WAF比較!価格、運用スキルなど5製品を評価

 2017.05.09 Secure Enterpriseポータル

WAF(ウェブアプリケーションファイアウォール)は、Webサイトを運営する全ての企業に必要なセキュリティソリューションです。Webサイトを取り巻く環境には脆弱性が発生しやすく、サイバー攻撃によっていとも簡単に情報漏えいやWebサイト改ざんなどの被害を起こしてしまいます。

そんなWebサイトに発生するHTTP/HTTPS通信を精査し、不正通信がないかを判断するのがWAFです。

今回はこのWAFの比較を行っていきたいと思います。今回比較するWAFは以下の5製品です。

  • シマンテック クラウド型WAF
  • SiteGuard
  • SecureSphere Web Application Firewall
  • Modsecurity(オープンソース)
  • Barracuda WAF

比較項目としては導入コスト、運用コスト、そして運用スキルといった最も気になる3点に絞りました。WAF導入検討時の参考にしていただければ幸いです。

シマンテック クラウド型WAF

導入コスト★★★★★

運用コスト★★★☆☆

運用スキル★★★★★

シマンテック クラウド型WAFは、通常インフラ整備やソフトウェアインストールが必要なWAFを、インターネット経由でサービスとして利用するタイプの製品です。このため、WAFの導入費用を大幅に抑えることができるのが特徴です。

導入期間が短縮するのでこの点も導入コストを低減するポイントになります。

運用コストに関しては毎月の利用料という形で発生するので非常に明確です。また、システム運用のほとんどをセキュリティベンダーが行うため、企業側で対応する必要はなく、運用スキルの有無に関係なく導入できるというメリットもあります。

また、事前に無料トライアルが提供されるため、事前に効果や動作検証を実施することができるのもクラウド型サービスだることのメリットの一つです。

導入前、導入後のコストを考慮してWAFを導入するのであれば、シマンテック クラウド型WAFは有効な選択肢の一つとなるでしょう。

SiteGuard

導入コスト★★☆☆☆

運用コスト★★★☆☆

運用スキル★★★☆☆

国産WAFとしても知られるSiteGuardは、Webサーバにソフトウェアをインストールするホスト型と、専用ハードウェアを設置するゲートウェイ型のどちらかを選べる製品です(ホスト型の場合はSiteGuard Lite)。

ホスト型ではライセンスごとに16万8,000円~25万2,000円、ゲートウェイ型では1ライセンスに178万円の費用がかかるので、導入コストは大きくなりがちです。また、どちらのタイプでもライセンス更新費用が毎年かかるので、シマンテック クラウド型WAFと同等かそれ以上のコストがかかります。

国産WAFとして使いやすい部分もありますが、基本的な運用はユーザー企業独自で行う必要があります。

https://www.jp-secure.com/product/

SecureSphere Web Application Firewall

導入コスト★☆☆☆☆

運用コスト★★★☆☆

運用スキル★★☆☆☆

SecureSphere Web Application Firewallはゲートウェイ型で提供されている製品で、専用ハードウェアをネットワーク上に設置してセキュリティを構築します。スループットによって製品価格が変動しますが、最も安価なX1010で332万5,000円~がかかるので、導入コストは非常に高めです。

さらに細かなパラメータ設定や導入プロジェクトの期間を考慮すれば、導入コストが1,000万円以上になることも少なくありません。

運用に関しては一般的なゲートウェイ型と変わりないので、運用コストまで肥大化するということはありません。ただし、独自運用が基本となるため、高い運用スキルが必要となります。

https://www.imperva.jp/Products/WebApplicationFirewall

Modsecurity(オープンソース)

導入コスト★★★★★

運用コスト★★★★☆

運用スキル★☆☆☆☆

オープンソース版WAFとして提供されているModsecurityは、無償で導入できるため導入コストは最も安価だと言えます。ただし、ソフトウェア自体が無償というだけで、導入プロジェクトにかかる人件費などを計上すれば、導入コストは発生しているので注意が必要です。

ホスト型である同製品は、年間ライセンス費用などもかからないので運用コストも低く利用することができます。

ただし、海外製品であり日本語での情報が少ないことや、企業独自に運用を行わなければならないので、高い運用スキルが必要です。

https://modsecurity.org

Barracuda WAF

導入コスト★★☆☆☆

運用コスト★★★☆☆

運用スキル★★☆☆☆

ゲートウェイ型として提供されているBarracuda WAFですが、物理アプライアンスと仮想アプライアンスの2タイプが利用できます。物理アプライアンス型では128万5,000円~で導入でき、仮想アプライアンス型では年額74万円がかかります。

ゲートウェイ型としては低コストで利用できるのできるので、比較的導入の敷居が低い製品です。

運用コストに関しては他製品と比べて一般的なものであり、運用スキルも同様にある程度必要になります。

http://www.barracuda.co.jp/products/waf

選ぶならやはりクラウド型WAFが優位?

今回はクラウド型、ゲートウェイ型、ホスト型、そしてオープンソース版WAFをまんべんなく比較しました。導入コスト、運用コスト、運用スキルを総合的に評価すると、やはりクラウド型WAFを導入するメリットが大きいでしょう。

導入コストに関してはオープンソース版WAF並みに安価で、シマンテック クラウド型WAFでは初期費用に98,000円~19,8000円がかかります。また、導入期間が非常に短いので、長期化しやすい導入プロジェクトのコストを抑えるという効果も。

運用コストに関しては一般的なWAF製品をあまり違いはありませんが、運用レスで利用できるというメリットがあります。企業側で運用を行う必要はなく、定期的なログ確認のみでWAFを運用しているケースがほとんどです。

従って、運用にかかる人件費を大幅に削減することができます。この点を考慮すれば、運用コストも他製品と比較して安価に利用することができるでしょう。

また、クラウド型WAFでは企業の運用スキルに関係なくWAFを導入できるため、セキュリティ技術者を確保する必要がありません。これまでのWAFと言えば複雑な運用でセキュリティ技術者が必須とされてきましたが、その常識を破りクラウド型WAFは中小企業を中心に広く普及しているのです。

まとめ

最後になりますが、今回のWAF比較は各製品のセキュリティ性について言及したものではなくあくまで導入コスト、運用コスト、運用スキルを総合的に評価したものです。従って、今回の比較で優位性が高い製品が、最も堅牢なセキュリティ性を持つということではありませんのでご注意下さい。

ただ、シマンテック クラウド型WAFは年間100回以上のシグネチャ更新により、常に高いセキュリティ性を維持している製品です。

独自に運用する必要もないので、業務効率化を行いつつWebサイトを確かに保護していくことができます。WAF導入検討は自社現状をしっかりと把握した上で、最適な製品を選んでいきましょう。