無料で使えるおすすめのWAF2選!ツールの特徴と選ぶ際のポイントを解説!
WAFには多くの種類があり「どれを選べばいいか」迷いますよね。後から知ったサービスの方が適していることもよくあります。導入の失敗を避けるためにも、まずは各サービスの資料をBOXILでまとめて用意しましょう。
⇒【料金・機能比較表つき】WAFの資料をダウンロードする(無料)
目次を閉じる
- WAFとは?基本的な仕組みと役割
- WAFの必要性が高まる背景
- WAFで防げる主な攻撃手法
- 無料WAFを選ぶ前に知っておきたい3つのポイント
- 提供形態(アプライアンス型/ソフトウェア型/クラウド型)の違い
- 防御対象とする脅威の種類
- サポート体制や導入ハードル
- 無料で使えるおすすめのWAF2選
- AIONCLOUD WAAP(WAF)
- ModSecurity
- 無料と有料の違いは?よくある機能制限と注意点
- 攻撃対策の範囲の制限
- パフォーマンスの制限
- サポートの制限
- 有料ツールを検討するべきケース
- サイトの規模やトラフィックが大きい場合
- 複数のWebサイトやサーバーを保護したい場合
- 高度なセキュリティ対策が必要な場合
- サービスを比較しましょう
WAFとは?基本的な仕組みと役割
WAFとは、Webアプリケーションのぜい弱性を悪用したサイバー攻撃を防御するためのシステムです。不正な通信パターンを検知し、ブロックやログ保存のような機能がついており、Webサイトの改ざんや情報漏えいなどのセキュリティ対策の業務を効率化する機能があります。
WAFの必要性が高まる背景
近年、ECサイトや業務システムなどWebアプリケーションを狙った攻撃が急増しています。これらの攻撃は、サーバーやネットワークの防御だけでは防ぎきれないことが多く、アプリケーション層に特化したセキュリティ対策が求められています。
そこで注目されているのがWAF(Web Application Firewall)です。WAFはWebアプリケーションに対する不正アクセスを検知・遮断することで、改ざんや情報漏えいといった被害を未然に防ぐ役割を果たします。
WAFで防げる主な攻撃手法
WAFは、主に次のような攻撃からWebアプリケーションを守ります。
- SQLインジェクション:データベースへの不正な命令を挿入する攻撃
- クロスサイトスクリプティング(XSS):悪意のあるスクリプトをWebページ上に埋め込む攻撃
- OSコマンドインジェクション:システムコマンドを不正に実行させる攻撃
- ディレクトリトラバーサル:ファイルシステムの構造を悪用して機密ファイルにアクセスする手法
これらの脅威に対し、WAFは通信の内容をリアルタイムに監視・解析し、不正なアクセスと判断された通信を遮断またはログとして記録します。
無料WAFを選ぶ前に知っておきたい3つのポイント
無料のWAFを選定する際は、いくつかの基準が存在します。代表的な基準について解説します。
提供形態(アプライアンス型/ソフトウェア型/クラウド型)の違い
WAFにはアプライアンス型、ソフトウェア型、クラウド型の3種類の提供形態があります。それぞれの特徴は次のとおりです。
| 提供形態 | 概要 | メリット | デメリット |
|---|---|---|---|
| アプライアンス型 | 専用のハードウェアを設置 | 高いセキュリティ性能、カスタマイズ性が高い | 導入コストが高い |
| ソフトウェア型 | 自社サーバーにインストール | 導入コストが低い | サーバー負荷が高くなる可能性がある |
| クラウド型 | インターネット経由で利用 | 導入が簡単、ランニングコストが低い | サービス提供者のセキュリティに依存 |
自社のネットワーク環境に合わせて、最適な提供形態を選びましょう。
防御対象とする脅威の種類
WAFはWebアプリケーションに対するさまざまな攻撃を防御できますが、製品によって対応できる攻撃の種類や範囲は異なります。
たとえば、クロスサイトスクリプティングやSQLインジェクションなどの一般的な攻撃はほとんどのWAFがカバーできますが、ゼロデイ攻撃やAPI攻撃などの新しい攻撃に対応できるWAFは限られています。自社のWebアプリケーションがどのような攻撃にさらされる可能性が高いかを事前に分析し、必要な防御機能を備えたWAFを選びましょう。
サポート体制や導入ハードル
WAFは導入後も定期的に設定や更新を行う必要があります。しかし、WAFの運用には専門的な知識や技術が必要なため、自社で行うのは困難な場合があります。そのため、WAFのベンダーやサービス提供者がどの程度のサポートを行ってくれるかを確認することが重要です。
たとえば、シグネチャの更新やルールの設定、不正侵入の検知や対応、レポートの作成などのサービスが提供されているかどうかをチェックしましょう。また、トラブルが発生したときに迅速に対応してくれるかどうかも重要なポイントです。
無料で使えるおすすめのWAF2選
WAFのなかで無料で使えるおすすめのツールを紹介します。無料の範囲でできることや機能制限などを解説しているので、WAF選びの参考にしてみてください。
AIONCLOUD WAAP(WAF) - 株式会社モニタラップ
無料で利用できる機能と制限
AIONCLOUD WAAP(WAF)は、高度な防御機能とグローバル脅威情報による世界レベルの攻撃遮断能力を搭載したクラウド型WAFサービスです。
AIを利用した高度な脅威インテリジェンスプラットフォームが、既存の攻撃や被害事例をリアルタイム分析し、SQLインジェクションをはじめとするさまざまな新型攻撃に事前対応できます。
外部からの攻撃だけでなく、システム内部からのデータ流出も防ぎます。無料でできることは、AIONCLOUDのネームサーバーを利用してドメインゾーンファイルを構成するなどです。
無料プランでは次の機能に制限がかかる、または利用できません。
| 機能 | 制限 |
|---|---|
| カスタム規則の設定 | 最大3つ |
| SIEM連携 | 利用できません |
ModSecurity
無料で利用できる機能と特徴
ModSecurityは、Apache、Nginx、IISなどの主要Webサーバーに対応したオープンソースのWAFです。HTTP(S)トラフィックの可視化と高度な保護を提供します。Webサーバーのモジュールとして動作するホスト型WAFであるため、サーバー環境に対する知識があれば比較的容易に導入可能です。
主要なWAFルールセットであるOWASP CRSが準備されており、組み合わせることで、HTTP攻撃や脅威を検知し、防御できます。ほかにも、ディレクトリ内容表示やクロスサイトリクエストフォージェリ、メールヘッダ・インジェクションなどの脅威を検知し防御します。
オープンソースでありながら、ビジネスシーンでも広く採用されている点が特徴です。
| 主な機能 | 説明 |
|---|---|
| HTTPトラフィック監視 | リクエストとレスポンスをリアルタイムで分析 |
| 高度なルール言語 | 独自の防御ルールをカスタマイズ可能 |
| 仮想パッチング | アプリケーション修正なしで脆弱性を保護 |
| 多数の攻撃検知 | SQLインジェクション、XSS、ブルートフォースアタックなど |
| サーバー互換性 | Apache、Nginx、IISなど主要Webサーバーに対応 |
自社に合うサービスを選ぶには、各サービスの内容を比較することが重要です。気になるサービスの資料をダウンロードして自社に合うか検討してみましょう。
無料と有料の違いは?よくある機能制限と注意点
無料のWAFでよくある機能の制限をまとめました。
攻撃対策の範囲の制限
無料のWAFでは、攻撃対策の範囲が限られている場合が多く、有料版に比べてセキュリティレベルが低い可能性があります。たとえば、SQLインジェクションやクロスサイトスクリプティングなど、一般的な攻撃には対応できても、ゼロデイ攻撃やDDoS攻撃など、新しく複雑な攻撃には対応できないことがあります。
また、無料版ではルールの更新や適用が遅れたり、カスタマイズができなかったりすることもあります。そのため、無料のWAFを使う場合は、攻撃対策の範囲に注意して、自社サイトのリスクに合ったサービスを選ぶ必要があります。
パフォーマンスの制限
無料のWAFでは、パフォーマンスの影響が大きい場合が多く、有料版に比べてサイトの速度や応答性が劣る可能性があります。たとえば、無料版ではWAFのサーバーが遠くにあったり、負荷が高かったりすることで、サイトのロード時間が長くなったり、タイムアウトが発生したりすることがあります。
また、無料版ではWAFの設定やチューニングができなかったり、不要な機能が有効になっていたりすることで、サイトのパフォーマンスに悪影響を与えることがあります。そのため、無料のWAFを使う場合は、パフォーマンスの影響に注意して、自社サイトの要件に合ったサービスを選ぶ必要があります。
サポートの制限
無料のWAFでは、サポートの制限がある場合が多く、有料版に比べてトラブルや問題の解決が遅い可能性があります。たとえば、無料版ではサポートの対応時間が限られていたり、メールやチャットのみで電話やビデオ通話ができなかったりすることがあります。
また、無料版ではサポートのスタッフが専門的な知識や経験が不足していたり、対応が丁寧でなかったりすることがあります。そのため、無料のWAFを使う場合は、サポートの範囲に注意して、自社サイトの運用に合ったサービスを選ぶ必要があります。
有料ツールを検討するべきケース
企業の状況やツールに求めていることによっては、無料ツールでは叶えられないケースが存在します。有料ツールを検討したほうがよいケースをまとめているので参考にしてみてください。
サイトの規模やトラフィックが大きい場合
無料のWAFでは、サイトの規模やトラフィックに応じて、WAFの性能や安定性が低下する場合があります。たとえば、無料版ではWAFの帯域幅や処理能力が制限されていたり、サイトのアクセスが急増したりすると、WAFが正常に動作しなかったり、サイトがダウンしたりすることがあります。
また、無料版ではWAFのスケーラビリティや冗長性が不十分だったり、障害やメンテナンスの対応が遅れたりすることもあります。そのため、サイトの規模やトラフィックが大きい場合は、有料サービスを検討するべきです。
複数のWebサイトやサーバーを保護したい場合
WAFを導入する際、複数のWebサイトやサーバーを保護したい場合は有料サービスに切り替えたほうがよいでしょう。無料版には利用できるドメインやIPアドレスの数に制限がかかっていることが多いです。
WAFを効率的に運用するためには、複数のWebサイトやサーバーを保護できるサービスを選ぶことが大切です。
高度なセキュリティ対策が必要な場合
無料のWAFサービスは、基本的な攻撃を防げますが、高度な攻撃に対しては十分な対策ができない場合があります。たとえば、DDoS攻撃という分散型サービス拒否攻撃やSQLインジェクションなどの複雑な攻撃に対しては、有料のWAFサービスの方が高い防御力を発揮します。
また、カスタマイズや設定の柔軟性も高く、自社のニーズに合わせてセキュリティレベルを調整できます。
サービスを比較しましょう
自社に合うサービスを選ぶには、各サービスの内容を比較することが重要です。気になるサービスの資料をダウンロードして自社に合うのか検討してみましょう。
