あなたの発注コンシェルジュ

公開日: 更新日:

徹底した調査で分かるクラウド型WAF FortiWebの評判と実態!

FortiWeb トップページ
目次

webアプリケーションへの攻撃の脅威が増す中で、有効なセキュリティツールとして注目を集めているWAF。なかでも導入や管理が容易なクラウド型WAFの需要は高く、webサイトを提供するユーザーにとって必要不可欠なセキュリティツールになりつつあります。

クラウド型WAFには国内のセキュリティベンダーだけではなく、海外のセキュリティベンダーが提供しているものも多く、料金や機能、セキュリティの精度なども違います。そこで今回は、海外のセキュリティベンダーであるFortiNet社が提供しているクラウド型WAF「FortiWeb」の詳細について紹介。

この記事を最後まで読んでいただくことで、FortiWebの特徴やメリット、そしてどのようなユーザーに向いているクラウド型WAFなのかを理解できます。

10万件以上の利用実績をもつ発注業者比較サービスアイミツが、おすすめのインターネットセキュリティを厳選!

<総評>ウイルス対策も有効なWAF

<総評>ウイルス対策も有効なWAF

FortiWebは、アメリカのカリフォルニア州に本社を置くFortiNet社が提供するWAFで、全世界のユーザーに利用されています。

FortiWebには従来のウイルス対策機能に近い機能も実装されており、通常のWAFに比べても利用用途が幅広いという特徴があります。FortiNet社にはWAF以外にもファイアウォールやIPS/IDS、VPNなど、数多くのセキュリティ商品がラインアップされており、ネットワークのセキュリティ全体について相談することも可能です。

また、導入の際に手間がかからないクラウド型WAFの他に物理アプライアンス型のWAFもラインアップされています。そのため、導入するうえでクラウド型WAFが適していないことが判明した場合は、その時点で物理アプライアンスに切り替えて検討することも可能です。

他のWAFと比べてどうなのか

FortiWebを他社のWAFと比較した際、大きく分けて3つの差別化ポイントがあるといえます。まずはセキュリティ対策機能を有しているという点です。従来のクラウド型WAFの場合、webアプリケーションへの脅威からは守ってくれることは当然ですが、コンピュータウイルスやマルウェアから守ることはできません。WAFという役割がある以上当然といえば当然のことですが、FortiWebの場合はこのようなウイルスからの脅威からも守ってくれるメリットがあります。

2点目のポイントとしては、AIによる機械学習での検知を可能にした点です。通常のWAFはシグネチャとよばれる攻撃パターンと照らし合わせたうえで防御する仕組みをとりますが、FortiWebの場合は怪しい動きをするアクセスを遮断。シグネチャとして登録されていないパターンであっても未然に攻撃を防いでくれる役割を果たします。

そして最後の3つ目のポイントは、FortiNet社の他の製品と組み合わせながら利用できるという点です。ファイアウォールやIPS/IDSといったセキュリティツールを同時に導入したいと検討しているユーザーにとっては大きなメリットではないでしょうか。

インターネットセキュリティ導入を検討中の方は、まずは無料の見積もりから始めてはいかがでしょうか。
アイミツをご利用いただくと、特に人気のインターネットセキュリティの一括見積もりが可能です。インターネットセキュリティ選びの時間も大幅に節約できるでしょう。
インターネットセキュリティ選びでお困りの方はお気軽にお問い合わせください。

インターネットセキュリティの見積もりが
最短翌日までにそろう

一括見積もりをする(無料)

1. FortiWebの6つのメリット

1.FortiWebの6つのメリット

それでは、FortiWebを導入するメリットについてお伝えします。

1-1. OWASPトップ10に対応

国際的なセキュリティ基準のひとつとして採用されることの多いOWASP。特に海外のセキュリティベンダーが手がけるWAFの多くはこのOWASPトップ10に準拠しているケースが多いです。

FortiWebも当然OWASPに準拠し、SQLインジェクションやクロスサイトスクリプティング、バッファオーバーフローなどの脅威から防御。WAFにとってセキュリティ対策の信頼性は何よりも重要なものですが、FortiWebにはOWASPという客観的に評価できる材料があるため、選定基準が明確です。

1-2. AIによる検知

FortiWebにはAIによる攻撃検知の機能が備わっています。AIによる検知はゼロデイ攻撃に対して高い効果を発揮します。もちろんFortiWebは常にシグネチャパターンの更新は実行されているのですが、新たな攻撃パターンはいつ生まれるか分かりません。

可能性は低いとはいえ、新手の攻撃がいつ自らのwebサイトに降りかかってくるかは分からないものです。FortiWebを導入すれば、AIによって怪しい挙動を検知し、攻撃が仕掛けられる危険性を検知するとアクセスを遮断できます。これは過去の複数のシグネチャなどをもとに判断されるため、他のWAFにはない画期的な仕組みといえるでしょう。

1-3. 2GBまでのトラフィックに対応

FortiWebには物理アプライアンスと仮想アプライアンス(クラウド型WAF)が提供されていますが、それぞれ対応しているトラフィックの量が違います。

比較的小規模のwebサイトへの利用を前提としているクラウド型WAFの場合は、「FortiWeb VM」という名称で提供されており、25Mbps、100Mbps、500Mbps、2Gbpsの4つのプランがあります。クラウド型WAFのなかには1GBや2GBといったトラフィックに対応したプランが用意されていないケースもあるなか、FortiWebは大規模なwebサイトにも対応可能な能力を秘めています。

1-4. 誤検知の抑制

FortiWebに限らず、あらゆるWAFを運用するうえでもっとも管理者の頭を悩ませるのが誤検知の問題です。そもそも誤検知とは正常な通信であるのに攻撃と判断されてアクセスが遮断されたり、反対に悪意を持った攻撃を許してしまったりすることですが、FortiWebのAI検知機能によって、このような誤検知も極限まで抑制することが可能になっています。

本来、WAFの誤検知を抑制するためには数日間から数週間といった長いスパンでの調整が必要となりますが、当然のことながらその間は攻撃の脅威から守ることはできません。しかし、FortiWebの場合はそのような細かなポリシー設定などの手間をかけることなく、すぐにWAFを運用することが可能。機械学習によって日々アップデートされていくため、FortiWebはセキュリティ精度も落ちることはありません。

1-5. Fortinet社の製品との組み合わせ

FortiWebを提供しているFORTINETでは、WAF以外にもさまざまなセキュリティに関する製品をリリースしています。通常のファイアウォールやIPS/IDS、VPNなど、用途に応じて組み合わせて導入することも可能です。セキュリティに関連する製品は、やはり同一メーカーの製品のほうが導入も簡単で納期も短縮できます。

もしもWAFを同時に複数のセキュリティツールの導入を検討している場合は、WAFと一緒に他の製品の相談もしてみるのがおすすめです。まとめてセキュリティツールを導入することによって、コストが安くできる可能性もあります。

1-6. 物理アプライアンスと同等の機能を提供

FortiWebは物理アプライアンスと仮想アプライアンス(クラウド型WAF)の2種類を提供していますが、クラウド型WAFであっても物理アプライアンスと同等の機能を利用できます。

対応できるトラフィック量にこそ差はありますが、基本的なセキュリティの精度やAIによる検知機能、誤検知抑制の仕組みなどは物理アプライアンスでもクラウド型WAFであっても同等の内容となっています。そのため、比較的価格が手頃なクラウドWAFも高い信頼性を誇り、コストパフォーマンスに優れたWAFといえるのではないでしょうか。

2. 徹底調査でわかったFortiWebを使うべき人・会社

2. 徹底調査でわかったFortiWebを使うべき人・会社

ここまでFortiWebのメリットを紹介してきました。これらのポイントをもとに、どのようなユーザーにFortiWebが向いているのかお伝えします。

2-1. 誤検知の少ないWAFを利用したい

FortiWebの大きなメリットである誤検知の少なさは他のWAFにはない特徴のひとつです。WAFの誤検知に悩むユーザーの中には、現在すでに他社WAFを利用しているというケースも少なくありません。実際に導入して間もない頃は問題がなかったものの、WAFを導入してしばらく時間が経ってから誤検知が頻発するようになったということも多い事例です。

FortiWebにはAIによる誤検知抑制の仕組みがあることから、機械学習によって日々進化していきます。誤検知が多いWAFは業務に与える影響も大きく、生産性を著しく低下させる要因でもあります。WAFを導入する際には使い勝手や価格も重要ですが、誤検知の少ないものを選ぶことが重要です。

2-2. webアプリケーションへの高度な攻撃から守りたい

WAFの最大の導入目的はwebアプリケーションへの攻撃からの防御です。そもそも一般的なファイアウォールの場合、webアプリケーションの脆弱性を狙った攻撃から守ることはできません。

WAFはネットワーク層よりも上のレイヤであるアプリケーション層での攻撃をカバーしていますが、通常のファイアウォールはネットワーク層よりも下のレイヤを守っているため守備範囲が違います。どちらが必要でどちらが不要というものではなく、あくまでも双方のセキュリティツールが必要です。

2-3. ファイアウォールやIPS/IDSの導入も併せて検討している

今後WAFの導入を検討しているユーザーのなかには、同時にファイアウォールやIPS/IDSといったセキュリティツールも検討しているケースも多いのではないでしょうか。

FortiWebを提供しているFortiNetでは、ファイアウォールやIPS/IDS、VPNなどのセキュリティツールも提供しています。そのため、WAFだけではなくネットワークのセキュリティ全体についての相談にも乗ることが可能。同時にシステムを構築することによって納期も短縮でき、費用的な面でもメリットが得られるかもしれません。

2-4. 信頼性の高いWAFを導入したい

他社のWAFの売り文句のひとつとして「セキュリティ対策に有効」や「高い信頼性」と表現しているものは多いですが、実際にどれほどの信頼性があるのか、客観的に判断することは簡単ではありません。

FortiWebは国際的に信頼性の高いセキュリティ対策基準OWASPに準拠し、webセキュリティの脅威としてトップ10に数えられている項目を全てクリアしています。セキュリティ対策の基本である外部からの攻撃に対する信頼性を何よりも重視するユーザーに対し、FortiWebはもっともおすすめできるクラウド型WAFといえます。

3. FortiWebの料金プラン

3. FortiWebの料金プラン

FortiWebはFOETINET社が直接販売を手がけるものではなく、全て販売代理店を通して契約や売買を行います。そのため、FORTINET社はFortiWebの料金プランを公表しておらず、販売代理店に見積もりを立ててもらう必要があります。

販売代理店によってもFortiWebの料金プランは変わるため、まずはいくつかの販売代理店に見積もりを取ってもらうことから始めてみましょう。

4. FortiWebの導入実績・効果

4. FortiWebの導入実績・効果

実際にFortiWebを導入している企業は、どのような効果が実感できているのでしょうか。ここでは、FortiWebを導入した企業の事例を紹介しながら、活用方法をお伝えします。

4-1. FortiGateなどのサービスと同時導入

FortiWebを導入している企業のなかには、やはりFOETINET社の複数のセキュリティツールを同時に導入しているケースが多いです。なかでも圧倒的に多いのがファイアウォールの製品であるFortiGateです。自治体や大学、大手IT系企業など、幅広い実績を誇っています。

従来のファイアウォールであるFortiGateとwebアプリケーションを対象としたファイアウォールのFortiWebとの相性は抜群に良く、設定や操作も簡単。同様のシステム構成で導入を検討している企業にもおすすめです。

4-2. webアプリケーションへの攻撃を可視化できた

ある大手芸能プロダクションでは、webページの改ざんを防ぐためにFortiWebを導入しました。今後海外展開を見据えたなかで、これまで以上にサイバー攻撃の被害に遭うリスクを考えたとき、WAFの導入は必要不可欠であったといいます。

さらに、数あるWAFのなかでも導入や管理が容易なクラウド型WAFに候補を絞っていたとのこと。FortiWebはセキュリティ対策機能やweb改ざん防止機能なども標準でセットになっていたことが大きな決め手となり、導入に至ったようです。実際にFortiWebを導入してからは、webページへの攻撃が可視化され、どのような種類のサイバー攻撃がいつ、どこから行われているのかが一目瞭然で分かるようになりました。

また、FortiWebを導入する前までは、実際に攻撃の被害は受けていないものの、いつ被害に遭うか分からないという漠然とした不安があったようです。しかし、FortiWebで攻撃が可視化されたことによって、きちんと攻撃から守ってくれているということが見えて、精神的にも安心したとのことでした。

5. まずはFortiWebの無料体験を

5. まずはFortiWebの無料体験を

クラウド型WAFのFortiWebは、本格導入の前に無料でトライアルが可能です。トライアルはFortiWebを取り扱っている販売代理店で随時受け付けているため、まずは検討段階であっても相談してみてはいかがでしょうか。

クラウド型WAFの多くは実際にシステムに触れてみないと使いやすさが体感できないものです。クラウド型WAF導入に向けて不安がある場合は事前に相談に乗ってもらうことも可能です。

インターネットセキュリティの見積もりが
最短翌日までにそろう

一括見積もりをする(無料)

8.まとめ

8.まとめ

クラウド型WAFのひとつであるFortiWebは、「ウイルス対策」「AIによる検知」という特徴があります。これらは数あるWAFのなかでも珍しい機能であり、特にAIによる検知によって高い信頼性と誤検知の抑制を可能にしています。

FortiWebは海外のセキュリティベンダーが開発したクラウド型WAFですが、なかには海外製ということもありサポートに不安を感じている方もいるかもしれません。しかし、FortiWebは販売代理店による対面販売であるため、導入時や導入後のサポート体制も万全です。

webサイトの状況や規模によってもFortiWebの最適なプランは変わってくるため、まずは相談してみることから始めてみてはいかがでしょうか。

アイミツ

著者

imitsu編集部

運営に関するお問い合わせ、取材依頼などはお問い合わせページからお願い致します。

アイミツに貴社を掲載しませんか

インターネットセキュリティの見積もりが最短翌日までにそろう