はじめに
WAF を選ぶ際、クラウド事業者が提供するものと、セキュリティベンダーの専用製品とで迷うことがあります。その代表的な比較が、AWS のマネージドサービスである AWS WAF と、Fortinet の専用 WAF である FortiWeb です。両者は同じ WAF でも性格が異なり、適した場面も変わります。
- AWS WAF と FortiWeb の基本的な性格の違い
- 提供形態・検出方式・料金などの比較軸
- 環境や要件に応じた選び方
AWS WAF は、AWS のクラウドネイティブなマネージド型 WAF で、CloudFront や ALB などの AWS リソースに関連付けて使います。FortiWeb は、アプライアンス・VM・クラウドから配置を選べる Fortinet の専用 WAF で、機械学習を前面に出した検知が特徴です。AWS 環境に閉じて運用するなら AWS WAF、マルチクラウドやオンプレミス、あるいは機械学習や高度な API・bot 保護を重視するなら FortiWeb、という選び方が基本になります。WAF 全般の仕組みは、別記事『WAF とは|仕組みと種類』で扱います。
両者の位置づけ
比較に入る前に、それぞれがどういう製品なのかを整理します。性格の違いが、後の比較軸すべてに影響します。
AWS WAF — クラウドネイティブなマネージド型
AWS WAF は、AWS のサービスとして提供されるマネージド型の WAF です。Web ACL を CloudFront・ALB・API Gateway などの AWS リソースに関連付けて使い、マネージドルールやレートベースルール、IP Set といったルールの組み合わせでリクエストを制御します。料金は Web ACL 数・ルール数・リクエスト数による従量制で、AWS 環境に密結合している点が特徴です。構成や料金の詳細は、関連記事『AWS WAF の構成と設計』で扱っています。
FortiWeb — 多形態で提供される専用 WAF
FortiWeb は、Fortinet が提供する独立した専用 WAF です。ハードウェアアプライアンス、仮想アプライアンス(FortiWeb-VM)、クラウド(FortiAppSec Cloud)から配置形態を選べ、マルチクラウドやオンプレミスをまたいで利用できます。機械学習でアプリケーションの挙動をモデル化する検知を前面に出し、API 保護や高度な bot 対策、クライアントサイド保護なども備えます。機能の詳細は、関連記事『FortiWeb とは|提供形態と機械学習による防御』で扱っています。
性格の違いが選定の出発点
整理すると、AWS WAF は AWS に統合されたマネージドサービス、FortiWeb は配置形態を選べる独立した専用 WAF、という違いになります。前者は AWS 環境での手軽さと密結合が強みで、後者は環境を選ばない柔軟性と機械学習ベースの検知が強みです。この性格の違いが、提供形態・検出方式・料金・運用といった具体的な比較軸に表れます。
比較軸ごとの違い
両者を、提供形態・検出方式・対象環境・料金・運用・エコシステム統合の 6 つの軸で対比します。
| 比較軸 | AWS WAF | FortiWeb |
|---|---|---|
| 提供形態 | クラウドネイティブ(マネージドのみ) | アプライアンス・VM・クラウドから選択 |
| 検出方式 | マネージドルール・レートベース・IP Set などルール中心 | 機械学習中心+シグネチャ |
| 対象環境 | AWS リソース(CloudFront・ALB 等)に密結合 | マルチクラウド・オンプレミスを横断 |
| 料金モデル | 従量制(Web ACL・ルール・リクエスト) | 形態による(買い切り/サブスク/帯域課金) |
| 運用 | フルマネージド、AWS コンソール/API/IaC | 形態により自己管理を含む、誤検知チューニング |
| エコシステム統合 | AWS の各サービス(CloudWatch・Firewall Manager 等) | Fortinet Security Fabric(FortiGate・FortiSandbox 等) |
提供形態
AWS WAF は AWS のマネージドサービスとしてのみ提供されます。FortiWeb はアプライアンス・VM・クラウドの 3 形態から選べるため、オンプレミスでの配置やデータ主権の要件がある場合に対応しやすいのが違いです。
検出方式
AWS WAF は、マネージドルール・レートベースルール・IP Set などのルールを組み合わせて制御します。AWS Managed Rules を使えば、よくある攻撃に手早く対応できます。FortiWeb は機械学習でアプリケーションの挙動をモデル化し、異常を分類する検知を前面に出しており、未知の攻撃の検知や誤検知の抑制を狙います。
対象環境
AWS WAF は AWS リソースに関連付けて使うため、保護対象は基本的に AWS 上のサービスです。FortiWeb はマルチクラウドやオンプレミスをまたいで利用でき、環境を選びません。
料金モデル
AWS WAF は従量制で、小規模であれば低コストに始められますが、トラフィックの増加に応じて費用が増えます(基本は Web ACL あたり月額、ルールあたり月額、リクエスト課金の組み合わせ)。FortiWeb は形態によって異なり、アプライアンスは買い切り、FortiWeb-VM はサブスクリプション、FortiAppSec Cloud は帯域と保護アプリ数に応じた課金です。
運用
AWS WAF はフルマネージドでインフラの管理が不要で、Terraform などの IaC とも相性が良好です。FortiWeb は形態により自己管理を含みますが、機械学習による誤検知の抑制で、チューニングの負荷を下げることを狙います。
エコシステム統合
AWS WAF は CloudWatch や AWS Firewall Manager など AWS のサービスと連携します。FortiWeb は Security Fabric を通じて FortiGate や FortiSandbox、FortiAnalyzer と連携します。既存環境が AWS 中心か Fortinet 中心かが、統合面での大きな判断材料になります。
どちらを選ぶか(ユースケース別)
比較軸を踏まえ、どういう場合にどちらが適するかを整理します。判断の軸は、保護対象の環境(AWS 中心かマルチ環境か)、求める検出手法(ルールベースか機械学習か)、既存のエコシステム(AWS 中心か Fortinet 中心か)の 3 つです。
AWS WAF が適するケース
- 保護対象が AWS 上のリソース(CloudFront・ALB・API Gateway など)が中心
- クラウドネイティブに運用し、Terraform などの IaC で管理したい。
- マネージドルールやレートベースルールで必要な保護がまかなえる。
- 小〜中規模で、従量課金のコスト構造が合う。
- CloudWatch や Firewall Manager など、AWS のサービスと統合したい。
FortiWeb が適するケース
- マルチクラウドやオンプレミスをまたいで WAF を運用したい。
- 機械学習による未知の攻撃の検知や、誤検知の抑制を重視する。
- 高度な API 保護、bot 対策、クライアントサイド保護が必要
- FortiGate などの Fortinet 製品で環境を統一し、Security Fabric を活用したい。
- データ主権やオンプレミス配置の要件がある。
おおまかには、AWS に閉じてルールベースで運用するなら AWS WAF、環境を選ばず機械学習や高度な機能を求めるなら FortiWeb、という整理になります。
AWS 上で FortiWeb を使う選択肢
ここで見落とされがちなのが、AWS WAF と FortiWeb は必ずしも二者択一ではない、という点です。FortiWeb は AWS Marketplace で FortiWeb-VM として提供されており、AWS 上に展開できます。
参考: AWS Marketplace – Fortinet FortiWeb WAF
“FortiWeb software editions offer the same features of the FortiWeb hardware-based appliances”
(FortiWeb のソフトウェア版は、ハードウェアアプライアンスと同じ機能を提供します)
https://aws.amazon.com/marketplace/pp/prodview-hi4pzmnlcgpy4
つまり、AWS 環境であっても、ネイティブな AWS WAF を使うか、AWS 上に FortiWeb-VM を展開するかを選べます。次のような場合に、AWS 上の FortiWeb-VM が候補になります。
- マルチクラウドで WAF の運用やポリシーを統一したい(各クラウドに FortiWeb を置き、AWS もその一つとする)
- 既に FortiWeb の運用ノウハウがあり、AWS でも同じ製品で揃えたい
- AWS WAF のルールベースでは足りない、機械学習や高度な API・bot 保護を AWS 上でも使いたい
一方で、AWS 上に FortiWeb-VM を置く場合は、AWS WAF のようなフルマネージドではなく、VM の運用や課金が加わります。手軽さとネイティブ統合を取るなら AWS WAF、機能の幅と環境横断の統一を取るなら AWS 上の FortiWeb-VM、という形で、AWS の中でも選択肢が分かれます。
まとめ
本記事では、AWS WAF と FortiWeb を提供形態・検出方式・料金・運用などの観点で比較し、環境や要件に応じた選び方を整理しました。AWS WAF は AWS に統合されたマネージド型、FortiWeb は配置形態を選べる機械学習ベースの専用 WAF です。AWS 環境であっても、ネイティブな AWS WAF と AWS 上の FortiWeb-VM のどちらも選べる点を押さえておくと、選定の幅が広がります。
- AWS WAF はクラウドネイティブなマネージド型 WAF
- FortiWeb は多形態で提供される機械学習ベースの専用 WAF
- AWS WAF はルール中心、FortiWeb は機械学習中心の検出
- AWS 中心の環境ならルールベースの AWS WAF が手軽
- マルチクラウドや高度な機能重視なら FortiWeb
- 既存環境が AWS 中心か Fortinet 中心かが統合面の判断材料
- AWS 上で FortiWeb-VM を使う選択肢もある
以上、最後までお読みいただきありがとうございました。
