おすすめWAF製品比較15選｜選び方や各製品の導入実績・サポート体制などを紹介！

近年、企業のWebアプリケーションの脆弱性を狙ったサイバー攻撃が多発しています。これらのセキュリティ対策として、WAF（ワフ）を導入する企業が増えてきました。 この記事では、おすすめのWAF製品を15個厳選して紹介しています。また、WAFの３つのタイプや導入するWAFを選ぶためのポイント、各製品の導入実績や導入後のサポート体制、料金なども紹介しているので、自社へのWAF導入を考えている方は、ぜひ参考にしてみてください。 国内で使えるセキュリティソフト会社一覧≫ [toc]

WAFとは？

WAF（ワフ）とは、Webアプリケーションの脆弱性を狙ったサイバー攻撃を防ぐためのセキュリティシステムのことです。Webアプリケーションの脆弱性を狙った攻撃の例として、「クロスサイトスクリプティング」「パラメータ改ざん」「SQLインジェクション」「Cookieの濫用」などがあります。 ショッピング・ゲーム・インターネットバンキング・SNSなどのWebサイトは、サイバー攻撃を受けやすく、被害も大きくなります。WAFは、Webアプリケーションの通信内容に流出すべきでないデータを検出・遮断し、サーバー攻撃を受けるリスクを減らします。

例｜ Webアプリケーションの脆弱性を狙ったサイバー攻撃

• クロスサイトスクリプティング：悪意のあるスクリプトを埋め込むことで、不正にアクセス
• パラメータ改ざん：アプリケーションのロジックの書き換え
• SQLインジェクション：悪意のあるSQLを送信することで不正にアクセス
• Cookieの濫用：Cookieの改ざん

WAFには3タイプある

WAFには、「アプライアンス型」「ソフトウェア型」「クラウド型」の3つのタイプに分けられます。ここでは、それぞれのタイプについて説明します。

型名	メリット	デメリット
アプライアンス型	・独自のWAFシステムを構築可 ・サーバーの性能に依存しない ・サーバー数が多いとコスパがよい	・高コスト ・専門的な運用スキルが必要 ・設置スペースが必要
ソフトウェア型	・低コスト ・カスタマイズ性あり ・専用機器が不要	・複数のサーバー運用では高コスト ・専門的な運用スキルが必要 ・維持・運用コストが必要
クラウド型	・専門的な運用スキル不要 ・初期費用・運用コストが安い ・簡単に導入できる	・セキュリティが十分でない ・サービス障害時に運用停止

1.アプライアンス型WAF

アプライアンス型は、専用機器を自社に設置して運用するタイプのWAFです。機器の購入費用がかかるため、予算に余裕のある場合におすすめです。

メリット

• 自社に最適なWAFシステムを独自に構築できる
• Webサーバーの性能に依存しない
• サーバー台数が多い場合にコストパフォーマンスがよくなる

デメリット

• ハードウェアの購入・維持費などコストがかかる
• 自社で運用するため専門的なスキルが必要
• 専用機器の設置スペースが必要

2.ソフトウェア型WAF

ソフトウェア型は、自社でソフトウェアを購入し、インストールするタイプのWAFです。専用機器が不要なため、導入コストが低いです。ただし、サーバーごとにインストールする必要があるため、設置台数が多いと高コストとなります。

メリット

• 導入コストが低い
• WAF設定などを自由にカスタマイズができる
• 専用機器が不要

デメリット

• 複数のサーバーで運用する場合はコストがかかる
• 運用のため専門的なスキルが必要
• 維持・運用のためのコストが必要

3.クラウド型WAF

クラウド型は、サービス使用料を支払うだけで、簡単に導入・運用できるWAFです。自社に専用機器を設置する必要がないので、コストも抑えられます。

メリット

• 運用・管理のための専門的なスキル不要
• 初期費用・運用コストが安い
• 簡単に導入できる

デメリット

• 十分なセキュリティが確保できない
• サービスに障害があれば運用が止まる

WAF製品を選ぶ際の４つのポイント

ここでは、WAF製品を選ぶポイントについて、4つに分けて紹介します。

ポイント1.導入コスト・運用コスト

まずは、導入コストと運用コストを合わせた、総合的なコストを考慮する必要があります。どのタイプのWAFを導入するかによって、コストは異なるため、「企業の規模、サーバー数、従業員の運用スキルの有無」などを考慮した上で、自社に最適なWAFを選択しましょう。

ポイント2.セキュリティ面

WAF製品が、「自社が求めるセキュリティレベルを満たしているか」を確認しましょう。セキュリティレベルが低いと、導入しても意味がありません。また、求めているレベルより高すぎると、正常なアクセスも遮断してしまう可能性があります。

ポイント3.サポート体制

WAFのサービス会社のサポート体制が、しっかりしているかを確認しましょう。「何かあればすぐ相談に応じてくれるか」といった緊急時のサポート体制や、サポート費用の有無を事前に確認した上で、選ぶことをおすすめします。 WAFの導入によって、最新の攻撃パターンを把握し、不正アクセスを効率的にブロックするためには、専門家のサポートが必要不可欠です。

ポイント4.導入実績

WAFを選ぶ際には、必ずその製品の導入実績を調べましょう。導入実績が豊富な場合、最新のセキュリティに対応するノウハウ・経験が蓄積されています。導入実績を調べるときは、具体的な導入数や導入企業の規模・業態などを参考にするとよいでしょう。

おすすめのWAF製品

ここでは、おすすめのWAF製品を15個紹介し、重要なポイントを解説します。なお、重要度を客観化するためにおすすめのWAFを紹介したサイトを調査し、検索結果をスコアリングして上位表示の製品から順に掲載しています。

アプライアンス型
製品名	セキュリティ	サポート体制	導入実績	おすすめの人	料金
Imperva SecureSphere	セキュリティ研究機関で、日々防御力の強化	要問い合わせ	要問い合わせ	高い精度で確実にサイバー攻撃を防ぎたい人	要問い合わせ
FortiWeb	常に最新のセキュリティ情報を把握	要問い合わせ	筑波大学・ECCコンピューター専門学校など	多面的な攻撃からアプリケーションを守りたい人	要問い合わせ
Barracuda WAF	マルウェアや親子のランサムウェアを検知	要問い合わせ	大阪商工会議所・大日本明治製糖株式会社など	コストを削減したい人	要問い合わせ
SecureSoft Sniper DDX	8つの複合型防御エンジンでDDoS攻撃防御	要問い合わせ	IDC・金融会社など	DDoS攻撃を防ぎたい人	要問い合わせ
SiteGuard	独自のカスタムシグネチャ作成可	開発エンジニアによる迅速で高品質なサポート	官公庁・金融機関等など100万以上	シンプルで使いやすいソフトウェア型WAFを探している人	252,000円 /1ライセンス～
ソフトウェア型
製品名	セキュリティ	サポート体制	導入実績	おすすめの人	料金
SiteGuard	独自のカスタムシグネチャ作成可	開発エンジニアによる迅速で高品質なサポート	官公庁・金融機関等など100万以上	シンプルで使いやすいソフトウェア型WAFを探している人	252,000円 /1ライセンス～
Clearswift SECURE Web Gateway	Web経由のアンチマルウェア機能・フィルタリング機能あり	要問い合わせ	要問い合わせ	文書などのデータを秘匿化したい人	要問い合わせ
SmartCloud ソフトウェアWAF	強固なシグネチャへと柔軟なカスタマイズ可	セキュリティの専門家が最適な設定を提案	要問い合わせ	導入設定などの手間をかけたくない人	要問い合わせ
クラウド型
製品名	セキュリティ	サポート体制	導入実績	おすすめの人	料金
Cloudbric	・DDos攻撃などの防止 ・無料のSSL通信を提供	ホワイトハッカーによる24時間365日の監視	要問い合わせ	手厚いサポートを受けたい人	28,000円/月 ～
Scutum	SSTの技術者が運用代行	24時間365日のフルサポート	ECサイト金融機関・公的機関など	低価格で柔軟なシステムを構築したい人	29,800円/月～
攻撃遮断くん	防御パターンを自動アップデート	開発者が24時間365日サポート可能	NTTドコモ・SBI証券など5,000サイト以上	サイバー保険によるサポートを受けたい人	要問い合わせ
シマンテック クラウド型WAF	常に防衛シグネチャに更新	24時間サポート	要問い合わせ	高度なセキュリティシステムを導入したい人	33万9720円/年〜
Imperva Incapsula	セキュリティログを監視	セキュリティアナリストが24時間365日サポート	要問い合わせ	経験豊富なサポートを受けたい人	要問い合わせ
AEGIS Security Systems	・24時間365日監視し ・攻撃を検知したら即通知	セキュリティアドバイスプランあり	ECサイト・研究機関・Webサービス事業者など	詳細なセキュリティ情報が知りたい人	5万円/月～
WAF BENKEI	高品質なセキュリティを実現	要問い合わせ	要問い合わせ	自社専用サーバーでWAFを運用したい人	2万円/月〜
AIONCLOUD	ウェブサイトトラフィックを永続的に監視	要問い合わせ	要問い合わせ	クラウド型WAFサービスを実験的に導入したい人	要問い合わせ

アプライアンス型WAF製品【4選】

アプライアンス型1. Imperva SecureSphere

Imperva SecureSphere

特徴

利用者のアクセスを確保しながら、攻撃は高い精度で確実に阻止

セキュリティ

Imperva社のセキュリティ研究機関で、日々防御力の強化にあたっており、Webアプリケーションの脆弱性による攻撃を防ぐ

サポート体制

要問い合わせ

導入実績

要問い合わせ

料金

要問い合わせ

おすすめの人

高い精度で確実にサイバー攻撃を防ぎたい人

アプライアンス型2. FortiWeb

FortiWeb

特徴

AIを活用した多層プロテクションを実現

セキュリティ

常に最新のセキュリティ情報を把握し攻撃に備える

サポート体制

要問い合わせ

導入実績

筑波大学・ECCコンピューター専門学校など

料金

要問い合わせ

おすすめの人

AIの自動検知システムを用いて、多面的な攻撃からアプリケーションを守りたい人

アプライアンス型3. Barracuda WAF

Barracuda WAF

特徴

ブロックリストシステムにより最新の攻撃に即対応できる

セキュリティ

Barracuda ATP（Advanced Threat Protection）を用いて、マルウェアや親子のランサムウェアを検知する

サポート体制

要問い合わせ

導入実績

大阪商工会議所・大日本明治製糖株式会社など

料金

要問い合わせ

おすすめの人

脆弱性に関するコストを削減しつつ、不正アクセスや情報漏洩を防ぎたい人

アプライアンス型4. SecureSoft Sniper DDX

SecureSoft Sniper DDX

特徴

独自の防御エンジンを持ち、不審な通信を検知する

セキュリティ

8つの複合型防御エンジンにより、多数の攻撃者が行うDDoS攻撃を防ぐ

サポート体制

要問い合わせ

導入実績

IDC・金融会社など

料金

要問い合わせ

おすすめの人

強固なセキュリティで、DDoS攻撃を防ぎたい人

ソフトウェア型WAF製品【3選】

ソフトウェア型1. SiteGuard

SiteGuard

特徴

高品質な定義ファイルを供えた純国産のWAF

セキュリティ

独自のカスタムシグネチャを作成でき柔軟なセキュリティ対策が可能

サポート体制

開発エンジニアが迅速で高品質なサポートを約束

導入実績

官公庁・金融機関等を始め、国内利用サイト数は100万超

料金

25万2,000円/1ライセンス ～

おすすめの人

シンプルで使いやすい高品質なソフトウェア型WAFを探している人

ソフトウェア型2. Clearswift SECURE Web Gateway

Clearswift SECURE Web Gateway

特徴

URLフィルタリング、ウイルス対策などの包括的なセキュリティ機能を提供している、オプションでデータの秘匿化が可能

セキュリティ

Web経由のアンチマルウェア機能・フィルタリング機能など高度なウェブセキュリティシステムを備えている

サポート体制

要問い合わせ

導入実績

要問い合わせ

料金

要問い合わせ

おすすめの人

包括的なセキュリティ対策をしつつ、文書などのデータを秘匿化したい人

ソフトウェア型3. SmartCloud ソフトウェアWAF

SmartCloud ソフトウェアWAF

特徴

高度なセキュリティ診断による、顧客ごとの柔軟なWAF設定が可能

セキュリティ

Webアプリケーションの脆弱性情報から、強固なシグネチャへと柔軟なカスタマイズが可能

サポート体制

セキュリティの専門家が最適な設定を提案

導入実績

要問い合わせ

料金

要問い合わせ

おすすめの人

導入設定などの手間をかけずに、柔軟なセキュリティ対策がしたい人

クラウド型WAF製品【8選】

クラウド型1. Cloudbric

Cloudbric

特徴

独自の防御エンジンを搭載し、さまざまな脅威を排除する

セキュリティ

Webアプリケーションの脆弱性への攻撃・DDos攻撃などの防止し、無料のSSL通信を提供

サポート体制

ホワイトハッカーによる24時間365日の監視、専門家による手厚いサポート

導入実績

要問い合わせ

料金

2万8,000円 /月～

おすすめの人

手厚いサポートを受けつつ、Webアプリケーションへの脅威を排除したい人

クラウド型2. Scutum

Scutum

特徴

仮想サーバー上のウェブサイトなどにも導入可能

セキュリティ

アプリケーション診断会社であるSSTの技術者が運用代行してくれる

サポート体制

自動アップデート、24時間365日のフルサポートを提供

導入実績

ECサイト・金融機関・公的機関・B2Bサービスへの豊富な導入実績あり

料金

2万9,800円/月～

おすすめの人

低価格で柔軟なWAFシステムを構築したい人

クラウド型3. 攻撃遮断くん

攻撃遮断くん

特徴

最大1,000万円まで保証してくれるサイバー保険を提供、国産WAFで最短翌営業日から導入可能

セキュリティ

防御パターンを自動アップデートしてくれるので、担当者なしで最適なセキュリティシステムを構築できる

サポート体制

自社開発なので万が一のトラブルの際も、開発者が24時間365日サポート可能

導入実績

NTTドコモ・SBI証券・官公庁・大手金融機関など、サービス導入数は5,000サイト以上

料金

要問い合わせ

おすすめの人

サイバー保険によるサポートを受けつつ、WAFを導入したい人

クラウド型4. シマンテック クラウド型WAF

シマンテック クラウド型WAF

特徴

WAFセンターを経由するので、既存のシステムを変更する必要がない

セキュリティ

常に防衛シグネチャに更新し、開発技術者なしに最新のセキュリティを導入できる

サポート体制

24時間サポート

導入実績

要問い合わせ

料金

初期費用：9万8,000円〜、年額費用：33万9,720円〜

おすすめの人

高度なセキュリティシステムで、アプリケーションの情報漏洩などの被害を防ぎたい人

クラウド型5. Imperva Incapsula

Imperva Incapsula

特徴

何百万というデータポイントで高度な学習能力を発揮する

セキュリティ

セキュリティログを監視し、最適なWAF設定を提案する

サポート体制

専門のセキュリティアナリストが24時間365日サポート

導入実績

要問い合わせ

料金

要問い合わせ

おすすめの人

経験豊富な専門セキュリティアナリストにWAFを運用してもらいたい人

クラウド型6. AEGIS Security Systems

AEGIS Security Systems

特徴

さまざまな仮想サーバーに導入できるフルオートセキュリティシステム

セキュリティ

24時間365日監視し、攻撃を検知したら即時に通知してくれる

サポート体制

セキュリティアドバイスプランあり

導入実績

ECサイト・研究機関・Webサービス事業者など

料金

5万円/月～

おすすめの人

月次証明書など詳細なセキュリティ情報が知りたい人

クラウド型7. WAF BENKEI

WAF BENKEI

特徴

停滞域から広帯域まで、サイト別に専用のWAFソリューションを提供

セキュリティ

1社ごとに専用WAFサーバーを提供、高品質なセキュリティを実現

サポート体制

要問い合わせ

導入実績

要問い合わせ

料金

初期費用：7万円〜、月額費用2万円〜

おすすめの人

自社専用サーバーでWAFを運用したい人

クラウド型8. AIONCLOUD

AIONCLOUD

特徴

シンプルな設定で、無料でサービスを開始できる

セキュリティ

ウェブサイトトラフィックを永続的に監視

サポート体制

要問い合わせ

導入実績

要問い合わせ

料金

要問い合わせ（月間トラフィック量5GBまで無料）

おすすめの人

クラウド型WAFサービスを実験的に導入したい人

まとめ

WAFは、Webアプリケーションの脆弱性を狙った不正なアクセスを防止するためのセキュリティシステムです。導入する際は、自社が求めるセキュリティレベルを明確にし、コスト・セキュリティ・サポート体制を確認した上で、選ぶことをおすすめします。 多発するWebアプリケーションへのサイバー攻撃に対して、無防備なままで被害にあえば、企業の信用にも関わります。まだ導入していない方は、この記事を参考に、ぜひ一度検討してみてください。 国内で使えるセキュリティソフト会社一覧≫

参考サイト一覧

クラウド型WAFを導入するメリットとデメリットをそれぞれまとめてみた｜CyberSecurityTIMES WAFの役割＝Webアプリケーションに潜む脆弱性の“無害化”｜Scutum WAF(ウェブアプリケーションファイアウォール)の種類と選び方のポイント｜サイバーセキュリティ.com WAF製品の比較21選 | 選び方や導入のポイントも解説｜ボクシルマガジン FortiWeb 新たな脅威に対して先進の技術でプロテクションを展開｜キーマンズネット Web アプリケーション ファイアウォール FortiWeb｜ITトレンド