目次
インターネットを利用したサービスの展開や自社Webサイトを持っている方であれば誰でも注意する必要があるのがセキュリティ対策です。
一般的にWebサイトのセキュリティ対策というとファイアウォールなどが思い浮かぶでしょうが、昨今注目されているのがWAFというセキュリティシステムです。
本記事ではWAFについて特徴やファイアウォールとの違い、おすすめのクラウドWAFなどを紹介しますので参考にしてください。
WAFとは?
WAFとはWeb Application Firewallの略で、Webアプリケーションの脆弱性に対する攻撃からサイトを守るセキュリティ対策のことを指します。
セキュリティに注力する企業では早くから導入されていたWAFですが、導入コストが高額になってしまうことと技術面で一般的に広めるのは難しいというデメリットがありました。
しかし、クラウドで利用できるWAFが登場したことで一般にも利用しやすくなり手軽ながら実用性が高いセキュリティ対策として導入が進められるようになりました。
おすすめの類似WAF・サイバー攻撃対策システム
Webサイトを堅牢性の高いセキュリティで守る: Cloudbric WAF+
(4.5)
| 月額料金 | 28,000円〜 | 無料お試し | あり |
|---|---|---|---|
| 初期費用 | 要問い合わせ | 導入実績 | 6,550サイト以上 |
あらゆる包囲からのサイバー攻撃に対し、強固なセキュリティでWebサイトを守ることができ、高セキュリティでありながら、リーズナブルに利用することができます。 日本国内だけでも6,550サイト以上で導入されており、確かな導入効果が期待できるサービスと言えます。
簡単に導入できる
Cloudbric WAF+は、最短3プロセスで導入できる手軽さが魅力的です。 エージェントやモジュールをインストールする必要がなく、導入ヒアリングシートに必要事項を記入して提出、Cloudbric WAF+側でセキュリティプラットフォームを構築してもらい、DNSの情報を変更すれば設定は完了です。 利用開始後は、セキュリティエキスパートが検知ログの収集·分析を行い、セキュリティ運用ポリシーの提案を行ってくれるため、導入企業向けにカスタマイズされたセキュリティサービスを利用することができます。
常時SSLを実現
Cloudbric WAF+では、ウェブサイトからの通信を暗号化することができるSSL証明書を無償で提供しています。 SSL証明書の登録と更新を全て任せることで、常時SSLを簡単に実現することができるため、セキュリティ強化につながります。 また、Webサーバ側のSSL証明書を持ち込む際にも、管理画面で簡単にアップロードすることが出来ます。
DDoS対策も可能
過剰なデータを送りつけてサーバの運用を妨害するサイバー攻撃であるDDoS攻撃に対しても、Cloudbric WAF+であれば簡単に対策することができます。 利用しているプランに関わらず、基本料金内でL3/L4のネットワークレベルとL7のアプリケーションレベルのDDoS攻撃に対応できるため、余計なコストもかかりません。
複数のセキュリティ対策がオールインワン: BLUE Sphere
(4.5)
| 月額費用 | 45,000円〜 | 無料お試し | あり |
|---|---|---|---|
| 初期費用 | 要問い合わせ | 最短導入期間 | 要問い合わせ |
WAFをはじめとしたDDoS防御やDNS監視など、複数の機能に加え、もしもの時の損害にも対応できるサイバーセキュリティ保険を付帯しているサービスで、WEBサイトのセキュリティ課題を一気に解消することができます。
複数のセキュリティ対策をオールインワンで提供
BLUE Sphereであれば基本機能の章で紹介した複数の機能が一つの製品にまとまっているため、包括的にWEBサイトを防御することができます。BLUE Sphereは非常にコストパフォーマンスに優れている製品だと言えるでしょう。
登録ドメイン数が無制限
WAFを提供しているサービスのほとんどが、登録するWEBサイト数(ドメイン数)に制限があります。 しかしBLUE Sphereは、複数のサイトを運営している企業でも契約の結び直しや追加料金を払うことなくドメインを追加することができます。
改ざん検知も可能
攻撃者がWEBサーバに不正ログインをしてWEBサイトを書き換えてしまうサイバー攻撃も軽視できない重大な問題となっています。 WEBサイトを改ざんされるとサービスが利用できなくなったり、サイト訪問者へのウイルス感染などの危険性があるため、改ざん時には早急に検知する対策が望まれます。
類似サービス: Securify Scan
(4.5)
| 月額費用 | 要お問合せ | 無料お試し | 2週間 |
|---|---|---|---|
| 初期費用 | 要お問合せ | 最低導入期間 | 要問い合わせ |
Securify Scanとは、株式会社スリーシェイクが運営している脆弱性診断ツールです。 外部セキュリティベンダーでは難しかったスピーディーかつ手軽な脆弱性診断を実現し、セキュリティレベルを可視化、DevSecOpsへの取り組みを支援します。
最短3ステップで診断開始
Securify Scanの脆弱性診断は、簡単かつ短いステップで実現できます。 まずはプロジェクト名と内容を入力してプロジェクトを作成、診断対象のドメインまたはサブドメインを入力、最後に診断対象のURLを登録するだけで脆弱性の診断を始めることが可能です。
シンプルで使いやすいインターフェース
Securify Scanは、シンプルで直感的に操作ができるユーザーインターフェースで設計されています。 現在の診断状況や危険度は、ダッシュボードから一目で確認することができ、セキュリティに関する専門的な知識がない場合でも、脆弱性診断を実施、管理することができます。
わかりやすい診断結果で改善をサポート
Securify Scanの診断結果画面では、発見された脆弱性の危険度をスコアによって可視化することができ、その脆弱性によって起こりうる問題や修正方法の例を日本語で丁寧に解説してくれます。 脆弱性と判断した根拠となるリクエストや概要解説、修正方法の提案など、トリアージに必要な情報を提示してもらえるため、自社で修正が必要な情報を調査する手間が発生しません。
WAFの料金・相場
従来、機器を設置するWAFの導入は費用がかかるというイメージが持たれていましたが、現在は、クラウド型のWAFであれば低価格で利用することが可能になりました。
WAFを導入する際にどのように料金が発生するのかは以下の通りです。
初期費用の金額
初期設定時の作業費が初期費用の主な内訳ですが、クラウド型WAFの場合は、無料のものから100,000円前後と、サービスによって幅広い傾向です。
運用費用の金額
専用機器を購入するアプライアンス型の場合、運用費用も大変高額ですが、クラウド型であれば月額数万円程度で利用することが可能です。
また、クラウド型WAFは帯域が増加するに従い、料金が上がっていくシステムなので、どの料金プランになるかしっかりと確認しておきましょう。
加えて、処理性能を求める場合は当然月額料金が高くなります。
初期費用だけに注目してしまうと、実際に導入した際、運用コストが予想以上にかさんでしまうことも考えられるでしょう。
オーバースペックにならないよう注意を払い、求める処理性能とコストのバランスをしっかりと考え、サービスを比較することをおすすめします。
WAFとファイアウォールの違い
ファイアウォールは不正なアクセスを制御するセキュリティ対策で、IPアドレスや通信方向といったルールをもとにネットワーク層を保護します。
これに対しWAFはHTTP通信の内容を検査することで不正アクセスを防御しているという違いがあります。
ファイアウォールは内部ネットワークに対する不正なアクセスを防ぐのに有効で、パケットフィルタとアクセス制御による防御が可能ですが、上位階層にあるWebアプリケーションの通信をチェックすることができません。
WAFであればWebアプリケーションの通信をチェックして、不正なアクセスに対してはブロックすることができますがファイアウォールとWAFのどちらかをインストールしていれば良いというわけではないので注意が必要です。
WAF導入のメリット
WAFを導入することで主に以下のメリットが得られます。
さまざまな攻撃からWebアプリケーション守ることができる
WAFをすることで得られる最大のメリットは、ファイアウォールやIDS/IPSでは防ぐことができないさまざまな攻撃から自社のWebアプリケーションを守ることができる点にあります。
- SQLインジェクション
- ブルートフォースアタック
- クロスサイトスクリプティング
- コマンドインジェクション
- ディレクトリトラバーサル
- URLエンコード攻撃
- DOS/DDOS攻撃
上記のような攻撃に対応することができるだけでなく、Webアプリケーションの脆弱性を補完することもできます。
開発環境で脆弱性が発見されてもなかなかすぐに改善するのは難しいものです。WAFを導入していればすぐに対応できないような脆弱性も克服しアプリケーションの安全性をより高めることが可能となります。
事後対策ができるようになる
WAFは、繰り返される攻撃に対して迅速に対応することができ、Webアプリーケーションにトラブルが起きる前の対策が可能な点もメリットと言えます。
万が一、外部からの攻撃を受けた際にも被害を最小に事後対策ができることで、安定性を高めることができるようになるのです。
ベンダーに運用を任せられる
ベンダーに運用を任せられるのもメリットとして挙げられます。
不正通信、攻撃パターンを定義した「シグネチャ」の把握や更新に関しても自身で行う必要はなく、セキュリティ専門の従業員を雇わなくて済むため、コストの削減にも貢献してくれます。
メンテナンスもクラウド上で行ってくれます。
短期での利用も可能
解約手続きもすぐに行える便利さから、短期利用が可能なのもクラウド型のメリットの一つ。
キャンペーンサイトなどを一時的に公開したい際のセキュリティ対策にももってこいのサービスと言えます。
簡単・短期間で導入できる
クラウド型WAFは、ネット上で提供されるため、専門の機器導入の必要がないサービスです。
従って、ベンダーとの契約により、ネットワークの設定変更さえ行えばすぐに利用を始められるので、低コストかつ短期間で導入することができます。
クラウドWAFのデメリット
サービスの品質がベンダーに依存してしまう
ベンダー側がセキュリティ対策やアップデートを行う為、ベンダーに品質が依存してしまう恐れがあります。
求めていたセキュリティレベルに達しない場合も考えられるため、ベンダー選びは慎重に行うべきです。
柔軟性に欠ける
同様に、基本的にベンダーで管理する特性上、カスタマイズは柔軟ではありません。
カスタマイズ性を重視したい場合は、オンプレミス型やオープンソースのWAFの導入を検討しましょう。
WAFの必要性について
Webサイトは今や情報発信には欠かせないツールとなっています。
また、基本的にWebサイトは誰でもアクセスすることができるためサイバー攻撃を受けやすいという特徴があります。
特に、Webアプリケーションの脆弱性をターゲットとすることが多いため、この脆弱性を補完できるセキュリティ対策が望まれます。
Webサイトの改ざんなどのサイバー攻撃はもはや標準的な手法となっており、いつ自社のWebアプリケーションが攻撃のターゲットになるかわからないため常にWebサイトの脆弱性を補完して守ることができるWAFの必要性が高まったと言えるでしょう。
WAF運用時の注意点
まずはWAF運用時の注意点としては、主に以下のことが考えられます。
WAFによる誤検知の発生
WebサイトやWebアプリケーションを利用する際にWAFの導入は必須ですが、セキュリティレベルを必要以上に設定してしまうと、WAFが誤検知を起こし、正常な通信さえも遮断されてしまう可能性があります。
結果的にユーザーがWebアプリケーションを利用しづらくなってしまいます。
一方でセキュリティレベルを低く設定してしまうと、サイバー攻撃のリスクが増えるため注意が必要です。
運用コストの負担増大
セキュリティ製品であるWAFの利用には、初期コストと同時に運用コストもかかることも念頭においておく必要があります。
その運用コストの中でも主にチューニングコストについては、注意を払う必要があります。
新しい脆弱性が発見された場合、シグネチャの変更を行う必要がありますが、そのたびにベンダーに依頼してチューニングを行う場合、相応の運用コストがかかりますし、セキュリティ専門の担当者を雇う場合、人件費がかかります。
ブランディングなどを目的とするオウンドメディアの場合は費用対効果が見合わないケースも考えられます。
Webサイト停止のリスク
WAFを運用する際は、Webサイト停止のリスクにも注意を払う必要があります。
新しい不正アクセスが発生した場合、シグネチャを変更している間はWebサイト全体を停止もしくは閉鎖せざるを得ないことも考えなくてはならないため、特にWebからの収益がメインの企業にとっては、このサービス停止期間は大きな機会損失でしょう。
クラウドWAFの選び方
| 製品名 | 参考価格 | 無料トライアル |
|---|---|---|
| Cloudbric WAF+ | 月28,000円〜 | ○ あり |
| BLUE Sphere | 月45,000円~ | ○ あり |
| Cloudbric RAS | 要問い合わせ | – 要問い合わせ |
| Cloudbric WMS for AWS | 要問い合わせ | ○ 30日間無料 |
| 攻撃遮断くん | 月1万円~ | ○ あり |
| Wafcharm | 5千円~ | ○ 30日間無料 |
| Cloudflare | 0円~ | ○ デモあり |
| Scutum | 月29,800円〜 | – 要問い合わせ |
セキュリティレベル
まずは、WAFにどれぐらいのセキュリティレベルが必要なのかを明確にします。
それに適したシステムを選ぶわけですが、セキュリティレベルが高すぎると正常なアクセスを遮断してしまう恐れもあるため十分に注意しましょう。
何をどの程度防御したいのか明確にすることも非常に重要です。
一方で、ネットワークに対する標的型攻撃・botによる不正アクセスなど、WAFでは対応不可能なものも存在します。
それらに対しては、別途セキュリティシステムを検討するべきです。
サポート体制
セキュリティに関わるシステムを導入する上では、もし万が一トラブルがあった場合、サポート体制をしっかりと構築しておくのも非常に重要なポイントです。
- トラブルの際の対応
- 時間はどれくらいかかるのか
- 原因調査は可能か
など、気になるポイントはしっかりとチェックしておきましょう。
おすすめクラウドWAF5社比較(料金・機能を比較)
Cloudbric WAF+(クラウドブリック ワフ·プラス)
特徴
Cloudbric WAF+とは、クラウドブリック株式会社が運営しているクラウド型のWAFです。
日本国内だけでも6,550サイト以上での導入実績があり、堅牢性の高いセキュリティを実現しています。
導入ヒアリングシートに必要事項を記入して提出し、セキュリティプラットフォームを構築してもらうことで手軽に導入することが可能です。
DDoS攻撃に対してもブロックすることができるため、非常に強固なセキュリティのシステムと言えます。
料金
- 初期費用:要問い合わせ
- 月額料金:28,000円〜
- 無料トライアル:あり
※2021年10月現在/詳細は公式サイトを確認
M.K様
業種:IT業/会社規模:11人~30人
分かりやすいダッシュボードで一目で把握できる
ダッシュボードでログの確認が非常に分かりやすいので、そこに時間をかけずに効率化を図れました。
詳しくはこちら
BLUE Sphere
特徴
BLUE Sphereとは、株式会社アイロバが提供しているWEBセキュリティサービスです。
WAFだけではなくDDoS防御やDNS監視など、複数のセキュリティ機能を備えており、もしもの時の損害にも対応できるサイバーセキュリティ保険を付帯しているサービスとしてWEBサイトのセキュリティ課題解消することができます。
実際にBLUE Sphereを導入した企業からは、「コストパフォーマンスに優れている」、「サポート体制が整っており親切だった」といった声が挙げられており、サービス内容はもちろん、サポートにも優れていることがわかります。
料金
- 月額45,000円〜
※2022年4月現在/詳細は公式サイトを確認
Cloudbric RAS
特徴
Cloudbric RASとは、クラウドブリック株式会社が運営している認証基盤リモート・アクセス・ソリューションです。
パブリックに公開されている業務システムの安全性を高め、安心して利用できるようにする5つのセキュリティ必須サービスや、認証セキュリティ機能が拡張されたビジネスを守るサービスをクラウドで提供しています。
登録済みのユーザーであれば通常ブラウザからアクセスをすることができ、直感的な操作で利用することが可能です。
料金
Cloudbric WAF+基盤費用に月々9,500円を追加することで利用可能
※2022年4月現在/詳細は公式サイトを確認
Cloudbric WMS for AWS
特徴
Cloudbric WMS for AWSとは、クラウドブリック株式会社が運営しているAWS WAFに特化した運用サービスです。
AWS WAFの運用は専門的な知識が必要で、複雑な設定を伴うケースも多いため、自社では運用が難しいという方でも懇切丁寧なサポートがあるため運用することが可能となります。
ユーザーごとの環境に最適化されたルールを反映して攻撃検出性能と分析を行うため、専門的なリソースがないという場合でも安心です。
料金
- 初期費用:要問い合わせ
- 月額料金:要問い合わせ
- 無料トライアルあり
N.T様
業種:IT業/会社規模:50〜100名
導入後の管理のことまで考えられたサービス
セキュリティ専門家を社内に置くか、セキュリティサービスやツールで解決するかの選択に迫られていましたが、実績のあるCloudbric社がAWS WAFに特化したサービスをリリースし、サポート体制も充実しているとのことで導入を決めました。
詳しくはこちら
攻撃遮断くん
特徴
攻撃遮断くんとは株式会社サイバーセキュリティクラウドが運営しているWAFです。
管理画面からリアルタイムにサイバー攻撃を可視化することが可能です。
管理画面から簡単に攻撃元のIPなどが把握でき、自社に対するサイバー攻撃に迅速に対応することができるようになります。
国産サービスのため、日本語でのサポートが受けられます。
料金
- 初期費用:要問い合わせ
- 月額料金:10,000円〜
- 無料トライアル:あり
※2021年10月現在/詳細は公式サイトを確認
その他のクラウドWAFを比較
Wafcharm(ワフチャーム)
特徴
Wafcharmとは株式会社サイバーセキュリティクラウドが運営しているWAF自動運用サービスです。
AI搭載型で、世界中のサイバー攻撃を学習してより強固なセキュリティの構築ができます。
DNSの切り替えも不要で手軽に導入することができ、日本語によるサポートで安心して運用できる環境が提供されています。
料金
- WAF設定ユニット料金:5,000円〜
- 月額料金:0円〜
- 無料トライアル:30日間無料
※2021年10月現在/詳細は公式サイトを確認
Cloudflare
特徴
Cloudflareは米国発のCDN(Content Delivery Network)サービスです。
世界中の企業で導入実績があり、堅牢性の高いWebサイトを実現してパフォーマンスの向上に貢献します。
VPN不要で社内へのアクセスを安定させることができ、テレワークにおけるセキュリティ強化にも活用することができます。
料金
- 初期費用:要問い合わせ
- 月額料金:0ドル〜
- 無料トライアル:無料プランあり
※2021年10月現在/詳細は公式サイトを確認
Scutum(スキュータム)
特徴
Scutumは株式会社セキュアスカイ·テクノロジーが運営しているWAFです。
申込から本格的な運用までが最短1週間で実現できる手軽さが魅力的で、緊急対応の場合最短3日程度で導入することもできます。
SaaS型WAF市場において10年以上の運営実績があり、実績を元にしたノウハウでサポートしてくれるため初めてクラウドWAFを方にもおすすめです。
料金
- 初期費用:98,000円〜
- 月額料金:29,800円〜
- 無料トライアル:要問い合わせ
※2021年10月現在/詳細は公式サイトを確認
WAFに関して動画で詳しく解説
特徴を理解してWAFを導入しよう
WAFについて、概要やおすすめのシステム、導入のメリットなどを紹介しました。
ファイアウォールやその他のセキュリティ対策では防御できないサイバー攻撃に対して強い防御性を発揮するWAFは、Webサイトを持つ方であれば是非導入を検討してほしいものです。
本記事で紹介したおすすめサービスや導入のポイントを参考にして自社にあったサービスを探してみてください。
30代~50代情報通信業の正社員、及び経営者の42%がWAFを知っていると回答【WAF(Web Application Firewall)に関するアンケート】
調査概要
対象者:全国の30歳〜59歳の男女/正社員・経営者・役員/情報通信業
サンプル数:300人
居住地:宮城県,東京都,愛知県,大阪府,福岡県
調査方法:ネットリサーチ
アンケート実施日:2022年9月16日
調査メディア: STRATE[ストラテ]:https://strate.biz/
【質問:WAF(Web Application Firewall)というシステムや言葉を知っていますか?】
質問に対しての回答選択肢は以下
1.知らない
2.なんとなく知っている
3.知っていて、過去に利用していた
4.知っていて、現在も利用している
30代~50代の男女を対象とした「WAF(Web Application Firewall)というシステムや言葉を知っていますか?」というアンケートで最も多かった回答は「知らない」で58%でした。
次いで多かったのが「なんとなく知っている」と回答した方の21%。「知っていて、現在も利用している」と回答した方は14%、「知っていて、過去に利用していた」と回答した方は7%で、全体の4割の方がWAFを知っていることが分かりました。
【WAFを知っていて、現在も利用していると回答したのは30代正社員、及び経営者が最も高く、20.59%】
WAFを知っていて、現在も利用していると回答した割合を年代別でみてみますと、30代が20.59%、次いで40代が14.71%、50代は6.25%という結果になりました。
30代正社員、及び経営者の2割の方がWAFを知っており、現在も利用していることが分かりました。
【WAFを知っていて、現在も利用している割合は女性正社員、及び経営者のほうが高く、16%】
WAFを知っていて、現在も利用していると回答した割合を男女別でみてみますと、女性が16%、男性が12%という結果になりました。
女性正社員、及び経営者の2割近い方がWAFを知っていて、現在も利用していることが分かりました。
■ ご取材、データ引用等可能です。
·STRATE[ストラテ]への取材、コメント
·本発表データの引用
その他事項に関しても調整可能です。下記、お問い合わせまでお願いいたします。
【本件に関するお問い合わせ先】
株式会社SheepDog メディア担当
メールアドレス:media@strate.biz
