできる点です。そのため、脆弱性を狙った攻撃を防止し、情報漏えいやデータの改ざんを防止できます。脆弱性を狙った攻撃によってWebアプリケーションを改ざんされてしまうと、ECサイトであれば販売機会の損失につながりかねません。また、ユーザーの情報が漏えいしてしまうと慰謝料を請求される恐れがあります。
例えば過去には、ある市で住民基本台帳のデータ、21万7,617件もが漏えいしてしまいました。その結果、最高裁は市に対して、住民ひとりに当たりに1万円の慰謝料を支払うことを命じました。21万7,617人に1万円の慰謝料を支払うとなると21億円以上が必要です。
このようにWebアプリケーションへの不正なアクセスを許してしまうと経営に大きく影響を及ぼす慰謝料が発生しかねません。慰謝料の総額によっては倒産する恐れすらあります。そのため、WAFによって情報漏えいリスクを防止しましょう。
他のセキュリティ対策では対応が難しい攻撃も防げる
WAFであれば他のセキュリティ対策では対応が難しい攻撃であっても対策可能です。防げる攻撃として主に以下が挙げられます。それぞれ、どのようなものかを紹介します。
- ゼロデイ攻撃
- DDoS攻撃
- SQLインジェクション
- ブルートフォース
- 不正ファイルのアップロード
ゼロデイ攻撃
ゼロデイ攻撃とは、システムやソフトウェアに存在する脆弱性が発見された直後に、その脆弱性を悪用する攻撃のことを指します。一般的に脆弱性が発見された場合、開発元が修正パッチを提供します。しかし、修正パッチが提供されるまでに一定の期間が発生してしまいかねません。このように修正パッチが提供されるまでの期間までに仕掛けられしまうのがゼロデイ攻撃の特徴です。WAFを導入することでゼロデイ攻撃への対応も可能になります。
DDoS攻撃
DDoS攻撃とは複数のコンピューターやデバイスから大量のアクセスやデータを送信することで、サーバーやサイトをダウンさせる攻撃です。DDoS攻撃がひとつのコンピューターやデバイスから行われるのに対して、DDoS攻撃は第三者のデバイスを踏み台にし、ボットと呼ばれるAIを使って攻撃を仕掛けます。WAFによって通信内容を精査することで、DDoS攻撃によるWebアプリケーションへの影響を防止可能です。
SQLインジェクション
SQLインジェクションとはWebアプリケーションの脆弱性を狙い、データベースを不正に操作する攻撃です。SQLインジェクションの被害に遭うと、データベースに存在しているユーザーの個人情報やクレジットカード情報などを盗み取られてしまいます。Webアプリケーションを防御する役目を担っているWAFであれば、SQLインジェクションを防御可能です。
ブルートフォース
ブルートフォースとは総当たり攻撃とも呼ばれる不正な攻撃方法です。パスワードを構成する文字を一文字ずつ変えてアクセスを試みようとします。WAFを用いることで、短時間でのログイン試行や不自然なスパンでのログイン試行を検知し、通信を遮断可能です。
不正ファイルのアップロード
Webアプリに対して不正なファイルをアップロードしてサーバーに影響を及ぼそうとする攻撃もあります。WAFであれば不正なファイルのアップロードによる攻撃も防止可能です。ファイルの拡張子やサイズなどから不正かどうかを判断します。
WAFを導入する際の注意点
WAFを導入する際の注意点は主に次のとおりです。
- 導入・運用にコストが発生する
- 設定が負担になる可能性がある
- WAFだけでは防げない攻撃もある
WAFの導入で失敗しないためにも、それぞれの注意点を把握しておきましょう。
導入・運用にコストが発生する
WAFを導入するには初期費用として一定のコストが発生します。特にゲートウェイ型の場合、多くのコストがかかる可能性があるでしょう。また、導入にあたってのコストは初期費用だけではなく、運用コストも発生します。例えば、シグネチャの更新を手動でするとなると一定の知識が求められます。そのため、担当する従業員に負担がかかってしまうでしょう。
設定が負担になる可能性がある
WAFの種類によっては初期設定が負担になる可能性があります。例えば、クラウド型はサイト宛ての通信をWAFに経由させるための設定が必要です。また、ゲートウェイ型は専用の機器を設置する必要があります。
WAFだけでは防げない攻撃もある
WAFはさまざまな不正な攻撃に対応可能です。しかし、WAFだけでは防ぎきれない攻撃もあることを把握しておきましょう。例えば、ネットワーク層への攻撃はアプリケーションを守る役目のWAFでは防ぎきれません。また、OSやミドルウェアを狙った攻撃もWAFだけでは防ぎきれないため、IPSと併用しましょう。
WAFを導入する際の選び方
WAFを導入する際は、次のような点に着目して選びましょう。
- 導入や運用サポート、導入実績を確認する
- シグネチャの自動更新に対応しているか確認する
- サイト処理性能への影響を確認する
導入や運用サポート、導入実績を確認する
WAFを選ぶ際はベンダーのサポート体制を確認するのがポイントです。例えば、導入や運用にあたってのサポート体制が整っているかを確認しましょう。先述のとおり、導入にあたっては初期環境を構築するケースもあります。サポート体制が整っているベンダーであれば、環境構築や運用のためのアドバイスが期待できるでしょう。WAFは自社のセキュリティに関わるため、サポートまでの時間がかかってしまっては大きなトラブルにつながりかねません。そのため、万が一に備えて24時間365日対応可能なベンダーを確認してみましょう。
なお、企業規模やサーバーの数によって適したWAFが異なります。そのため、サポート体制と同様に、自社と同じような業種や規模の企業が導入しているかの確認もポイントです。
シグネチャの自動更新に対応しているか確認する
WAF運用の負担軽減を期待できるのがシグネチャの自動更新です。不正攻撃のパターンを手動で更新するとなると、担当者の負担となりかねません。さらに、更新作業が遅れてしまうとゼロデイ攻撃の標的になる可能性があります。そのため、自動的に更新されるクラウド型を利用することで、効果的な防御を実現しましょう。
サイト処理性能への影響を確認する
WAFを選ぶ際はサイト処理性能への影響も確認しておくことがポイントです。サイトへのアクセスが多いにもかかわらず、分析に時間がかかってしまうと、サイトの処理スピードが低下してしまいます。サイトの処理スピードの低下はユーザーの満足度を下げ、結果としてアクセス数が減少してしまうでしょう。サイトへのアクセス数を減少させないためにも、サイト処理性能にどの程度の影響を及ぼすかを確認しましょう。
無料トライアルを設けているWAFであれば、トライアル中にサイトへの影響を確認することが可能です。
WAFを導入して不正なアクセスを防止しよう
WAFとは、ECサイトや予約サイトなどに用いられるWebアプリケーションに潜む弱点をついた攻撃を防ぐためのセキュリティ対策です。WAFには通信内容の監視・制御やIPアドレスの制限などの機能が備わっています。これらの機能を活用することで、情報の漏えいなどを防止できる上に、他のセキュリティ対策では難しい攻撃にも対応可能です。
WAFにはホスト型、ゲートウェイ型、サービス型があります。それぞれの特徴を把握した上で導入しましょう。また、導入や運用サポート、導入実績、シグネチャの自動更新の有無などを確認しておくこともポイントです。
WAFを導入してWebセキュリティ対策をしたいと考えている担当者は、以下のWebセキュリティおすすめ強化ツールの比較記事も合わせてご覧ください。Webセキュリティを比較する際の参考になります。気になるサービスは、資料請求も可能です。WAFと他のセキュリティ対策を併用した上で、不正な攻撃に対処しましょう。
おすすめのWebセキュリティサービス一覧
scroll →
| 会社名 | サービス名 | 特長 | 費用 | 主なサービス |
|---|---|---|---|---|
|
株式会社サイバーセキュリティクラウド
|
攻撃遮断くん |
|
1サイト月額11,000円~ ※別途、初期導入費用がかかる お問い合わせ |
攻撃検知AIエンジン搭載 サイバー攻撃対策 サイバー保険付帯 |
|
株式会社スリーシェイク
|
Securify(セキュリファイ) |
|
ASMプラン:お見積り BASICプラン:10万円/月額 STARTERプラン:5万円/月額 Freeプラン:0円/月額 ※契約は年単位 お問い合わせ |
ASM Webアプリケーション診断 Wordpress診断 SaaS診断 |
| 株式会社アイロバ | BLUE Sphere |
|
~1.004TB 月額/45,000円 ~5.022TB 月額/78,000円 ~10.044TB 月額/154,000円 |
WAF DDos攻撃からの防御 改ざん検知 DNS監視サービス サイバーセキュリティ保険 |
| ペンタセキュリティ株式会社 | Cloudbric WAF+ |
|
月額サービス料金 28,000円~ 初期導入費用 68,000円~ |
WAFサービス DDoS攻撃対策サービス SSL証明書サービス 脅威IP遮断サービス 悪性ボット遮断サービス |
| バルテス株式会社 | PrimeWAF |
|
1サイト限定プラン 初期費用 55,000円 0GB以上160GB未満 14,300円 160GB以上10TB未満 33,000円 10TB以上32TB未満 110,000円 サイト入れ放題プラン 初期費用 55,000円 0TB以上10TB未満 110,000円 10TB以上32TB未満 220,000円 |
ペネトレーションテストサービス クラウド診断サービス セキュアプログラミングのソフトウェア品質セミナー WAF |
| EGセキュアソリューションズ株式会社 | SiteGuard Cloud Edition |
|
通信量 400GBまで 初期費用 ¥100,000 価格 (月額) ¥25,000 通信量 1TBまで 初期費用 ¥100,000 価格 (月額) ¥50,000 通信量 4TBまで 初期費用 ¥100,000 価格 (月額) ¥80,000 通信量 10TBまで 初期費用 ¥200,000 価格 (月額) ¥170,000 通信量 20TBまで 初期費用 ¥200,000 価格 (月額) ¥280,000 通信量 40TBまで 初期費用 ¥200,000 価格 (月額) ¥520,000 |
シグネチャ検査(更新、設定はマネージドサービスとして提供します。) CMS設定(WordPress、Movable Type、EC-CUBEの運用に適した設定を行います。) アクセス制御 国別フィルタ ダッシュボード レポート機能 専用フォーム(各種お問い合わせは専用フォームで承ります。履歴管理も可能です。) |
| Amazon Web Services, Inc. | AWS WAF |
|
Web ACL 月あたり (時間で案分) USD 5.00 ルール 月あたり (時間で案分) USD 1.00 リクエスト USD 0.60/100 万件のリクエスト (最大 1500 WCU およびデフォルトの本文サイズの検査*) Bot Control と Fraud Control 上記のタブによる追加費用 |
ウェブトラフィックフィルタリング AWS WAF Bot Control アカウント乗っ取り詐欺の防止 アカウント作成詐欺防止 フル機能 API リアルタイムの可視性 AWS Firewall Manager への統合 |
| 株式会社ROCKETWORKS | イージスWAFサーバセキュリティ |
|
イージスサーバセキュリティタイプ 月額/50,000円 イージスDDoSセキュリティタイプ ~2Mbps 初期費用/¥98,000 月額/¥40,000 ~5Mbps 初期費用/¥98,000 月額/¥60,000 ~10Mbps 初期費用/¥98,000 月額/¥120,000 ~50Mbps 初期費用/¥198,000 月額/¥198,000 ~100Mbps 初期費用/¥198,000 月額/¥250,000 ~200Mbps 初期費用/¥198,000 月額/¥450,000 200Mbps以上 別途見積もり |
サイバー攻撃の検出/遮断 月次レポート サイバーセキュリティに関するアドバイザリー 法務相談(オプション) |
| SBテクノロジー株式会社 | Imperva WAF |
|
- | Web Application Firewall |
| 株式会社セキュアスカイ・テクノロジー | Scutum |
|
~500kbps 初期費用 98,000円 月額 29,800円 ~5Mbps 初期費用 98,000円 月額 59,800円 ~10Mbps 初期費用 98,000円 月額 128,000円 ~50Mbps 初期費用 198,000円 月額 148,000円 ~100Mbps 初期費用 198,000円 月額 198,000円 ~200Mbps 初期費用 198,000円 月額 298,000円 200Mbps 初期費用198,000円 100Mbps毎に100,000円加算 |
1 ブロック機能 Webサイトに対する攻撃と思われる通信を遮断する機能 2 モニタリング機能 Webサイトに対する攻撃と思われる通信を記録する機能 (通信自体は遮断されません) 3 防御ログ閲覧機能 ブロック(モニタリング)した通信をログとして保存し、閲覧できる機能 4 レポート機能 下記の内容を管理画面上で報告する機能 ・攻撃元(IPアドレス)top5 ・攻撃種別top5 ・防御ログの月別ダウンロード 5 ソフトウェア更新機能 防御機能等を向上させるため、ソフトウェアを更新する機能 6 防御ロジック更新機能 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能 7 特定URL除外機能 Webサイト中のWAF機能を利用したくない箇所を防御対象から除外する機能 8 IPアドレスの拒否/許可設定機能 特定のIPアドレスからの通信を拒否、もしくは特定のIPアドレスからの通信のみ許可する機能 9 脆弱性検査用IPアドレス管理機能 Webサイトへの脆弱性診断等を行う際、設定したIPアドレスからの通信についてブロック/モニタリングを行わない機能 10 SSL/TLS通信機能 暗号化された通信についても解読し、防御する機能 11 API機能 Scutumで検知した防御ログや詳細な攻撃リクエスト内容をAPI経由で取得できる機能 |
| エヌ・ティ・ティ・スマートコネクト株式会社 | SmartConnect Network & Security |
|
- |
UTM WAF DDoS Webプロキシ メールセキュリティ ロードバランサ VPN |
| 株式会社モニタラップ | AIONCLOUD WAAP |
|
- |
WAF Webアプリケーションを既存の攻撃、ゼロデイ攻撃などから防御します。 APIセキュリティ 企業のAPIに対する可視性を提供し脅威を遮断します。 ボット緩和 ボットのトラフィックを管理し、Webサイトを保護します。 DDoS保護 アプリケーション階層のDDoS攻撃から企業のWebサイトを守ります。 |
| フォーティネットジャパン合同会社 | FortiWeb |
|
- |
アプリケーションのセキュリティ コンテンツセキュリティ デバイスのセキュリティ NOC/SOC セキュリティ ウェブセキュリティ 管理された検出と対応 SOC-as-a-Service インシデント対応サービス サイバーセキュリティの評価と準備状況 |
| バラクーダネットワークス | Barracuda Web Application Firewall |
|
- |
WebアプリケーションとAPIの保護 + OWASPおよびゼロデイ攻撃に対する保護 + 高度なボット攻撃からアプリケーションを保護 + API保護 + サーバクローキング + URL暗号化 + GEO IPとIPレピュテーションチェック + マルウェア対策とウィルス対策 + マルチプロトコルサポート + アプリケーションDDoS対策 + 大規模なDDoSの防止 + JSONセキュリティ + XMLファイアウォール + アクティブ脅威インテリジェンス + クライアントサイドプロテクション アプリケーションデリバリ + アプリケーションの負荷分散と監視 + コンテンツルーティング + キャッシュ、圧縮、トラフィックの最適化 データ保護とコンプライアンス + アウトバウンドDLP + コンプライアンス認証 IAM + SAMLサポートとSSO + クライアント証明書ベースの認証 + AD FSとの統合 + LDAP、Kerberos、およびRADIUSとの統合 + 2要素認証 レポート + Barracuda Active Threat Intelligenceダッシュボード + 直感的なドリルダウンレポート + 包括的なログ + SIEMとの統合 管理 + HAクラスタリング + ロールベースの緻密なアクセス制御 + REST APIによる自動化とスケーラビリティ + 統合的なDevSecOpsの有効化 + デフォルトのセキュリティテンプレート 中央管理 + 単一コンソール + 証明書の中央管理 + 中央管理通知とアラート 使いやすさ + アプリケーション学習(アダプティブプロファイリング) + 仮想パッチと脆弱性スキャナとの統合 + 自動構成エンジン |
| セコムトラストシステムズ株式会社 | マネージドWAFサービス |
|
- |
DDoS対策 ファイアウォール IPS WAF |
| Amazon Web Services, Inc. | AWS Shield |
|
- |
AWS Shield Standard 基盤となる AWS サービスの静的しきい値 DDoS 保護 インラインの攻撃緩和 AWS Shield Advanced アプリケーショントラフィックパターンに基づいてカスタマイズされた検出 正常性に基づく検出 高度な攻撃緩和機能 自動アプリケーションレイヤー DDoS 緩和策 積極的なイベント応答 保護グループ 可視性と攻撃の通知 DDoS コスト保護 専門サポート グローバルな可用性 一元化された保護管理 |
