2023年最新のIPA情報セキュリィ10大脅威をマトリックスエージェントが解説。
同社の提供サービスではパスワードをメールで送る運用を脱し、安全で手間のないファイル転送を実現します。
WAFとは
WAFとは、「Web Application Firewall」の略で、Webアプリケーションの脆弱性を狙った攻撃からWebサイトを守るために使用されるセキュリティツールです。
WAFは、Webアプリケーション内に直接実装するものではなく、Webサーバーの前面に設置して攻撃の検知、防御を行い、Webサイトを保護します。インターネットバンキングやECサイトのように、顧客情報やクレジットカード情報に関するデータのやり取りが発生するWebサイトの保護に適しています。
近年、Webアプリケーションは、他のシステムと連携するなどより高度化・複雑化しています。その結果、セキュリティ面に脆弱性をもたらし、予期せぬバグの発生や悪質な改ざんを許してしまう可能性が高まっています。
こうしたWebアプリケーションの脆弱性に対処するために、WAFを導入することは重要です。また、WAFは事後対策が可能なので、未知の攻撃が発生した場合にも、攻撃によって生じる被害を最小限にできるという魅力もあります。
以上のことから、Webアプリケーションのセキュリティを向上させるにはWAFの導入が必要不可欠といえるでしょう。
ファイアウォールとの違い
WAFとファイアウォールは、どちらもネットワークのセキュリティを守るためのツールですが、異なる機能を持っています。
ファイアウォールは、ネットワーク内外の通信を制御し、外部からの不正アクセスをブロックすることが主な役割です。一方、WAFはWebアプリケーションの脆弱性を狙った攻撃からWebサイトを守ることが主な役割です。
つまり、ファイアウォールはネットワークの境界を守るためのセキュリティツールであり、WAFはWebアプリケーションの内部を守るためのセキュリティツールという解釈になります。
IPS / IDSとの違い
IPS(Intrusion Prevention System)とIDS(Intrusion Detection System)は、いずれも脆弱性を狙った攻撃の検知と対応を行うセキュリティ対策です。
IDSは、不正なアクセスの検知を行い、攻撃が発生したことを通知するシステムであるのに対し、IPSは不正なアクセスの侵入を自動的に遮断するシステムです。
WAFとIPS / IDSは、どちらもWebアプリケーションの脆弱性を狙った攻撃からWebサイトを守るためのセキュリティツールですが、WAFはWebアプリケーションの内部を守ることを目的としているのに対し、IPS / IDSはネットワーク全体を対象として攻撃の検知と対応を行います。
WAFの種類
WAFには「クラウド型」「ソフトウェア型」「アプライアンス型」の3種類があります。それぞれ特徴や利点が異なりますので、導入する際には必ず製品の種類を確認するようにしましょう。
| クラウド型 | ソフトウェア型 | アプライアンス型 | |
| 特徴 | クラウド上にサービスを提供する形態 | サーバー上にソフトウェアをインストールする形態 | 独立したハードウェア装置として提供される形態 |
| メリット | 導入が容易、専門家を必要としない | 導入が容易、カスタマイズ性が高い | カスタマイズ性が高い |
| デメリット | サービスの質がベンダーに依存 | サーバーのリソースに影響 | 導入コスト、保守費用が高い |
| 価格 | 比較的安価 | 比較的安価 | 比較的高価 |
クラウド型WAF
クラウド型WAFは、クラウド上にサービスを提供する形態のWAFです。導入が容易で、専門家を必要としないため、比較的安価に導入できます。また、ベンダーによっては高度な検出技術を利用した高い精度の検知が可能な場合もあります。
一方で、サービスの質がベンダーに依存するため、高い信頼性を求める場合には、アプライアンス型などの製品を選択した方がよいでしょう。
ソフトウェア型WAF
ソフトウェア型WAFは、サーバー上にソフトウェアをインストールする形態のWAFです。比較的安価で、既存のWebサーバーにインストールするだけで導入できます。また、サーバー上で動作するため、ネットワークの遅延が発生しないという利点もあります。
ただし、サーバーのリソースに影響を与える可能性があるため、サーバーのスペックに応じた設計が必要です。また、ソフトウェアをインストールする作業や設定が必要なため、専門的な知識を持つ技術者が必要になります。
アプライアンス型WAF
アプライアンス型WAFは、独立したハードウェア装置として提供される形態のWAFです。カスタマイズ性が高く、専用のハードウェアによって高い処理能力を持つため、高い精度の攻撃検知が可能となります。また、ネットワークの透過性が高いため、サーバー環境に影響を与えず、高信頼性のセキュリティ対策が可能です。
一方で、導入コストや保守費用が高いため、中小企業などには導入が難しい場合があります。また、設置スペースや電源などの環境条件も必要になるため、導入前には慎重な検討が必要です。
WAF製品の比較表
2023年におすすめなWAF製品を9つ厳選して比較しました。WAFの種類に応じて特徴が異なるため、比較検討する際に比較表を参考にしてください。
| サービス名 | 初期費用 / 月額費用 | 形態 | 無料トライアル |
| 攻撃遮断くん | 初期費用:要問合せ 月額費用:10,000円〜 | クラウド型 | ◯ |
| Scutum | 初期費用:98,000円〜 月額費用:29,800円〜 | クラウド型 | × |
| BLUE Sphere | 初期費用:100,000円 月額費用:45,000円〜154,000円 | クラウド型 | ◯ |
| InfoCage SiteShell | 年間ライセンス:600,000円〜 永続ライセンス:2,500,000〜 | ソフトウェア型 | × |
| Clearswift SECURE Web Gateway | 要問合せ | ソフトウェア型 | × |
| SiteGuard | 年間ライセンス:252,000円~ | ソフトウェア型 | ◯ |
| FortiWeb | 要問合せ | アプライアンス型 | ◯ |
| Imperva Web Application Firewall (WAF) | 要問合せ | アプライアンス型 | ◯ |
| WAPPLES | 要問合せ | アプライアンス型 | × |
WAF製品のおすすめ9選
ここでは上記で挙げたWAF製品9選を詳細に紹介します。
- 攻撃遮断くん
- Scutum
- BLUE Sphere
- InfoCage SiteShell
- Clearswift SECURE Web Gateway
- SiteGuard
- FortiWeb
- Imperva Web Application Firewall (WAF)
- WAPPLES
1.攻撃遮断くん
攻撃遮断くんは株式会社サイバーセキュリティクラウドが運営するクラウド型WAF製品です。
| 項目 | 内容 |
| 価格・契約 | 初期費用:要問合せ 月額費用:10,000円〜 |
| 主な機能 | ・管理画面機能 ・シグネチャ更新 ・レポート機能 ・サイバー保険付帯 ・Web改ざん検知機能 |
| 導入事例 | 全日本空輸株式会社、清水建設株式会社、株式会社パルコ、株式会社浜銀総合研究所 その他多数 |
| 公式URL | https://www.shadan-kun.com/ |
- 導入サイト数20,000以上※2021年10月調べ
- 攻撃検知AIエンジンによって検知困難な未知の攻撃にも対応可能
- 24時間365日体制の充実した日本語サポート
- あらゆるWebシステムに対応
- クラウド型のため最短1日で導入可能
上記が攻撃遮断くんの主な特徴や機能です。一般的な攻撃だけでなく、検知困難な未知の攻撃をも遮断し、個人情報漏えい、Webサイト改ざん、サービス停止を狙ったサーバー攻撃から企業のWebサイトを守ります。
クラウド型サービスのため最短1日で導入でき、専任の担当者やメンテナンスを必要としないのも魅力です。
検知力・遮断力に優れ、かつスピーディーに導入できるWAFを探している、Webサイトのセキュリティレベルの統一を実現したい場合には、比較検討をする際の候補に入れておくとよいでしょう。
2.Scutum
Scutum(スキュータム)は株式会社セキュアスカイ・テクノロジーが提供するクラウド型WAF製品です。
| 項目 | 内容 |
| 価格・契約 | 初期費用:98,000円〜 月額費用:29,800円〜 ※トラフィック量に準ずる |
| 主な機能 | ・ブロック機能 ・モニタリング機能 ・防御ログ閲覧機能 ・レポート機能 ・ソフトウェア更新機能 ・防御ロジック更新機能 ・特定URL除外機能 ・IPアドレスの拒否/許可設定機能 ・脆弱性検査用IPアドレス管理機能 ・SSL/TLS通信機能 ・API機能 |
| 導入事例 | ワタベウェディング株式会社、株式会社NTTデータ九州、獨協大学、福岡市 その他多数 |
| 公式URL | https://www.scutum.jp/ |
- 12年連続国内シェアNo.1の導入実績※2022年調べ
- 人工知能型のWAFエンジンを搭載
- 専任のプロが24時間365日フルサポート
- 小規模サイトから、大規模ECサイトまで柔軟に対応
上記がScutumの主な特徴や機能です。世界初のクラウド型WAFとして誕生し、現在国内のクラウド型WAF市場で12年連続売上シェアNo.1を獲得しています。人工知能型のWAFエンジンを搭載しているため、データサイエンスの活用により誤検知が少なく、新たな攻撃に対応しやすいのも特徴です。
導入する際、自社のシステム構成を変更&停止する必要がなく、約1週間で利用開始できるという魅力もあります。※緊急時は最短3日での導入
「12年連続売上シェアNo.1」という安心材料を手にしたい、専任のプロによる24時間365日のフルサポートでお任せしたいと考える場合におすすめです。
3.BLUE Sphere
BLUE Sphere(ブルースフィア)は株式会社アイロバが運営するクラウド型WAF製品です。
| 項目 | 内容 |
| 価格・契約 | 初期費用:100,000円 月額費用:45,000円〜154,000円 |
| 主な機能 | ・監視機能 ・Web改ざん検知機能 ・DDoS防御機能 ・サイバー保険付帯 |
| 導入事例 | 要問合せ |
| 公式URL | https://bluesphere.jp/ |
- Webサイトに必要なすべてのセキュリティ機能が基本料金のみで利用可能
※セキュリティ機能
・WAF(Webアプリケーションファイアウォール)
・DDoS防御
・改ざん検知
・DNS(ハイジャック)監視 - 「三井住友海上のサイバーセキュリティ保険」を無償で自動付帯
上記がBLUE Sphereの主な特徴や機能です。最大の特徴は、基本料金のみでWebサイトに必要なセキュリティ対策すべてを提供している点です。万全なセキュリティを求める一方で、必要なオプション機能の追加によるコストの問題から、導入を見送る企業は多いものです。
その点、BLUE Sphereは「多層防御・万が一の補償・万全なサポート体制」のすべてが基本料金に含まれているため、安心の価格で利用できます。
過去にWebサイトのセキュリティを検討したことがあるが、コストの問題で導入を見送った経験がある際には、前向きに検討を進めてよいでしょう。
4.InfoCage SiteShell
InfoCage SiteShellは日本電気株式会社(NEC)が運営するソフトウェア型WAF製品です。
| 項目 | 内容 |
| 価格・契約 | 年間ライセンス:600,000円〜 永続ライセンス:2,500,000〜 |
| 主な機能 | ・監視機能 ・自動復旧機能 ・自動防御機能 ・通知機能 ・運用支援機能 |
| 導入事例 | 要問合せ |
| 公式URL | https://jpn.nec.com/infocage/siteshell/ |
- 組織の環境やニーズに合わせた導入形態を提供
※「ホスト型」「ネットワーク型」「スニファ型」の3形態 - 国際的なセキュリティ基準である「PCI DSS」の基準をクリア
- NEC独自のセキュリティインテリジェンスを適用した防御
- Webサーバ監視 / Web改ざん防止はオプション
上記がInfoCage SiteShellの主な特徴や機能です。NEC独自の更新サービスセンターにて、さまざまな情報源から収集・分析された最新のセキュリティに関する知見を、ブラックリストとしてソフトウェアに自動適当します。これにより、不正なトラフィックを漏れなく検知でき、通常のファイアウォールやIDS / IPSでは防ぎきれないWebアプリケーションへの攻撃を防ぎます。
ソフトウェア型WAFのため、ネットワーク構成の見直しは不要で、1〜2週間で導入できるのも利点です。オンプレミス環境だけでなく、クラウド環境にも有効な防御ツールを探している際には、比較検討の候補に入れておくとよいでしょう。
5.Clearswift SECURE Web Gateway
Clearswift SECURE Web GatewayはClear swift株式会社が運営するソフトウェア型WAF製品です。
| 項目 | 内容 |
| 価格・契約 | 要問合せ |
| 主な機能 | ・フィルタリング機能 ・ブロック機能 ・労務管理機能 ・レポート機能 |
| 導入事例 | 要問合せ |
| 公式URL | https://www.hitachi-solutions.co.jp/clearswift_web/ |
- 複数のウィルス対策ソフトを標準搭載した高機能WAF製品
- 高精度URLフィルタリング機能によるブロック機能
- ユーザのアクセス状況を詳細に把握できるレポート機能
上記がClearswift SECURE Web Gatewayの主な特徴や機能です。高精度なURLフィルタリング機能に加え、Kaspersky、Sophosといったアンチウィルスやアンチマルウェア機能を搭載しているため、外部からの脅威を完全ブロックします。また、グループや時間毎にアクセス制御を柔軟に行える労務管理機能も備えており、担当者の工数削減ができるという魅力もあります。
ソフトウェア型WAFを探している、Webセキュリティ対策に必要な対策をオールインワンで導入したいと考えている場合におすすめです。
6.SiteGuard
SiteGuard(サイトガード)はEGセキュアソリューションズ株式会社が運営するクラウド型、ソフトウェア型WAF製品です。
| 項目 | 内容 |
| 価格・契約 | 年間ライセンス:252,000円~(ホスト型) |
| 主な機能 | ・ホスト型、クラウド型、ゲートウェイ型が存在 ・ブロック機能 ・シグネチャ検 ・シグネチャの自動更新 ・Cookie保護機能 ・国別フィルタ ・アラート機能 ・ログ管理 ・レポート機能 |
| 導入事例 | 株式会社日立システムズ、キャノンマーケティングジャパン株式会社、カゴヤ・ジャパン株式会社、さくらインターネット株式会社 その他多数 |
| 公式URL | https://siteguard.jp-secure.com/lp2-siteguard |
- 100万サイト以上の導入実績
- コスト試算しやすい料金体系
- シンプル設計で直感的に操作しやすいインターフェース
- 専任エンジニアによる高品質なサポート
上記がSiteGuardの主な特徴や機能です。セキュリティ要件が厳しい官公庁やメガバンクなどの大企業をはじめ、大手ホスティングサービス事業者など、企業規模や業界業種問わず100万サイト以上で導入されています。何か分からないことがあっても、専任のエンジニアが日本語で迅速に対応してくれるので、安心して運用できるのも魅力です。
導入実績に裏付けられた信頼性を重視している、何かトラブルが発生したときに頼れる存在を身近に置きたい場合には、前向きに検討を進めましょう。
7.FortiWeb
FortiWebはフォーティネットジャパン株式会社が運営するアプライアンス型WAF製品です。
| 項目 | 内容 |
| 価格・契約 | 要問合せ |
| 主な機能 | ・ブロック機能 ・保護機能 ・ボット減災機能 ・シグネチャの自動更新 ・トラフィック暗号化 / 復号化 ・レポート機能 |
| 導入事例 | 要問合せ |
| 公式URL | https://www.fortinet.com/jp/products/web-application-firewall/fortiweb |
- ユーザーやWebサーバーの性能に応じて選べる3つの提供形態
※ハードウェアアプライアンス型、仮想マシン型、コンテナ型 - 機械学習に基づいた脅威検知により誤検知を最小限に
- 高度なビジュアル分析により攻撃のソースやタイプを可視化
上記がFortiWebの主な特徴や機能です。最大の特徴は、機械学習による脆弱性の検知と工数削減です。機械学習を通じて、新たな脆弱性や脅威を検知し随時対処していくため、脆弱性の発見から対策実行までの間のゼロデイ攻撃に高い効果を発揮します。
また、機械学習の効果で誤検知を少なくできるため、日々の管理業務を最小限に抑えられるのも利点です。関連サービスにファイアウォールやIPS / IDS製品も提供されており、合わせて導入を検討したい場合におすすめです。
8.Imperva Web Application Firewall (WAF)
Imperva Web Application Firewall (WAF)は日本法人株式会社Imperva Japanが提供するアプライアンス型WAF製品です。
| 項目 | 内容 |
| 価格・契約 | 要問合せ |
| 主な機能 | ・ブロック機能 ・シグネチャ検査 ・シグネチャの自動更新 ・保護機能 ・管理画面機能 ・レポート機能 |
| 導入事例 | NTTテクノクロス株式会社 |
| 公式URL | https://www.imperva.com/ja/web-application-firewall-waf/ |
- Gartner® Magic Quadrant™で8年連続リーダーに選出
- セキュリティエキスパートによる24時間365日のサポート体制
- グローバルSOCと連携し、最新の攻撃を阻止
上記がImperva Web Application Firewall (WAF)の主な特徴や機能です。世界的に圧倒的な実績と信頼性を誇る製品で、日本でも公共機関や金融業、通信業を中心に幅広い企業で導入されています。高性能なWAFにより、グローバル基準を満たした高いセキュリティ環境を構築するだけでなく、24時間365日監視するセキュリティエキスパートに管理を任せられるという魅力もあります。
グローバルでの導入実績にこだわりたい、運用負荷を軽減する操作性を求めている、専任のエキスパートに管理を任せたい場合には、前向きに検討を進めてみてよいでしょう。
9.WAPPLES
WAPPLESはペンタセキュリティシステムズ株式会社が運営するアプライアンス型WAF製品です。
| 項目 | 内容 |
| 価格・契約 | 要問合せ |
| 主な機能 | ・ブロック機能 ・保護機能 ・自己診断機能 ・外部連動機能 ・Back up/Restore機能 ・冗長構成及びPLS ・Load Balancing機能 |
| 導入事例 | 現代証券、メリッツ総合金融証券、マネートゥデイ |
| 公式URL | https://www.pentasecurity.co.jp/wapples/ |
- 世界70万以上のWebサイトでの導入実績
- 独自開発の論理演算ロジック型検知エンジン(COCEP™)を搭載
- 34の検知ルールやCustom Rule機能を提供
- アプライアンス型ながら導入・運用がしやすい設計
上記がWAPPLESの主な特徴や機能です。予め実装されたWeb攻撃の法則を導出するロジック解析エンジンにより高度なセキュリティを実現します。未知の攻撃にも対応する一貫したセキュリティ性能を担保しており、その性能は外部の評価機関・団体から客観的に証明されています。
専用サーバを必要とするアプライアンス型でありながら導入・運用がしやすい設計で、担当者のスキルに依存せずセキュリティ体制を構築できるのも魅力です。
高性能のアプライアンス型WAF製品を導入したい、業務を属人化せずに導入・運用したい際には、比較検討する際の候補に入れてよいでしょう。
WAFの主な機能
ここではWAFの代表的な機能を5つ紹介します。
通信監視および通信制御
通信監視および通信制御は、WAFの一般的な機能です。WAFは、あらかじめ設定した通信パターンをもとに不正アクセスを検知し、許可したり防御したりします。
攻撃を検知する機能には、不正アクセスの特徴や攻撃パターンをあらかじめ登録しておき、それにマッチしたアクセスを遮断する「ブラックリスト方式」と、正当なアクセスの特徴やパターンをあらかじめ登録しておき、それ以外の通信を遮断する「ホワイトリスト方式」があります。
シグネチャ自動更新
シグネチャ自動更新は、最新の脅威に対応するために、WAFが自動的にシグネチャ更新を行う機能です。シグネチャは、攻撃の特徴を表すパターンのことで、WAFはシグネチャにマッチする通信を遮断し、攻撃からWebサイトを守ります。また、手動でシグネチャの更新をする必要がないため、セキュリティ担当者の作業負荷を軽減するという利点もあります。
Cookie保護
Cookie保護は、HTTP Cookieを悪用した攻撃からWebサイトを守る機能です。CookieはWebサーバーとWebブラウザーの間で情報をやり取りするために使用されますが、CookieにはセッションIDや認証情報などの重要な情報が含まれているため、Cookieを盗み出すことができれば、不正なアクセスが可能となります。
WAFを導入すれば、Cookieに異常がある場合や、Cookieを悪用した攻撃を検知し、遮断するだけでなく、Cookieの暗号化や署名を行うことで、Cookieの改ざんや盗み出しを防止できます。
特定URLの除外・IPアドレス拒否
特定URLの除外・IPアドレス拒否は、WAFが保護するWebサイトのアクセス制御を行うための機能です。WAFは、あらかじめ設定された条件をもとに、特定のURLへのアクセスを制限します。
例えば、WAFを導入しているWebサイトに対して、あるIPアドレスからのアクセスが過剰に発生した場合、WAFはそのIPアドレスからのアクセスを自動的に遮断します。また、特定のURLに対してアクセス制限をかけることで、攻撃者による不正アクセスを防止すること可能です。
ログ・レポート機能
ログ・レポート機能は、WAFが保護するWebサイトのアクセスログを収集し、分析やレポートを作成するための機能です。ログ・レポート機能によって、Webアプリケーションに対する攻撃の傾向や頻度、アクセスのパターンなどを把握することができます。
ログ・レポート機能は、WAFの機能のうち、攻撃を検知するものではありませんが、攻撃の発生状況を的確に把握できるため、WAFの有効性を評価するうえで重要な機能です。
WAFで防御可能な攻撃の種類
WAFを導入することでどのような攻撃を防御できるのでしょうか。
以下に代表的な攻撃の例を挙げます。
| 攻撃名 | 内容 |
| SQLインジェクション | SQL文に不正な文字列を挿入する攻撃 |
| OSコマンドインジェクション | OSコマンドに不正な文字列を挿入する攻撃 |
| クロスサイトスクリプティング(XSS) | Webページにスクリプトを埋め込む攻撃 |
| クロスサイトリクエストフォージェリ(CSRF) | ユーザーが意図しない操作を行わせる攻撃 |
| ファイルインクルージョン | Webページに外部ファイルを読み込ませる攻撃 |
| ディレクトリトラバーサル | Webサーバー上のファイルを不正に参照する攻撃 |
| XML外部エンティティ(XXE) | XMLファイルに含まれる外部参照を悪用する攻撃 |
| HTTPヘッダインジェクション | HTTPヘッダに不正な文字列を挿入する攻撃 |
| ゼロデイ攻撃 | 修正プログラムが提供される前に公開された脆弱性悪用した攻撃 |
WAFを導入するメリット
ここではWAFを導入するメリットを3つ紹介します。
- あらゆる攻撃にスピーディに対応できる
- 常に正確なセキュリティ対策ができる
- 取引先の信頼確保につながる
順に解説します。
あらゆる攻撃にスピーディに対応できる
通常、Webアプリケーションに脆弱性がある場合、各ベンダーはユーザーに対し脆弱性の修正パッチを提供します。しかし、修正プログラムが適用されるまでにはタイムラグがあり、その間を狙った攻撃(ゼロデイ攻撃)を対策するのは難しいとされてきました。
しかし、近年増えてきているWAF(特にクラウド型)は、こうした攻撃に自動で対応するほか、さまざまな攻撃パターンに対してスピーディーに対応するための機能が搭載されているため、よりWAFを導入することは必要不可欠になっています。
常に正確なセキュリティ対策ができる
AIエンジンを搭載したWAFが増えており、一般的な攻撃だけでなく、未知の攻撃や誤検知を高速で発見します。豊富な導入実績を誇る企業のWAFであれば、多くの攻撃パターンや誤検知データを分析しているため、その対策は万全といえるでしょう。
また、複数のWebサイトを運営している場合、それぞれの脆弱性に適したセキュリティ対策をするのは非常に困難です。WAFを導入すれば、正確な検知による保護が実現できるだけでなく、セキュリティレベルを均質化できるという大きなメリットもあります。
取引先の信頼確保につながる
WAFを導入するメリットとして、取引先の信頼確保につながることも挙げられます。近年、情報漏洩や不正アクセスなどのセキュリティ問題が社会問題となっており、企業にとってセキュリティ対策は重要な課題です。
WAFを導入すれば、自社のWebサイトにおけるセキュリティリスクを抑え、取引先からの信頼を確保できます。これは、取引先にとっても重要なポイントであり、企業としての信頼性向上につながるといえます。
WAFを選ぶ際のポイント
ここでは、WAFを選ぶ際のポイントを紹介します。
防ぎたいサイバー攻撃に対応可能か
WAFは、Webアプリケーションに対して様々な攻撃を防御するためのセキュリティツールですが、WAFによって防御できる攻撃の種類は異なります。したがって、WAFを導入する前に、自社のWebアプリケーションに対する脅威を把握し、その脅威に対応可能なWAFを選ぶ必要があります。
導入および運用にかかるコスト
WAFを導入する際には、当然導入コストのほか、運用コストも必要になります。運用コストには、WAFの定期的な更新や、ログの解析、不正アクセスの検知に対する迅速な対応などが含まれます。また、WAFの種類によっては、専門的な知識が必要となるため、人件費なども考慮する必要があるでしょう。
サポート範囲が適切か
WAFを導入する際には、ベンダーが提供するサポート範囲も重要なポイントです。WAFのトラブルが発生した場合、迅速な対応が必要ですが、それにはベンダーのサポート体制が重要な役割を果たします。
また、WAFの運用にあたっては、ベンダーが提供するマニュアルやドキュメントも考慮するとよいでしょう。マニュアルやドキュメントが充実している場合、WAFの運用やトラブル対応が円滑に進みます。
無料トライアルの期間が設けられているか
WAFを導入する前に、ベンダーが提供する無料トライアルで使ってみることをおすすめします。
無料トライアルを使うことで、WAFが自社のWebアプリケーションとの親和性が高いかどうかを確認できるだけでなく、WAFの運用やトラブル対応に関する経験も積めるため、導入後のトラブル回避につながります。
WAFを導入する際は、無料トライアルの期間やサポート範囲なども確認しておくとよいでしょう。
WAF製品の導入でよくある質問
WAF製品を導入する際、3つのよくある質問と回答を紹介します。
- WAFの世界シェアや国内シェアは?
- 無料のオープンソース(OSS)WAF製品はある?
- 本当に必要?WAFのデメリットとは
WAF導入において検討段階にある方は、ぜひ導入に踏み出す検討材料の一つとして、目を通してみてください。
WAFの世界シェアは高まっている?
アプリケーションファイアウォール市場は2020年には32.3億米ドルと評価されましたが、2026年までに80.6億米ドルに達すると予測されています。
アプリケーションの需要と供給が増えているのはもちろん、WAFは汎用性が高いことから、今後も世界シェアが高まっていくと考えられます。
参考:WEB アプリケーション ファイアウォール市場 – 成長、トレンド、COVID-19 の影響、および予測 (2023 ~ 2028 年)
無料のオープンソースWAF製品(OSS)はある?
WAF製品のなかには、無料で導入できるオープンソースの製品(OSS)も存在します。
カスタマイズ性にも優れているため、導入を検討する方も少なくありません。
しかしOSSは自社で開発から管理・運用を行う必要があるので、専門的な知識や技術を持つ人材を確保しなければいけません。また、OSSのWAF製品は海外製のものが多いため、英語力も求められます。
本当に必要?WAFにデメリットはある?
危機管理対策として、WAFは必要性の高いセキュリティツールといえます。
もしサイバー攻撃を受けてしまったら、サービスを停止している間の利益の損失、復旧費用の捻出など、場合によっては莫大なコストがかかってしまいます。さらに個人情報が流出すれば損害賠償金の支払いも生じるでしょう。
導入や運用にコストがかかるのがデメリットですが、先述したような損失を回避するためには、必要経費と考えた方が安心でしょう。
まとめ
WAFは、Webサイトを攻撃から守るためのセキュリティ対策の1つです。WAFを導入することで、あらゆる攻撃に対応できるだけでなく、常に正確なセキュリティ対策ができるため、取引先からの信頼確保にもつながります。
WAFの導入に際しては、防ぎたいサイバー攻撃に対応可能か、導入および運用にかかるコスト、サポート範囲が適切か、無料トライアルを利用できるかといったポイントを押さえることが大切です。
この記事を参考に、WAF製品を比較し、導入を検討してみてください。
