LASSIC Media らしくメディア
WAFの導入・運用を外注する費用と委託先の選び方
LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託
この記事のポイント
- WAF(Web Application Firewall)はOWASPが示すWebアプリ10大リスク等の攻撃を防ぐ専門ツールで、ファイアウォール・IPSとは守備領域が異なります
- 導入よりも「運用」が難しく、シグネチャ更新・チューニング・誤検知対応の継続工数が外注判断の鍵になります
- 委託先(MSSP)選定では費用レンジだけでなく、SOC体制・チューニングSLA・インシデント対応フローの3軸で評価することが重要です
目次
WAFとは — Webアプリ層を守るセキュリティ機器の役割
WAF(Web Application Firewall)とは、Webアプリケーションへのリクエストをアプリケーション層(HTTP/HTTPS)で検査し、SQLインジェクション・クロスサイトスクリプティング(XSS)・ディレクトリトラバーサルなどのWeb攻撃を検知・遮断するセキュリティ製品です。
IPA(情報処理推進機構)が公開する「安全なウェブサイトの作り方」では、SQLインジェクションやXSSをはじめとするWebアプリ固有の脆弱性対策として、WAFの活用が推奨されています。*1 OWASPが公開するWebアプリケーションリスク分類(2021年版)もWebアプリ固有のリスクを10カテゴリに整理しており、WAFはこれらへの対策ツールとして国際的に位置づけられています。*2
ファイアウォール・IPSとの守備領域の違い
ファイアウォールはIPアドレスやポート番号を基準にネットワーク層でのアクセスを制御します。IPS(Intrusion Prevention System、不正侵入防止システム)はネットワーク・トランスポート層の通信パターンを監視し、既知の攻撃シグネチャにマッチする通信を遮断します。
WAFはこれらとは異なり、HTTPリクエストのURLパラメータ・ヘッダー・ボディの中身をアプリケーション層で解析します。通常のHTTPS通信の中に埋め込まれたSQLインジェクション文字列やスクリプトタグを検出できる点がWAF固有の役割です。
WAFが防ぐ主な攻撃カテゴリ
OWASPが2021年に更新したWebリスク分類(OWASP 2021年版)では、インジェクション(SQLi・コマンドインジェクション)、クロスサイトスクリプティング(XSS)、アクセス制御の不備などが上位リスクとして挙げられています。*2 WAFのシグネチャはこれらを検知するルールセットを含んでおり、定期的な更新が防御品質の維持に不可欠です。
WAFの種類:クラウド型・アプライアンス型・ホスト型の比較
WAFには導入形態によって大きく3つの種類があり、自社のインフラ環境・運用体制・セキュリティ要件によって選択が変わります。
| 種類 | 導入方式 | 主な特徴 | 向いているケース |
|---|---|---|---|
| クラウド型WAF | DNS切替でCDN経由にトラフィックを通す | 初期コストが低く、シグネチャ更新をベンダーが担う。 スケールアップが容易。 |
オンプレ管理者が少ない、コスト優先、スタートアップ・中堅企業 |
| アプライアンス型WAF | 専用機器をネットワーク内に設置 | 通信がオンプレ内で完結。 レイテンシを低く保ちやすい。 |
金融・医療など外部通信不可の要件、大規模トラフィック |
| ホスト型WAF | Webサーバーにエージェントをインストール | サーバー単位での柔軟な制御が可能。 サーバーリソースを消費する。 |
特定サーバーのみ保護したい、既存機器の制約が大きい |
| AWS WAF(クラウドネイティブ) | AWS ALB/CloudFront等に統合 | AWSマネージドルールとの連携が容易。 IAM連携でアクセス制御も統合管理。 |
AWSで構成されたWebサービス・APIゲートウェイ |
クラウド型はDNSレコードを変更してトラフィックをWAFベンダーのCDN経由に通す構成のため、既存インフラへの変更を最小限に抑えられます。一方、通信がベンダーのクラウドを経由することになるため、規制上の要件で外部へのデータ通過が制限される業種では採用に注意が必要です。
AWS WAFはAmazon Web Services上に構築されたサービスに対してネイティブに統合できるため、AWS環境を利用している企業にとっては導入・運用コストを抑えやすい選択肢です。ただし、ルール設定やチューニングには専門知識が求められます。
WAF運用を外注すべき理由:シグネチャ・チューニング・監視の継続負荷
WAFは「導入したら終わり」の製品ではありません。継続的な運用がなければ、新たな攻撃手法への対応が遅れ、逆に誤検知が増えてサービス停止リスクを生む恐れがあります。
シグネチャ更新と脅威情報の継続収集
WAFが攻撃を検知するためのルールセット(シグネチャ)は、新たな攻撃手法が公開されるたびに更新が必要です。IPAが毎年公表する「情報セキュリティ10大脅威」でも、Webアプリへの不正アクセスは毎年上位に位置づけられており、脅威の種類は年々多様化しています。*3
シグネチャ更新の頻度・適用タイミング・ベンダー固有のルールセットを管理するには、専任の担当者と脅威インテリジェンスの継続収集が必要です。これを社内で維持するには、セキュリティエンジニアの採用・育成コストが発生します。
チューニングと誤検知対応の工数
WAFの誤検知(False Positive)とは、正常なユーザーのリクエストを攻撃と誤判定して遮断してしまうことです。誤検知が発生するとECサイトの注文処理やAPI連携が突然停止し、売上損失やシステム障害につながります。
特に導入直後の数か月間は、自社アプリケーション固有のURLパラメータ・セッション仕様に合わせたルール調整(チューニング)が集中して発生します。この期間は週次以上の頻度でログを確認し、例外ルール(ホワイトリスト)を設定する作業が不可欠です。
ログ監視とインシデント対応の継続コスト
WAFのログ量は大規模サイトでは1日数百万件規模になることがあります。アラートの精度を維持するためには、ログの正規化・集約・アラートルールの調整を継続的に行うSOC(Security Operations Center、セキュリティ運用センター)体制が必要です。
インシデント発生時には24時間以内の初動対応が求められることが多く、セキュリティ人材の確保が難しい中堅・中小企業にとっては、この運用工数を自社で担うことは現実的でない場合があります。
WAF導入・運用の外注費用相場(初期費用・月額運用費の内訳)
以下の費用レンジは市場参考値であり、一次資料に基づく数値ではありません。実際の費用は対象サイト数・トラフィック量・SLAレベル・ベンダーによって大きく異なります。複数社への見積もり取得をお勧めします。
WAFの外注費用は大きく「初期導入費用」「月額運用費用」「監視・SOC費用」の3層で構成されます。それぞれに独立した費用が発生する点を理解した上で、全体コストを試算することが大切です。
| 費用区分 | 費用の目安(市場参考値) | 費用を左右する主な要因 |
|---|---|---|
| 初期導入費(クラウド型) | 数十万円〜 | 対象ドメイン数・SSL証明書の移行・DNS設定作業範囲 |
| 初期導入費(アプライアンス型) | 機器費用込みで数百万円〜 | 機器スペック・ラッキング・ネットワーク設計変更範囲 |
| 月額ライセンス・利用料 | 数万円〜数十万円/月 | トラフィック量(Gbps・リクエスト数)・保護ドメイン数・プラン |
| 運用・チューニング委託費 | 数十万円/月〜 | チューニング頻度・報告書の粒度・専任エンジニア稼働量 |
| 監視・SOC委託費(24時間対応) | 数十万円〜数百万円/月 | 監視時間帯・SLAのインシデント応答時間・対応範囲 |
費用構成の考え方
クラウド型WAFの場合、ライセンス料は月額数万円程度から利用できるサービスがあります。ただし、チューニングや監視を含む「フルマネージド型」のMSSP(Managed Security Service Provider、セキュリティ運用を一括受託する事業者)に委託する場合は、監視費用が別途発生します。
アプライアンス型は機器調達費が初期に大きくかかりますが、月額のトラフィック従量課金がない分、大規模トラフィックのサービスでは中長期的なコストが相対的に低くなる場合があります。
AWS WAFの費用構成
AWS WAFはリクエスト数・Web ACL数・ルール数に応じた従量課金です。AWSのオフィシャルドキュメントで最新の料金が公開されており、AWS Shield Standardは追加費用なしで利用可能です。*4 ただし、AWS WAFのルール設定・チューニングを外注する場合は運用委託費が別途必要です。
外注運用の中身:チューニング・誤検知対応・SOC連携
WAFの外注運用で実際に委託先が担う業務範囲を理解することは、委託費用の妥当性評価と期待値のすり合わせに不可欠です。
シグネチャ管理とルール更新
委託先は新規の脆弱性情報(CVE・ベンダーが収集した脅威情報)をもとに、WAFのシグネチャをタイムリーに更新します。OWASP ModSecurity Core Rule Set(CRS)など標準ルールセットの採用状況と、更新後のテスト手順が明確かどうかを確認してください。
ルール更新の際はステージング環境での動作確認を挟むことが重要です。本番に直接適用すると、更新後のルールが正常なトラフィックを遮断するリスクがあります。
誤検知(False Positive)対応とホワイトリスト管理
自社アプリケーションに固有のURLパターン・ヘッダー値・パラメータ仕様に起因する誤検知は、導入初期に集中して発生します。委託先が誤検知を検出した際の報告・対応フロー(例外ルール追加の申請からテスト・反映まで)とSLAを事前に合意することが大切です。
誤検知対応が遅れると正常なユーザーへのサービス提供が止まり、ECサイトであれば売上損失に直結します。「誤検知発生から何時間以内に例外ルールを仮適用するか」を契約に明記することを推奨します。
ログ監視とSOC連携の実務
WAF運用委託の実務では、ログをSIEM(Security Information and Event Management、セキュリティ情報・イベント管理)に集約し、相関分析でアラートの優先度を絞り込む作業が中心になります。委託先がSOCを自社保有しているか、提携先のSOCを利用しているかによって、インシデント発生時の対応速度が変わります。
月次・週次の定例報告書では「検知した攻撃の件数・種類・発信元のトレンド」「誤検知率の推移」「シグネチャ更新の履歴」が標準的な記載項目です。これらが報告書に含まれていない場合は、運用品質の可視化が不十分といえます。
委託先(MSSP)の選び方:SOC体制・SLA・実績の評価軸
WAF運用の委託先として代表的なのがMSSP(Managed Security Service Provider)です。MSSPはWAFを含むセキュリティ製品の運用監視・インシデント対応・定期レポートを一括して受託します。
評価軸1:SOCの体制と対応時間
SOCが自社内にあるか外部提携かを確認してください。自社SOCを保有するMSSPは、インシデント発生時のエスカレーションが速く、複数顧客の攻撃パターンから蓄積した脅威インテリジェンスを活用できる利点があります。
監視の時間帯(平日営業時間のみ・24時間365日)とインシデント発生時の初動対応時間(SLA)を数値で確認します。特にECサイトや金融系Webサービスでは、夜間・休日を含む24時間対応が求められる場合があります。
評価軸2:WAF製品固有の運用実績
WAF製品によってルール構造・ログ形式・チューニングのアプローチが大きく異なります。委託先が自社の採用するWAF(例:クラウドフレア・AWS WAF・Imperva・F5等)の実際の運用経験を持つかどうかを確認してください。
OWASP CRS(Core Rule Set)の適用経験や、アプリケーション固有のカスタムルール作成実績も重要な確認ポイントです。
評価軸3:インシデント対応フローと連絡体制
インシデント発生時に「誰がどのルートで通知を受け取り、どのタイムラインで対応するか」のプロセス定義を事前に確認します。通知方法(電話・メール・チャット)と担当者のエスカレーション体制が明文化されているかを確認してください。
また、委託先が対応できる範囲と自社が対応する範囲のRACI(責任分担表)を文書化することで、対応の漏れを防げます。
評価軸4:情報セキュリティ認証の取得状況
ISO/IEC 27001(情報セキュリティマネジメントシステム)認証の取得は、委託先の情報管理体制の客観的な指標になります。WAFのログには攻撃者のIPや自社アプリの挙動情報が含まれるため、委託先のデータ管理ポリシーも確認してください。
| 評価軸 | 確認すべき具体的項目 |
|---|---|
| SOC体制 | 自社SOC保有か外部委託か。 監視時間帯(24時間365日か)。初動対応のSLA(何時間以内か)。 |
| WAF製品実績 | 対象WAF製品の運用実績件数。 OWASP CRS・カスタムルール作成経験の有無。 |
| インシデント対応 | 通知方法・エスカレーション体制の文書化。 RACI定義の有無。 |
| 情報セキュリティ認証 | ISO/IEC 27001取得状況。 ログデータの保管・廃棄ポリシー。 |
| レポーティング | 月次報告書の形式・記載項目。 ログへの自社アクセス権限の範囲。 |
自社運用 vs 外注の判断軸
WAF運用を自社で行うか外注するかは、セキュリティ人材の保有状況・インシデント対応に求められる時間・コスト構造の3つで判断するのが現実的です。
自社運用が現実的なケース
セキュリティエンジニアが常駐し、WAFのルール管理・ログ監視・インシデント対応を担当できる体制がある場合は、自社運用が費用面で有利なことがあります。ただし、AWS WAFやクラウド型WAFであっても、初期設定・チューニング・誤検知対応には相応の専門知識と工数が必要です。
自社運用には以下のスキルと担当者の確保が必要です。
- Webアプリケーションセキュリティの基礎知識(OWASPが示す代表的なリスク分類、SQLi・XSSの攻撃手法の理解)
- 採用するWAF製品の設定・管理スキル(IaC/CLIによる設定管理を含む)
- ログ分析と正規表現・SIEM連携の経験
- インシデント対応フローの設計・実行経験
これらを1〜2名の担当者でカバーするのは、脅威の高度化・多様化が進む中で現実的に難しくなっています。
外注が有効なケース
セキュリティ専任人材の採用が難しい中堅・中小企業、24時間対応が求められるECサイト・金融系Webサービス、短期間で高い防御品質を確保したいケースでは外注が有効です。
外注によって得られる主なメリットは以下のとおりです。
- 専門人材の採用・育成コストを外注費に転換できる
- 委託先の脅威インテリジェンス(複数顧客から蓄積した攻撃パターン情報)を活用できる
- インシデント発生時のエスカレーション先が明確になり、初動対応の遅れを防げる
- 監査・コンプライアンス対応のためのログ証跡と報告書を定期的に受け取れる
失敗回避の実務ポイント
WAFの導入・運用外注でありがちな失敗パターンとその回避方法を整理します。
失敗1:導入直後の誤検知対応SLAを契約に含めない
WAF導入後の数か月間は誤検知が集中します。この時期に「誤検知の報告→確認→例外ルール追加→テスト→本番反映」のサイクルが遅いと、正常なユーザーが繰り返しサービスを利用できない状態が続きます。契約時に誤検知対応のターンアラウンドタイム(初報から仮適用まで)をSLAとして明記することが重要です。
失敗2:WAFを導入してシグネチャ更新を止める
「導入時点では問題なかった」状態を維持するためには、継続的なシグネチャ更新が不可欠です。新たな攻撃手法が公開されれば既存シグネチャでは検知できません。定期的な更新頻度・適用テスト手順・更新履歴の共有が保守契約に含まれているかを確認してください。
失敗3:アプリケーション改修後にWAFルールを見直さない
Webアプリケーションの機能追加・URLパス変更・パラメータ仕様の変更があった場合、既存のWAFルールが新しいアプリ仕様に合わなくなります。アプリ改修のたびにWAF担当者へ連携し、ルールを再チューニングするプロセスを社内に組み込んでください。委託先との情報共有ルールも契約に含めることが大切です。
失敗4:ログの主権・データ所有権を確認しない
外注先のクラウドにWAFログが保管される場合、契約終了時のデータ返却・消去ポリシー、ログへの自社アクセス権限の範囲を事前に確認してください。インシデント調査や監査対応の際に、必要なログにアクセスできない状況を防ぐためです。
まとめ:WAF外注委託先を選ぶ3つの判断軸
本稿では、WAFの役割・種類・外注すべき理由から費用相場・委託先の選び方まで整理しました。要点を3つに集約します。
第一に、WAFの価値は「導入」ではなく「継続運用」にあります。シグネチャ更新・チューニング・誤検知対応・ログ監視の工数を担える体制が自社にない場合、外注が現実的な選択です。
第二に、外注費用は「初期導入費」「月額ライセンス・利用料」「運用・監視費(MSSP)」の3層で構成され、監視費が最もコスト差が大きい項目です。SLAレベルに応じた費用感を把握した上で複数社の見積もりを取ることが大切です。
第三に、委託先の評価はSOCの体制・WAF製品固有の実績・インシデント対応フローの明文化・ISO/IEC 27001などの認証取得状況の4軸で判断してください。費用だけで選ぶと、インシデント発生時の対応遅延リスクが残ります。
よくある質問
WAFの導入・運用を外注するとどのくらいの費用がかかりますか?
クラウド型WAFの場合、初期費用は数十万円程度から、月額運用費は数万円〜数十万円程度が市場参考値の目安です。アプライアンス型では機器調達費が別途必要になります。監視・SOCを含むMSSP委託では月額がさらに高くなる場合があります。費用は対象サイト数・トラフィック量・SLAレベルによって大きく変動するため、複数社への見積もりをお勧めします。
WAFはファイアウォールやIPSと何が違いますか?
ファイアウォールはIPアドレス・ポート番号でのネットワーク層アクセス制御、IPS(不正侵入防止システム)はネットワーク・トランスポート層の通信パターン異常検知が主な役割です。WAF(Web Application Firewall)はHTTP/HTTPSのアプリケーション層を対象とし、SQLインジェクションやXSSなどWebアプリ固有の攻撃を検知・遮断します。OWASPが公開するWebアプリリスク分類への対応が設計の基準となります。*2
WAF運用で誤検知(False Positive)が多発した場合はどう対応しますか?
誤検知が多いと正常なユーザーリクエストを遮断してしまい、サービス障害につながります。対応の基本はチューニング(ルールの例外設定・スコア閾値の調整)です。外注先が誤検知対応のSLAと専任エンジニアを保有しているか、ログ分析報告の頻度はどのくらいかを事前に確認することが大切です。導入後の数か月はチューニング工数が最も多くかかる時期です。
クラウド型WAFとアプライアンス型WAFのどちらを選べばよいですか?
クラウド型はDNS切替のみで導入でき、シグネチャ更新やスケールアップをベンダーが担うため、初期コストを抑えたい場合や社内にインフラ管理者が少ない場合に向いています。アプライアンス型は自社ネットワーク内に設置するため通信のレイテンシを低く保ちやすく、金融・医療などデータを外部に出せない要件がある場合に選ばれます。AWS環境であればAWS WAFとAWS Shield Standard/Advancedの組み合わせも有力です。
MSSPに委託すると自社でWAFログを確認できなくなりますか?
適切なMSSP契約であれば、月次・週次の報告書に加え、SOCポータル経由で自社がリアルタイムにログを参照できる体制を整えられます。契約前に「ログへのアクセス権限の範囲」「インシデント発生時の通知フロー」「レポートの形式と頻度」を事前に確認しておくことをお勧めします。ログの主権(所有権)は自社に残す契約条項も重要なポイントです。
著者:テレリモ総研編集部 鈴木 亮佑
ご不明な点はお問い合わせフォームからもご連絡いただけます。
- *1 出典:IPA(情報処理推進機構)「安全なウェブサイトの作り方」(改訂第7版)
- *2 出典:OWASP「OWASPウェブアプリケーションリスク分類(2021年版)」(2021年)
- *3 出典:IPA(情報処理推進機構)「情報セキュリティ10大脅威 2025」(2025年)
- *4 出典:Amazon Web Services「AWS WAF 料金」(2025年時点)
