サイバー攻撃が企業の脅威となっています。サイバーセキュリティ対策にはいくつか種類があり、アンチウィルスやEDR、FirewallやVPN等、一般企業から見るとわかりづらいものです。そして最近、注目されているのがWAF(web application firewall)です。WAFはどのようなサイバー攻撃からWebサイトや機密情報を守ってくれるのでしょうか?そこでサイバー攻撃対策全般をご紹介しながら、注目のWAF 10製品・サービスを徹底比較していきたいと思います。クラウドWAFの料金やオープンソース(OSS)もご紹介しますので、「世の中にWAFってこんなにあるの?」がわかります!
WAF(web application firewall)とは?サイバー攻撃から何を守ってくれるの?
WAFが注目を集めています。WAFとはどのようなものなのでしょう。WAFとはweb アプリケーションファイアウォールの略で、アルファベット3文字から「ワフ」と呼ばれています。WAF・ワフとはWebサイトへの不正な攻撃を防いでくれるセキュリティ対策システムのことです。
サイバーセキュリティ対策やサイバー攻撃対策にいくつか種類があります。社内システムに侵入された後で、サーバーやクライアントをウィルス、マルウェア、ランサムウェア、ゼロデイ攻撃等から守る対策としては、アンチウィルスやAIを使ったNGAV(ネクストジェネレーションアンチウィルス)が一般的です。それでもウィルス感染する可能性がありますので、社内システムを監視したり、ログを取ったりするEDR(Endpoint Detection and Response)のようなセキュリティ対策のソリューションもあります。
WAFやFirewall・VPN等は社外からのネットワークに対するセキュリティ対策と言えます。その中でもFirewallやVPN等は外部から社内システムにアクセスしたり、侵入させないようにするセキュリティ対策です。社内システムに外部から簡単にアクセスされ、侵入されて機密情報や個人情報が漏えいしては大変ですので、企業はかなり前から取り組んでいます。
しかし外部からアクセスできる社内システムはどんな企業にも存在します。それはインターネット上に公開されているホームページや製品・サービスサイトがそうです。電子商取引・EC事業を営んでいる企業であれば、ECサイトも該当します。つまり、社内のWebサイトは外部からアクセスされるのです。
企業情報や製品・サービス情報をユーザーに知ってもらうために、インターネットから誰でもアクセスできるようにしているのが社内のWebサイトなのですが、そこをサイバー攻撃されるリスクが高まっています。つまり、WAFはWebサイトへの不正な攻撃を防いでくれるセキュリティ対策製品として、最近、システム導入が増えているのです。
Webサイトをサイバー攻撃する攻撃パターンは多種多様です。SQLインジェクション、OSコマンドインジェクション、LDAPインジェクション、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ、DDos攻撃、ブルートフォース攻撃等、情報システム部門の方が聞いてもよくわからない攻撃が増えており、とても一般企業の力だけでは防御できません。
そこでWAFが防御対象となる攻撃の指定や細かな防御設定をしてくれるのです。企業へのサイバー攻撃は知らず知らずのうちに受けており、日々増えています。そこでWAFが攻撃を受けた時間帯や攻撃種別の内訳、攻撃元のIP、Webサイトの攻撃元対象URLの上位ランキングをレポートやダッシュボードで教えてくれるのです。
このような企業へのサイバー攻撃に対し、WAFがWebサイトの脆弱性を悪用した情報漏えいやサイトの改ざん等を防いでくれます。まさに社内システムであるWebサイトを外部の脅威から守ってくれるのがWAFなのです。
このようにWAFがあれば、外部からのサイバー攻撃を防御してくれます。しかしWAFは世の中にたくさんあり、どれが良い製品・サービスなのかわかりづらいものです・・。そこでWAF 10製品を徹底比較し、クラウドWAFの料金やオープンソース(OSS)も解説していきたいと思います。「WAFって世の中にこんなにあるの?」がよくわかります!
PrimeWAF(プライムワフ) サイバー攻撃可視化ツール ※無料トライアルあり
PrimeWAFは国産ベンダーバルテス(株)が提供する新しいタイプのWAFです。何が新しいかと言うと「脅威がみえる、攻撃からまもる」をコンセプトにするサイバー攻撃可視化ツールということです。特長は3つあります。
【PrimeWAFの特長】
1.カンタン設定で、しっかり防御
2.状況がすぐにわかるダッシュボード
3.初期費用0円、はじめやすい従量制(料金)
設定が簡単ではないWAFが多い中で、PrimeWAFは専門的な知識がなくても導入しやすいクラウドWAFです。対応可能な攻撃パターンも豊富にあり、防御ルールやカスタムルールを柔軟に設定できます。
【対応可能な攻撃パターン】
SQLインジェクション、OSコマンドインジェクション、LDAPインジェクション、Xpathインジェクション、SSIインジェクション HTTPヘッダーインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリ、リモートファイルインクルード、ローカルファイル、インクルードパストラバーサル、安全でないデシリアライゼーション 他多数あり
情報システム部門のセキュリティポリシー策定や運用に携わる担当者は、サイバー攻撃の状況や攻撃ログをスピーディに把握する必要があります。PrimeWAFのダッシュボードは非常にわかりやすく表示できます。
【ダッシュボード機能】
・攻撃を受けた時間帯、脅威度内訳、攻撃種別内訳、攻撃元IP内訳、攻撃対象URL-TOP5、攻撃元 MAP一覧、レポート出力機能 他
料金はPrimeWAFでは一般的な定額制だけでなく、従量制の価格体系を持っているのは大きなポイントです。従量制の良さはPV 数の変動や、月間の総転送量によっては月額費用が下がり、低コストになることです。そして、初期費用はもちろん0円です。無料トライアル版がありますので、下記URLから従量制料金と共に確認してみましょう。
参照元URL https://val.security.local:8890/primewaf/
Waf Charm(ワフチャーム) パブリッククラウドWAF自動運用サービス ※無料トライアルあり
Waf CharmはパブリッククラウドのWAF運用で困っているユーザーを支援します。例えばAWS WAFやGoogle Cloud Armor、Azure WAFは、導入後のルールづくりや検証作業に苦労するケースがあります。Waf Charmは運用全般を日本語でサポートしてくれる、パブリッククラウドWAF自動運用サービスであることが強みです
料金は初期費用0円、月額料金5,000円から利用でき、定額の料金体系でクラウドWAF運用を実現できます。30日間の無料トライアルがありますので、試してみましょう。
参照元URL https://www.wafcharm.com/
攻撃遮断くん クラウド型WAF
攻撃遮断くんはクラウド型WAFとして、ファイアウォールやIPS/IDSで防ぐことができないサイバー攻撃を防いでくれるセキュリティサービスです。24時間365日の体制で日本語サポートを提供し、攻撃検知AIエンジンが未知の攻撃を発見してくれます。導入は最短1日で可能であり、国産ベンダーであることも安心できます。
料金プランは3タイプあり、月額10,000円(税別)から定額導入でき、初期導入費用は別途必要となります。Webサイト入れ放題プランやサーバー台数無制限使い放題プランもありますので、下記URLから確認してみましょう。
参照元URL https://www.shadan-kun.com/
Advanced WAF F5 WAFソリューション ※無料トライアル版あり
F5はWAFソリューションとしてオンプレミス・アプライアンス型、クラウドサービス・SaaS型、パブリッククラウド標準型の3つの種類を展開しています。
その種類の中でAdvanced WAFはオンプレミス・アプライアンス型になり、ECサイトや金融業界で数多くの実績があります。WAFとロードバランサーが統合されていることが特徴なので、ネットワーク構成をシンプルに検討できます。
料金は購入方法のページで説明されており、サブスクリプションでライセンス契約をするスタイルになっています。無料トライアル版もありますので、ぜひ試してみましょう。
参照元URL https://www.f5.com/ja_jp/products/security/advanced-waf
Web Application Protector Akamai(アカマイ)WAAP ソリューション
Web Application ProtectorはWeb サイト、アプリ、APIが攻撃を受けた場合でもセキュリティ対策や改善を24 時間体制で提供してくれるクラウドソーシングのWAFです。機械学習と自動化により高度な分析を実現し、DDoS攻撃には数秒以内に対応できます。WAAP ソリューションとは、Akamaiが提唱するWAFを超える次世代セキュリティソリューションの意味です。
料金は下記サイトのURLから、営業担当者へのお問い合わせをするタイプとなっています。
参照元URL https://www.akamai.com/ja/products/web-application-protector
AWS WAF、Amazon CloudFront、AWS WAF V2 AWSサービスを組み合わせて活用
AWS WAF は様々なセキュリティを侵害する攻撃から、WebアプリケーションやAPIを保護できるWAFです。一般的な攻撃パターンをブロックし、ウェブトラフィックをフィルタリングするようなセキュリティルールを複数作成できます。AWSの数多くのクラウドサービスと連携でき、親和性がよいことも特徴のひとつです。
例えばAmazon CloudFrontはCDNソリューションの一部として配備できるので、ユーザーへのウェブコンテンツ配信の高速化に活用できます。そしてAWSにアクセス時の権限を定義するためにIAMポリシーがあります。AWS WAF V2を活用すればリソースタイプが定義され、IAMアクセス許可ポリシーが柔軟に使用できます。
料金はユーザーが作成するウェブアクセスコントロールリストの数、追加するルールの数、受信するウェブリクエストの数に沿って課金されるモデルとなっています。詳しくは下記サイトのURLから調べてみましょう。
参照元URL https://aws.amazon.com/jp/waf/
F5 NGINX App Protect WAF ※無料トライアル版あり
NGINX App Protect WAFは、最新かつ最先端のサイバー攻撃からAPIとアプリケーションを保護してくれます。NGINXプラットフォームとシームレスに統合でき、最新のアプリアーキテクチャと連携します。NGINXはF5ファミリーに入ったことで、サービスがより強固になってきていると言えます。
料金は下記サイトのURLから営業担当者へのお問い合わせをするタイプとなっています。無料トライアルがありますので、ぜひ試してみましょう。
参照元URL https://www.nginx.co.jp/products/nginx-app-protect/
FortiWeb:Webアプリケーションファイアウォー(フォーティネットWAF)
FORTINETが提供するWAF:FortiWebは、既知の脅威と未知のゼロデイ脅威やOWASPトップ10の攻撃から、WebアプリケーションとWeb APIを防御・保護してくれます。FortiWebは機械学習を活用しているので、異常な振る舞いを識別し、異常を検知・区別します。FortiGate NGFWは次世代ファイアウォール(NGFW)として提供されています。
料金は下記サイトのURLからお問い合わせをするタイプとなっています。販売・開発パートナーも世界に数多くあります。デモ依頼ができますので、ぜひ試してみましょう。
参照元URL https://www.fortinet.com/jp/products/next-generation-firewall
Radware(ラドウェア)クラウドWAFサービス
RadwareはDevOpsで製品リリースサイクルやレベルが上がり、複雑化するWebアプリケーションのセキュリティ防御をしてくれます。OWASPトップ10の攻撃に対応し、ゼロデイWeb攻撃への防御を実現するクラウドWAFサービスです。またデバイスフィンガープリンティングにより、マルウェア防御、IP非依存型のソース追跡、ブルートフォースアタック、ウェブスクレイピング、パスワードクラッキング等の新しいボット脅威を検出し、ブロックしてくれるのです。
料金は下記サイトのURLからお問い合わせをするタイプとなっています。チャネルパートナー、クラウドパートナー、テクニカルパートナーもありますので、下記URLから調べてみましょう。
参照元URL https://jp.radware.com/products/cloud-waf-service/
ModSecurity オープンソース(OSS)・フリーWAF ※無償で利用可能
ModSecurityはオープンソース(OSS)でフリー利用できるWAFです。クラウド型WAFではなく、ホスト型WAFですので、IISやApacheなどで動くWebサーバーに対してモジュールをインストールするタイプになります。ApacheやNginx、IISを運用しているエンジニアにとっては、インストールの手順も難しくありません。
SQLインジェクション、OSコマンドインジェクション、LDAPインジェクション等の一般的な攻撃パターンの防御はできます。しかしオープンソースであるため、製造責任を負う会社(いわゆるメーカー)や導入サポートメンバーはいません。料金は無償で利用できますが、自己責任で構築や運用をする必要がありますので、ご注意ください。
まとめ
「WAF 10製品を徹底比較 クラウドWAF料金やオープンソース(OSS)も解説!世の中にこんなにあるの?がわかります」と題し、ご説明してきました。本当にWAFの種類は多く、様々なタイプのWAFが存在することがご理解いただけたと思います。
WAFの選定方法や選定基準はみなさまの企業ごとに違ってきます。しかし、WAFの選び方の共通ポイントは「対応可能な攻撃パターンが豊富であること」と「クラウドWAFで簡単に導入や運用ができること」ではないでしょうか?そしてサイバー攻撃からWebサイトや自社システムをしっかり守ってくれるWAFを選びましょう。
当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。
※本記事は2022年6月20日の情報を基に作成しています。WAFに関する詳しいご質問は、記載している参照元URLから各サイトへお問い合わせください。
※価格や料金の税込・税別表記につきましては、各サイトからご確認ください。