WAF製品の比較21選！選び方や種類も解説

WAF製品の紹介をご覧になりたいかたはこちらからどうぞ

ボクシルおすすめWAF 【Sponsored】

BLUE Sphere
無料トライアル：◯ フリープラン：✕ 利用料金：45,000円～
・セキュリティ対策に加えて、サイバーセキュリティ保険も付帯 ・あらゆるぜい弱性や攻撃にも対応する機能を搭載 ・専門家による個別チューニングで高性能なWAF
製品資料をDL

WAFとは

それではWAFの概要を簡単に紹介します。

下の記事では、ファイアウォールやIDS/IPとの違い、WAFを導入するメリット、主な機能などを本記事以上にていねいにWAFを紹介しています。詳しく知りたい方は下の記事をぜひご覧ください。

WAFは文字どおり、Webアプリケーションにおいて活躍するセキュリティです。Webアプリケーションといってもスマートフォンのアプリを指すのではなく、いわゆるWebサイトのことをいいます。

Webサイトとユーザー間のぜい弱性につけこんで行われる不正なアクセスを、WAFは防ぎます。

WAFの比較表

クラウドWAFの機能と料金の比較表を掲載しています。

＼【DL限定特典】WAFの比較表付き／

WAF製品の選び方

WAF製品を選ぶ際は、次の流れで確認しましょう。

• WAF製品の導入目的を確認する
• WAF製品の機能を確認する
• WAF製品を導入する際の注意点を確認する
• WAF製品の料金・価格相場を確認する

WAF製品の導入目的を確認する

WAF製品の導入を検討する際は、まず導入目的を明確にしましょう。主な導入目的は次のとおりです。

導入目的	詳細
高速性と安定性を重視したい	自社専用で使えるアプライアンス型のWAF製品がおすすめ
自社運用で小さい規模や特定のサイトに使用したい	ソフトウェアインストール型のWAF製品がおすすめ
自社のネットワーク構成を変えず手軽に導入したい	クラウド型のWAF製品がおすすめ

WAF製品の機能を確認する

WAF製品でできること、利用できる機能は次のとおりです。上記の導入目的・課題をどのように解決できるか記載しているため、必要な機能を洗い出しましょう。

【基本的な機能】

機能	詳細
通信監視・制御	常時通信を監視し、通信を通すかブロックするかを判断する機能
シグネチャ自動更新	シグネスチャを自動的に更新する機能
改ざん検知	Webサイトが改ざんされている場合に知らせる機能
Cookie保護	攻撃者のなりすましを防ぐ機能
特定URL除外・IPアドレス拒否	特定のURLを除外したりIPアドレスを拒否したりできる機能
ログ・レポート	攻撃の過去のログやレポートを確認できる機能

【特定の課題・用途・業界に特化した機能】

機能	詳細
ダッシュボード	セキュリティ運用のステータスを日々確認できる機能
分析	ログ分析を行う機能
自動学習	通常時のアクセスパターンを自動学習し、乖離した操作があれば検知する機能

状況確認を効率よく行いたい場合にはダッシュボード機能があるものを、サイトに合わせた精度の高いを検知を行いたい場合には自動学習機能がある製品がおすすめです。

WAF製品を導入する際の注意点を確認する

WAF製品を導入する際、失敗しないために次の項目も確認しておきましょう。

確認事項	詳細
検知方式	把握している攻撃パターンを定義し不正アクセスを防止するブラックリスト方式か、許可する通信だけ定義してそれ以外はすべて拒否するホワイト方式か、自社に向いているものを選びましょう。
拡張性	将来、サイトの規模が大きくなった場合にも使えるよう、拡張性のある製品かどうかも確認しておく必要があります。
導入実績	導入企業数やどのような企業が導入しているかなどを確認しておきましょう。ノウハウやナレッジが豊富な製品を選ぶと安心です。
スペック	WAFによる通信の可否に時間がかかるとユーザー満足度にも影響するため余裕のあるスペックを選びましょう。
対応する攻撃	主な攻撃手法に対応している製品を選びましょう。
セキュリティレベル	何をどの程度防御したいのか自社の求めるセキュリティレベルを明確にしておきましょう。
サポート体制	導入時やトラブル時にどのようなサポートをしてもらえるのかを事前に確認しておきましょう。

WAF製品の料金・価格相場を確認する

WAF製品の料金は、WAF製品のタイプによって異なります。必要な機能と要件が搭載されているサービスの料金を確認しましょう。

クラウド型の場合、月額固定制と月額従量課金制があり、月額固定制の場合は月10,000円〜45,000円程度と製品によって異なります。初期費用はかからないものもありますが、製品によってかかる場合もあります。

アプライアンス型、ソフトウェアインストール型は製品やライセンス数によって大きく異なります。気になる製品は公式サイトから見積もり依頼や相談の問い合わせをしましょう。

【厳選】WAF製品21選

近年導入数が増えているWAFですが、きちんと効果を得るためには最適な製品選びが重要です。

自社に合った製品を見つけるために、タイプによって異なる特徴を理解し、製品の比較ポイントを確認しましょう。

＼料金や機能を資料で比較する！／

• 国内トップクラスのシェア
• 低価格・高セキュリティを実現
• 業界で唯一サイバー保険を付帯

攻撃遮断くんは、WebサーバーやWebサイトへのサイバー攻撃を遮断し、それらの攻撃といった脅威から企業とユーザーを守ります。最短翌営業日から導入が可能で、保守・運用に一切の手間も必要なく利用できるセキュリティサービスです。

国内トップクラスのシェアを持ち、業界で唯一クラウド型WAFにサイバー保険を付帯しているサービスです。

• シグネチャの自動選択・カスタマイズ・新規作成ができる
• 導入から新規ぜい弱性の対応まで手放し運用が可能
• 人のサポートによってAIでカバーできない領域をカバー

WafCharmは、AIとビッグデータを組み合わせたWAF自動運用ツールです。全世界900ユーザー以上^※の情報を守ってきた実績で得たビックデータをAIが学習し、Webサイトごとに、AWS WAF／Azure WAFのルールを自動で最適化させます。WAFで漏れた脅威に対しては、数百ものシグネチャ（署名になぞらえた機能やデータ）で再マッチングを行い、攻撃者と認定したIPをブラックリストとして遮断します。

※出典：WafCharm公式サイト（2022年12月26日閲覧）

• サイバー攻撃からWebサイトを包括的に守る
• サイバーセキュリティ保険付帯で万一の場合も安心
• 総データ量と平均帯域による従量課金制で料金はリーズナブル

BLUE Sphereは、さまざまなサイバー攻撃を対策し、サイバーセキュリティ保険で万一の事態にも備えられるクラウド型サービスです。

WAF・DDoS防御・改ざん検知・DNS監視など、あらゆるセキュリティ対策をひとつにまとめることで、Webサイトを包括的に守ります。サイバーセキュリティ保険が付帯し、損害賠償や費用損害を補償。また、利用料金は3か月の総データ量と平均帯域で変動するため、コストの無駄もかかりません。

公式サイト：BLUE Sphere

• 中小企業向けのセキュリティ対策ツール
• 不正な通信履歴を元にサイトの状況をダッシュボード化
• サイトに合わせたカスタム防御設定が可能

PrimeWAFは、初期費用無料、従量制の月額料金で利用できるWAFです。SQLインジェクションやOSコマンドインジェクションなど、さまざまな攻撃に対応し、情報漏えいやサービスの不正利用などを防止可能です。

脅威度や攻撃の種類、攻撃の多い時間帯などをダッシュボードから確認できます。また、項目に沿って順番に設定するだけで防御をスタートでき、カスタムルールの設定もできます。

• 利用機能や環境に応じたプランを1ライセンスから提供
• サイバー攻撃の抑止作業やマルウェアの駆除なども対応可能
• 海外支店も英語でフルサポート可能

セキュリモは、SentinelOneといったAI駆動EDRとSOCを組み合わせたサービスです。アラート通知や推奨作業の提示だけでなく、改ざんされたシステムのロールバックや設定変更作業など、EDRの運用まで任せられます。

CEHやCISSPなどの国際資格を保有するエンジニアが在籍し、国内複数拠点でのBCP対策にも対応しています。運用の手間がかからず、1ライセンスから導入可能なため、中小企業にもおすすめです。

• 導入も運用・管理も簡単なツール
• グローバルネットワークから得られる情報を活用してセキュリティを強化
• レポートにより現状を即座に把握できる

Cloudflare（クラウドフレア）は、ゼロデイ攻撃やDDoS攻撃といったさまざまな攻撃からWebサイトやアプリケーションを守るツールです。SQLインジェクションやクロスサイトスクリプティングなどの攻撃をブロックするWAFのほかに、DDoS対策や悪意のあるボット攻撃に対応するセキュリティ機能が搭載されています。各機能は、最新の攻撃手法を自動で学習し、更新するため、運用に手間がかかりません。

• 12年連続国内シェアNo.1^※
• 独自開発の人工知能型WAFエンジン
• シンプルな料金形態

Scutum（スキュータム）は、12年連続国内シェアNo.1^※で、業種や規模に関わらず幅広く導入されているクラウド型WAFです。検知精度の高い独自開発の人工知能型WAFエンジンを使っているため、誤検知が少なく新たな攻撃にも対応可能です。ピーク時のトラフィック量に応じて料金が変わるシンプルさも、魅力といえるでしょう。

※出典：Scutum公式サイト（2022年12月26日閲覧）

• Web APIにも対応
• 機械学習により未知の攻撃もブロック
• 統合による高度な保護

FortiWeb（フォーティウェブ）は、Webサイトのみならず、Web APIにも対応しており、BtoB通信が可能なWAFです。定期的なシグネチャの更新や多層型の防御はもちろん、機械学習により未知の攻撃もブロックし、誤検知を最小限に抑えられます。また「FortiGateファイアウォール」や「FortiSandbox」との統合により、高度な保護が行えます。

• Webサイト保護に必要なすべてのセキュリティ機能を提供
• ユーザーフレンドリーな仕様
• データセンターで管理するため災害にも強い

Cloudbricは、保護されていないWebサイトのためのセキュリティサービスです。セキュリティの専門家やITシステムの管理者でなくても使える、直観的なユーザーインターフェースを用意しています。

より安心に保護できる無料SSL証明書の提供を開始し、論理演算基盤のエンジンの採用により、高精度な検知と遮断を実現しています。
リーズナブルな価格で高度なセキュリティソリューションを利用できるサービスです。

• シリーズ導入実績100万サイト以上^※
• クラウド型とソフトウェア型が選べる
• ボリュームディスカウント・アカデミック価格あり

SiteGuard（サイトガード）は、シリーズ導入実績100万サイト以上^※を誇る人気のWAFです。クラウド型とソフトウェア型のどちらかを選べることが魅力です。ソフトウェア型もホスト型・ゲートウェイ型の2種類があるため、システム環境に適したタイプで導入できます。インストールするOS数によって、ボリュームディスカウントやアカデミック価格があるため、大企業や教育機関におすすめです。

※出典：SiteGuard公式サイト（2022年12月26日閲覧）

• 高度なフィルタリング機能
• 従来の検出を潜り抜けるマルウェアやランサムウェアにも対応
• 詳細なレポートを1時間ごとに更新

Clearswift SECURE Web Gatewayは、高度な防御性能とレポート機能を備えたWAFです。圧倒的なURLデータベースとリアルタイム分析機能をあわせることで、高度なフィルタリングが行えます。また従来のウイルス対策スキャナーやサンドボックスも潜り抜ける、マルウェアやランサムウェアにも対応可能です。レポートはユーザーのアクセス状況の詳細まで記録されており、これが1時間ごとに更新されるため常に最新の統計データが確認できます。

• 短時間でXSS/SQLインジェクション対策完了
• L7 DDoS、IPレピュテーション対策が可能
• 日本語化された見やすいインターフェース

Barracuda Web Application Firewallは、豊富な導入実績を誇るサービスで、構成に合わせて複数の導入方式を選べます。短時間、低価格でWebアプリケーションを脅威から守り、Webサービスのセキュリティを極限まで向上させます。

• NATO指定ベンダーへの供給実績あり
• 工事・運用が不要なクラウドサービス
• オールインワンで幅広い守備範囲を防御

AEGIS Security Systemsは、クラウド型で24時間監視します。クラウドサービスによる防御システムであるため、工事や運用などの作業や追加料金は不要です。独自のノウハウが蓄積されたシグネチャを用いて守備範囲をオールインワンで防御します。

• クラウド型とアプライアンス型から選べる
• AWSやAzure環境下でも利用可能
• 防御の範囲が広く精度も高い

Imperva WAFはアメリカの企業が提供している、クラウド型・アプライアンス型のWAFです。AWSやAzure環境下でも利用できるため、パブリッククラウドを利用している方におすすめです。防御できるサイバー攻撃の範囲が広く、検知精度の高さが評価されています。

• サイト別に専用WAFサーバーを構築が可能
• 無料トライアル2週間でお試しが可能
• スモールスタートがしやすいプラン設定

WAF BENKEIとは、サーバー・Webサイトをサイバー攻撃から守るクラウド型WAFセキュリティサービスです。これまでのセキュリティ対策製品とは違い、ハードウェアやサーバーの構築が不要なため導入しやすく、また運用の手間もかからないことが最大の特徴です。防御できるサイバー攻撃は、クロスサイトスクリプティング・SQLインジェクション・ディレクトリトラバーサルなど、多彩な手口に対応しています。

• 最新のぜい弱性対策を常に反映
• 緊急パッチ対応の軽減
• 明確で安価な利用料金

デジサート クラウド型WAFは、 SaaS/ASPのサービスで、ウェブアプリケーションファイアウォールの機能を提供しています。SSLサーバ証明書でウェブサイトとの通信を安全に行うだけでなく、情報漏えいを防ぐ手段としても使えるクラウド型WAFです。

ウェブサイトセキュリティの強化と予算の平準化といったメリットが得られます。

• 専門アナリストによるアラート分析
• レポートでセキュリティ情報把握
• チューニング設定代行で負荷軽減

マネージドセキュリティサービス for Imperva Incapsulaは、ソフトバンク・テクノロジーのクラウドWAFサービス「Imperva Incapsula」の代行サービスです。WAFの運用・監視をセキュリティ専門アナリストが24時間365日代行してくれるため、運用の負担軽減が行えます。

アラートを検知すると、専門アナリストが内容を分析して重要なアラートだけを通知してくれます。独自のフォーマットによるレポートで、 Incapsula の統計情報やインシデント履歴情報などの把握が可能です。Incapsulaの設定変更やチューニング設定も代行してもらえるので、自社の負荷軽減とシステム最適化を同時に図れます。

• 自動でアップデートされる強力なセキュリティ機能
• WAF以外のセキュリティ対策も搭載
• 一般的なクラウドWAFと比べセキュリティ機能が充実

secuWAF（セキュワフ）は、強力なセキュリティ機能と自動アップデートにより、常に最新の脅威に対応するクラウドWAFです。WAF冗長構成やIPブラックリストなど、一般的なクラウドWAFではオプションとなっているような機能もデフォルトで利用できます。また、WAF以外のセキュリティ対策も選定プランや機能によっては設定可能なため、Webサイトのセキュリティをより磐石なものにします。

• ポリシーチューニングが簡単にできる
• 短期間の急激なアクセス増加にも対応可能
• コンテンツキャッシュ機能

SCT SECURE クラウドWAF EXPは、Webアプリケーションへの攻撃やDDoS攻撃を防ぎます。WAFポリシー推奨機能を搭載しており簡単にポリシーチューニングができます。ネットワークが安定しているので短期間の急激なアクセス増加にも対応可能です。WAF機能に加えコンテンツキャッシュ機能を搭載しているため、Webサーバーへの負荷が軽減されます。

• 単一のコンソールですべてのSophos製品を管理
• Intercept Xとのリアルタイム統合が可能
• 大企業から教育機関まであらゆる環境に適応

Sophos Firewallは、業界初の独自のセキュリティ機能を兼ね備えた次世代ファイアウォールです。専用アプライアンスによる柔軟性、接続性、信頼性を備え、多彩な機種で利用できます。リアルタイム統合でアプリの可視化、脅威の監視と自動隔離を実現し、オールインワンでの保護が可能です。大企業や教育機関といったさまざまな環境に対応しており、ユーザーごとの規模感にあわせた機能と価格で利用できるので、コスト削減にもつながります。

• サービス使用前後にぜい弱性自動診断ツールによる診断あり
• 外部攻撃だけでなくWebサイト側からの異常なレスポンスも検知
• 複数FQDNをまとめて保護可能

CloudCoffer on Cloudは、世界トップクラスの金融機関で使用されるAIエンジンを搭載したセキュリティサービスです。既知の攻撃だけでなく、AIが自動生成した亜種や難読化した攻撃などを学習し、ゼロデイ攻撃に対しても高い検知率を実現しています。

「BOXIL SaaS AWARD Autumn 2023」の受賞サービス

「BOXIL SaaS AWARD（ボクシル サース アワード）」は、SaaS比較サイト「BOXIL SaaS」が毎年3月4日を「SaaSの日（サースの日）」と定め、優れたSaaSを審査、選考、表彰するイベントです。

今回の「BOXIL SaaS AWARD Autumn 2023」は、2022年7月1日から2023年6月30日までの1年間で新たに投稿された口コミ約17,000件を審査対象としており、計289サービスに、ユーザーから支持されるサービスの証としてバッジを付与しました。

Good Service 受賞サービス一覧
BLUE Sphere	攻撃遮断くん

【Good Service】：「BOXIL SaaS」上に投稿された口コミを対象に、各カテゴリで総得点の高いサービスに対してスマートキャンプから与えられる称号です。

口コミ項目別No.1 受賞サービス一覧
サービスの安定性No.1	BLUE Sphere
機能満足度No.1	BLUE Sphere
カスタマイズ性No.1	攻撃遮断くん
お役立ち度No.1	BLUE Sphere
使いやすさNo.1	BLUE Sphere

【口コミ項目別No.1】：「BOXIL SaaS」上に投稿された「口コミによるサービス評価」9項目を対象に、各カテゴリ、各項目において一定の基準を満たした上で、最も高い平均点を獲得したサービスに対して、スマートキャンプから与えられる称号です。

＞＞BOXIL SaaS AWARD Autumn 2023の詳細はこちら

3つの提供形式・種類

WAF製品が提供される形態にはさまざまな種類があります。代表的な3つのタイプのWAFを紹介します。

自社に合うタイプはどれか、違いを確認しながら最適なタイプを選んでください。

アプライアンス型

アプライアンス型は、ネットワーク上に設置するタイプのWAFです。

アプライアンスとは専用のハードウェアのこと。サーバーの動作環境や台数に関わらず環境構築できる点がメリットです。大規模であれば、より高いコストパフォーマンスを得られます。

導入には機器の購入と初期設定が必要。他のタイプに比べてコストが高く、自社での運用が必須なのがデメリットです。専任の人員とセキュリティ対策に十分な予算を確保できる企業向けのWAFと言えるでしょう。

ソフトウェア型

ソフトウェア型はWebサーバーにインストールするタイプのWAFです。専用機器の購入が不要で、アプライアンス型に比べるとコストを抑えられる点がメリットです。

またネットワーク構成の見直しが不要で、導入期間を短縮できます。

ただし、Webサーバーごとの導入となるため、稼動数が多い場合には不向きな点がデメリットです。運用も自社で行う必要があります。

クラウド型

クラウド型は月額または年額契約で導入可能なタイプのWAFです。

機器の購入は不要で、導入時はDNSの設定変更のみ。自社での運用も必要ないのが大きなメリットです。プランの切り替えによりトラフィック数の増減も調整できることから、将来の拡張性を担保したい場合にもおすすめです。

低コスト・短納期で導入でき、運用コストの軽減も図れることから、他のタイプからクラウド型へ切り替える企業も増えています。

ただし利用するサービスによって、他のタイプよりも性能やカスタマイズ性に劣るものもあるのがデメリットです。メリットを享受するためには、十分な事前検討が欠かせません。またクラウド型にもいくつか種類があるため、それぞれの特徴を理解したうえで比較を行うことが大切です。

共有型と占有型

共有型とは、ほかのWebサイトとリソースを共有するタイプのことで、占有型はサイトごとに専用のWAFが持てるタイプのことです。トラフィック数が少なく、安く済ませたいのであれば共有型、アクセス数が多く高速処理が必要な場合や、カスタマイズ性を高めたい場合は占有型がおすすめです。

パブリッククラウドのWAF

パブリッククラウドとは、企業が構築したクラウド環境をほかのユーザーと共同で利用できるサービスのことです。パブリッククラウドが提供するWAFとしてはAWSの「AWS WAF」、Azureの「Azure WAF」などが挙げられます。

すでにパブリッククラウドを利用していれば、パブリッククラウドが提供するWAFを比較的安い価格で利用できます。ただしWAFの環境構築が必要であるため、手間や時間、対応できる人材などは必要になるでしょう。

WAFを導入する必要性

Webサイトは誰でもアクセスできるため、サイバー攻撃も受けやすいのが特徴です。なかでもWebアプリケーションのぜい弱性をついた被害は全体から見ても届出件数が多く、その一方でサイバー攻撃の手法は増加・多様化し続けているのが現状です。

また一般的なセキュリティ製品では、種類の多いWebサイトのサイバー攻撃のすべてに対応するのは難しいでしょう。そのため、これらの幅広い攻撃にも対応できるWAFの必要性が高まっています。

WAF製品でセキュリティ対策の強化を

WAFは、幅広いサイバー攻撃に対応しており不正アクセスやウィルスの侵入が防げるため、Webサイトのセキュリティを強化したい方におすすめのサービスです。選定の際は次のポイントに注意して選ぶのをおすすめします。

• 初期費用と運用コスト
• 導入後の拡張性
• サポート体制の充実度
• 導入実績（導入数と企業）
• セキュリティレベルと用途のバランス
• WAFのスペックに余裕を持たせる
• 対応できる攻撃の種類

WAFのサービスをより深く検討したい方は、サービス資料を請求し比較するとよいでしょう。

WAFの機能や、ファイアウォールといった他のセキュリティとの役割の違いなどについて詳しく知りたい方は、こちらの記事をご覧ください。

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計800社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}