クラウド型WAFとは?仕組みや防げる攻撃・オンプレミス型との違い、おすすめ製品を比較

2024/08/28 2024/08/28

WAF

WAF

クラウド型のWAFとは

インターネットを介して利用する「クラウド型WAF」。導入・運用にかかる手間や費用を抑えられることから、近年注目されています。本記事では、クラウド型WAFの仕組みや防げる攻撃、オンプレミス型との違いなどを解説します。おすすめ製品も紹介するので、導入を検討している方はぜひ参考にしてください。

クラウド型WAFとは?

WAFとは、Web Application Firewallの略で、Webアプリケーションの脆弱性を狙った攻撃からWebサイトを守るためのセキュリティ対策のことです。クラウド型WAFは、クラウド上に構築されたWAFを指し、インターネット上で手軽に利用することができます。

企業内に専用機器を設置する必要がなく導入が簡単で、運用負担が軽減されるため、多くの企業で採用が進んでいます。

クラウド型WAFとオンプレミス型WAFの違い

オンプレミス型WAFとは、企業が自社のサーバーにWAF専用機器を設置するか、既存のサーバーにソフトウェアをインストールして運用するセキュリティ対策です。自社内で管理するため、柔軟な設定が可能で、特定の要件に応じたカスタマイズがしやすいというメリットがあります。

一方で、初期導入コストや運用負担が大きく、専任のスタッフが必要となる場合も多いため、導入には慎重な検討が必要です。

オンプレミス型WAFとは?種類やクラウド型との違い・メリットを紹介

クラウド型WAFの仕組み

クラウド型WAFは、シグネチャを利用して攻撃を遮断します。シグネチャとは、特徴的な攻撃パターンをまとめた定義ファイルのことです。

このシグネチャには、ブラックリスト方式とホワイトリスト方式の2つの方法があり、それぞれ異なるアプローチでセキュリティを提供します。

ブラックリスト方式

ブラックリスト方式とは、既知の攻撃パターンをシグネチャとして定義し、それに一致する通信をすべて遮断する検知方式です。この方法は、過去に確認された攻撃手法をリスト化し、それに基づいて不正なアクセスを拒否します。ただし、新たな攻撃手法に対応するためには、定期的なシグネチャの更新が必要です。

ホワイトリスト方式

ホワイトリスト方式とは、あらかじめ許可された通信のみをシグネチャとして定義し、それに一致するものだけを通過させる検知方式です。信頼できる通信をリスト化し、その他のすべての通信をブロックするため、未知の攻撃にも対応できます。

ただし、許可する通信について細かく設定する必要があり、シグネチャを生成するための工数やコストが大きくなります。

クラウド型WAFで防げる攻撃

クラウド型WAFは、以下のような攻撃に有効です。

  • バッファオーバーフロー
  • クロスサイトスクリプティング
  • SQLインジェクション
  • OSコマンドインジェクション
  • DDoS攻撃
  • ブルートフォースアタック
  • ディレクトリトラバーサル

これらの攻撃は、Webサイトに深刻な影響を与える可能性がありますが、クラウド型WAFを導入することで、これらの脅威からWebサイトを守ることができます。

【2024年最新】おすすめのWAF製品17選比較|種類や選び方を解説

クラウド型WAFのおすすめ製品を比較

クラウド型WAFには多くの製品があります。ここでは、おすすめ製品の料金や機能を比較するので、参考にしてみてください。

BLUE Sphere

BLUE Sphereは、複数の防御手段を備えたオールインワンのセキュリティサービスです。WAFのほかに、DDos攻撃からの防御や改ざん検知、DNS監視サービスなどを提供しています。サイバーセキュリティ保険も無料で付帯するため、万が一のときでも安心です。

提供元株式会社アイロバ
初期費用11万円(税込)
料金プラン
  • N001:49,500円(税込)/月
  • M001:74,800円(税込)/月
  • M003:10万7,800円(税込)/月
  • M005:14万800円(税込)/月
機能・特徴WAF、DDos攻撃からの防御、改ざん検知、DNS監視サービス、サイバーセキュリティ保険など
URL公式サイト

Scutum

Scutumは、12年連続国内シェア1位を誇るクラウド型WAFです。情報通信業をはじめ、製造業やサービス業、金融・保険など幅広い業界で利用されています。1週間程度で導入可能で、緊急対応の場合は最短3日での導入も可能です。アップデートも自動的に行われるため、運用の手間をかけずに防御能力を向上させることができます。

提供元株式会社セキュアスカイ・テクノロジー
初期費用■ピーク時トラフィックの目安
  • ~500kbps:10万7,800円(税込)
  • ~5Mbps:10万7,800円(税込)
  • ~10Mbps:10万7,800円(税込)
  • ~50Mbps:21万7,800円(税込)
  • ~100Mbps:21万7,800円(税込)
  • ~200Mbps:21万7,800円(税込)
  • ~200Mbps以上:21万7,800円(税込)
料金プラン■ピーク時トラフィックの目安
  • ~500kbps:32,780円(税込)/月
  • ~5Mbps:65,780円(税込)/月
  • ~10Mbps:14万800円(税込)/月
  • ~50Mbps:16万2,800円(税込)/月
  • ~100Mbps:21万7,800円(税込)/月
  • ~200Mbps:32万7,800円(税込)/月
  • ~200Mbps以上:100Mbpsごとに11万円(税込)/月加算
機能・特徴ブロック機能、モニタリング機能、防御ログ閲覧機能、レポート機能、ソフトウェア更新機能、防御ロジック更新機能、特定URL除外機能など
URL公式サイト

攻撃遮断くん

攻撃遮断くんは、20,000以上のWebサイトに導入されているクラウド型WAFです。攻撃検知AIエンジンを搭載しているのが特徴で、未知の攻撃や誤検知をすばやく発見します。「DNS切り替え型」と「エージェント連動型」の2種類があり、自社の環境に応じて選択可能です。サポートは24時間365日対応しているため、誤検知への対応などの緊急事態でも安心です。

提供元株式会社サイバーセキュリティクラウド
初期費用要問い合わせ
料金プラン■Webセキュリティタイプ
  • 1サイトプラン:11,000円(税込)/月
  • Webサイト入れ放題プラン:19万8,000円(税込)/月

■DDoSセキュリティタイプ

  • 1サイトプラン:16,500円(税込)/月
  • Webサイト入れ放題プラン:27万5,000円(税込)/月

■サーバセキュリティタイプ

  • ベーシックプラン:44,000円(税込)/月
  • サーバー台数無制限使い放題プラン:88万円(税込)/月
導入実績導入サイト数20,000以上
機能・特徴Webアプリケーションへのサイバー攻撃をしっかり遮断、Webサイトの

改ざんリスクも軽減、サイバー保険が自動付帯、24時間365日の日本語サポートなど

URL公式サイト

Cloudbric WAF+

Cloudbric WAF+は、企業のWebセキュリティに必要な5つのサービスを提供するクラウド型Webセキュリティプラットフォームです。高度なAI技術を活用したWAFサービスをはじめ、DDoS攻撃対策やSSL証明書サービス、脅威IP診断サービスなどを利用できます。また、脅威情報に基づき分析を行うことで、スパイウェアやアドウェア、スパムボットなどの悪性ボットも遮断します。

提供元ペンタセキュリティ株式会社
初期費用68,000円~
料金プラン28,000円/月~
機能・特徴WAFサービス、DDoS攻撃対策サービス、SSL証明書サービス、脅威IP遮断サービス、悪性ボット遮断サービスなど
URL公式サイト

AIONCLOUD WAF

AIONCLOUD WAFは、最新の攻撃にいち早く対応できるクラウド型WAFです。世界レベルの脅威情報共有基盤AICCを利用し、国内外のネットワークセキュリティ情報を収集することで、さまざまな攻撃からWebサイトを守ります。初期費用が無料で月額4,000円から利用できるため、コストを抑えて導入したい企業にもぴったりのサービスです。

提供元株式会社モニタラップ
初期費用無料
料金プラン4,000円~
導入実績8,000社
機能・特徴OWASP Top10・Zero-day 脅威・データ漏洩・DoS攻撃などさまざまな攻撃からネットワークを保護、直感的なUIで初心者向けの簡単設定からプロ向けの詳細な設定にも対応できる、ドメイン別ダッシュボードから主要攻撃を確認など
URL公式サイト

NTTPC クラウドWAFサービス

NTTPC クラウドWAFサービスは、簡単に導入・運用が行えるクラウド型WAFです。誤検知の見極めやシグネチャのチューニングといった煩雑な運用をすべて任せることができます。日々のアラートや更新については、セキュリティアナリストが精査して必要なものだけを知らせてくれます。また、攻撃の推移情報やランキングなどをまとめたレポートも提供しているため、専門知識がなくても自社の状況を把握しやすいでしょう。

提供元株式会社エヌ・ティ・ティピー・シーコミュニケーションズ
初期費用99,000円(税込)
料金プランベーシック10Mbps:10万8,350円(税込)/月~

※その他のプランは要問い合わせ

機能・特徴短期間でセキュリティ対策を実現、コストを最小化、高い検知率、専門家による判定、WAF以外に主要なセキュリティ機能(IPS/DDoS対策)も搭載など
URL公式サイト

クラウド型WAFを比較する際のポイント

ここでは、クラウド型WAFを比較する際のポイントを紹介します。

防御できる攻撃の種類

クラウド型WAFを選ぶ際には、自社が防御したい攻撃に対応しているかどうかが重要なポイントです。例えば、SQLインジェクションやDDoS攻撃など、特定の脅威に対する防御が必要であれば、その機能が十分に備わっているかを確認しましょう。

対応している攻撃の種類が多ければ多いほど、企業の安全性を大幅に向上させるため、導入前にしっかりと比較検討することが大切です。

シグネチャの更新頻度・速度

シグネチャの更新頻度や速度を確認することも大切です。最新の脅威に迅速に対応できるWAFであれば、セキュリティレベルを常に高く維持できます。

更新が遅れると、新たな攻撃に対して脆弱になるリスクがあるため、定期的かつ迅速にシグネチャ更新を行っているサービスを選びましょう。

サポートの充実度

導入や運用時にベンダーから十分なサポートが受けられるかも重要なポイントです。特に初めてWAFを導入する企業の場合、設定やトラブル対応におけるサポートが充実しているサービスが良いでしょう。

また、24時間対応や日本語でのサポートがあるかどうかも確認すべき点です。安心して利用できるWAFを選ぶためには、サポート体制がしっかりしているかを見極める必要があります。

導入・運用にかかる手間や費用

クラウド型WAFを選ぶ際には、導入や運用にかかる手間や費用も確認しましょう。既存のシステムを変更することなく導入できるものや、運用を一任できるサービスを選ぶことで、日常業務の負担を減らせます。

また、拡張性が高いサービスを選ぶことも重要なポイントです。初期費用やランニングコストだけでなく、柔軟性や拡張性も考慮して、最適なWAFを選びましょう。

Webサイトの処理速度の影響

Webサイトの処理速度にどれだけ影響を与えるかの確認も欠かせません。不正アクセスの判定に時間がかかると、サイトの表示速度が低下し、ユーザーエクスペリエンスに悪影響を及ぼす可能性があります。

特にアクセスの多いサイトでは、処理速度が落ちないWAFを選ぶことが重要です。

管理できるWebサイトの数

クラウド型WAFを選ぶ際には、1契約で管理できるWebサイトの数も重要なポイントです。複数のサイトを運営している企業の場合、1つの契約でどれだけのサイトをカバーできるかがコスト効率に直結します。

また、対応できるサイト数が多ければ、管理の手間も省け、運用がスムーズになります。

WAFの導入・運用時の課題とは|スムーズに運用するためのポイントを解説

クラウド型WAFを導入しWebサイトのセキュリティを強化しよう

クラウド型WAFの導入は、Webサイトのセキュリティ強化に有効な手段のひとつです。比較的低コストで導入できるほか、複雑な設定や専門知識が不要で最新の攻撃からサイトを守ることができます。自社のニーズに合ったWAFを選び、安心してWebサイト運営を続けられる環境を整えましょう。

WAFの記事をもっと読む

WAFの記事一覧

ビズクロ編集部
「ビズクロ」は、経営改善を実現する総合支援メディアです。ユーザーの皆さまにとって有意義なビジネスの情報やコンテンツの発信を継続的におこなっていきます。

おすすめ関連記事

リードジェネレーションとリードナーチャリングの違いとは?取り組み事例や成功させるポイント

最終更新日時:2024/09/19

リードジェネレーション

最終更新日時:2024/09/19

リードジェネレーション

リードジェネレーションの意味とは?役割や代表的な手法・成功させるポイントを簡単に解説

最終更新日時:2024/09/19

リードジェネレーション

最終更新日時:2024/09/19

リードジェネレーション

AIをマーケティングに活用するメリット|活用事例やリスクを解説

最終更新日時:2024/09/19

生成AI

最終更新日時:2024/09/19

生成AI

AI・機械学習・ディープラーニングの違いとは?機械学習の種類やアルゴリズムについて

最終更新日時:2024/09/19

生成AI

最終更新日時:2024/09/19

生成AI

生成AIを導入する際は社内ルールを策定すべき|必要な理由や作り方について

最終更新日時:2024/09/19

生成AI

最終更新日時:2024/09/19

生成AI

SMSの自動送信・予約送信する方法|役立つシーンやおすすめのサービスを紹介

最終更新日時:2024/09/18

SMS送信サービス

最終更新日時:2024/09/18

SMS送信サービス

【無料トライアルあり】IVR(自動音声応答システム)7選を比較|選定のポイントや無料製品の注意点

最終更新日時:2024/09/18

IVR

最終更新日時:2024/09/18

IVR

システム開発の費用相場はどのくらい?平均や安く抑えるコツ・妥当性について

最終更新日時:2024/09/18

システム開発

最終更新日時:2024/09/18

システム開発

受領書とは?目的や書き方、領収書との違いをわかりやすく解説

最終更新日時:2024/09/18

請求書受領サービス

最終更新日時:2024/09/18

請求書受領サービス

WAFとIPS・IDSの違いとは?防げる攻撃や種類・セキュリティの特徴について

最終更新日時:2024/09/18

WAF

最終更新日時:2024/09/18

WAF