クラウドwaf導入のメリットと選定基準！低コストでWebサイトを攻撃から守る方法

2026年1月9日

中西直美

この記事のポイント

✓クラウドwafの導入メリットと選定基準を解説
✓運用負荷も少ないクラウド型WAFの仕組み
✓オンプレミス型との違い

「自分のサイトがサイバー攻撃の標的になるなんて思っていなかった」。フリーランスや小さな会社の経営者の方から、こういうご相談を本当によくいただきます。ある日突然、サイトが改ざんされていた。問い合わせフォームから不審な情報が抜かれていた。そんなご相談を受けるたびに、「もう少し早くWAFを入れていれば」と感じることが多いんです。

クラウドwafは、その不安を月額1万円前後から解消できる現実的な選択肢です。専用機器の購入もサーバー設定の変更も不要で、DNSを切り替えるだけでWebサイトの前面に「盾」を置けます。今日は、心理学を学んできた立場から少し脱線しますが、私自身が個人事業主としてWebサイトを守るために調べ尽くした内容を、できるだけやさしくお伝えしますね。大丈夫、専門用語が多くても、ひとつずつ整理していけば必ず理解できますから。

クラウドwafとは？まずは基本から落ち着いて整理する

クラウドwafは「Web Application Firewall（ウェブ・アプリケーション・ファイアウォール）」の一種で、その名の通り、サービス提供事業者が運用するクラウド上で動くWAFです。利用者は自分のサーバーに何かをインストールする必要はなく、DNSの設定を変更してアクセス経路を事業者のクラウドに通すだけで、Webサイトへの不正アクセスやサイバー攻撃を遮断できる仕組みになっています。

従来のWAFといえば、企業のサーバールームに置かれた専用機器（アプライアンス型）や、自社サーバーに直接インストールするソフトウェア型が主流でした。これらは導入に数百万円かかったり、運用に専任のエンジニアが必要だったりと、中小企業や個人事業主にはハードルが高いものでした。

クラウドwafの登場で、その状況は大きく変わりました。月額10,000円程度から導入できるサービスも多く、面倒な運用は事業者側がすべて引き受けてくれます。「セキュリティ対策はしたいけれど、専門家を雇う余裕はない」という方にこそ、フィットする選択肢なんです。

クラウドwafが守る対象は、Webアプリケーションです。ファイアウォールやIDS（侵入検知システム）、IPS（侵入防御システム）と混同されがちですが、守るレイヤーが違います。一般的なファイアウォールはネットワーク層（IPアドレスやポート番号）で通信を制御し、IDS/IPSはOSやミドルウェアへの攻撃を検知・防御します。クラウドwafはそれよりさらに上の「Webアプリケーション層」、つまり問い合わせフォームやログイン画面、検索窓といったユーザーが直接触れる部分への攻撃を防ぐ役割を担っています。

クラウドwafを取り巻く市場と社会的背景

サイバー攻撃の状況は、ここ数年で大きく変わりました。警察庁や独立行政法人情報処理推進機構（IPA）が公表する各種レポートを見ても、Webアプリケーションを標的とした攻撃は増加傾向にあり、フィッシングサイトや改ざんサイトの摘発件数も右肩上がりです。攻撃者は大企業だけを狙っているわけではありません。むしろ、セキュリティ対策が薄い中小サイトのほうが「踏み台」として狙われやすいというのが実情です。

私のところに相談に来られる方の中にも、「個人のポートフォリオサイトが乗っ取られた」「クライアントから預かったデータが入った管理画面に不正ログインされた」というケースが少なくありません。フリーランスとして仕事を受けるなら、自分のサイトを守ることはクライアントとの信頼関係を守ることでもあるんですよね。

市場としても、クラウドwafは伸び続けています。WAF市場全体は年率1桁台後半〜2桁の成長が続いており、その中でもクラウド型のシェアは年々高まっています。理由はシンプルで、テレワークやクラウド利用の広がりに合わせて「サーバーがどこにあるか」よりも「アプリケーションをどう守るか」に視点が移ってきたからです。

価格面でも、クラウドwafは導入のハードルがどんどん下がってきました。一般的な国内サービスの料金帯は、1サイトあたり月額10,000円〜30,000円程度。これに加えて、初期費用が無料〜数万円のものも珍しくありません。アプライアンス型の数百万円と比べると、その差は歴然です。

副業や独立を目指している方にとっても、クラウドwafの普及はチャンスのひとつです。セキュリティの専門知識はもちろん歓迎されますが、それ以上に「クラウドサービスを理解して、適切に導入支援ができる人」のニーズが高まっています。AI・セキュリティ分野の仕事の広がりについてはAI・マーケティング・セキュリティのお仕事で詳しく整理していますので、合わせてご覧くださいね。

クラウドwafが防げる攻撃の種類

クラウドwafがどんな攻撃を防いでくれるのか、代表的なものを丁寧に見ていきましょう。「専門用語が多くてよくわからない」と感じる方も多いと思いますので、できるだけ日常の言葉でお伝えします。

1. SQLインジェクション

SQLインジェクションは、Webサイトの入力フォームに細工した文字列を入れて、データベースを不正に操作する攻撃です。たとえばログイン画面で「' OR '1'='1」のような文字列を入れると、本来ならパスワードがわからないと入れない管理画面に入れてしまう、というケースが過去には多発しました。

クラウドwafは、こうした「データベースへの命令文を含む不審な入力」をパターン認識して遮断します。会員情報やクレジットカード情報を扱うサイトでは、ほぼ必須の防御機能です。

2. クロスサイトスクリプティング（XSS）

クロスサイトスクリプティングは、悪意のあるスクリプト（小さなプログラム）をWebページに紛れ込ませて、訪問者のブラウザで実行させる攻撃です。Cookieが盗まれてアカウントが乗っ取られたり、フィッシングサイトに誘導されたりします。

掲示板やレビュー機能、コメント欄のような「ユーザーが文章を書き込める場所」がある限り、XSSのリスクはつきまといます。クラウドwafは、書き込み内容に含まれるスクリプトタグや不審な属性を検知して、ブラウザに届く前にブロックしてくれます。

3. ディレクトリトラバーサル

ディレクトリトラバーサルは、URLに「../」のような文字列を含めて、Webサーバー上の本来見えないはずのファイルにアクセスする攻撃です。設定ファイルやパスワードファイルが盗まれる原因になります。

CMS（コンテンツ管理システム）やECサイトを運用している方には、特に気をつけてほしい攻撃です。クラウドwafは、URLや引数に含まれる不審なパス指定を検知して遮断します。

4. ブルートフォース攻撃

ブルートフォース攻撃は、ログイン画面でパスワードを総当たりで試す攻撃です。短時間に何百回・何千回もログインを試みてきます。クラウドwafは、同じIPアドレスから短時間に大量のログインリクエストが来たことを検知して、自動でブロックしてくれます。

「2段階認証を導入したから安心」という声もよく聞きますが、ログイン試行の段階でサーバー負荷が増えれば、それだけでサービスが重くなったり落ちたりします。入口で止めることが、結果としてサイトの安定運用にもつながるんです。

5. DDoS攻撃（一部）

DDoS攻撃は、大量のアクセスを一斉に送りつけてサーバーをダウンさせる攻撃です。本格的なDDoS対策には専用のサービスが必要ですが、アプリケーション層を狙うタイプのDDoS（HTTP Flood等）は、クラウドwafでもかなり緩和できます。

6. ゼロデイ攻撃への部分対応

ゼロデイ攻撃は、まだ修正パッチが出ていない脆弱性を突く攻撃です。本来なら防ぎようがないように思えますが、クラウドwafの提供事業者は世界中の攻撃パターンを集約して、新しい攻撃が観測された瞬間にシグネチャ（検知パターン）を更新してくれます。利用者は何もしなくても、自動で守りが強化される。これがクラウドwafの大きな価値のひとつです。

クラウドwafの仕組み：検知方式と導入方法

クラウドwafがどうやって攻撃を見分けているのか、ここを理解しておくと選定のときに役立ちます。少しだけ技術寄りの話になりますが、できるだけかみ砕いてお伝えしますね。

検知方式は大きく2タイプ

クラウドwafの検知方式は、大きく「ブラックリスト型」と「ホワイトリスト型」に分けられます。

ブラックリスト型は、「攻撃パターンに該当する通信」をリスト化して、それに一致したものをブロックします。世の中で観測されている攻撃に対して即座に対応できる反面、まだ知られていない新しい攻撃には弱いという特徴があります。多くのクラウドwafサービスは、このブラックリスト型を採用しています。

ホワイトリスト型は、逆に「正常な通信パターン」を学習・登録しておき、それ以外の通信をブロックします。誤検知が少なく、未知の攻撃にも対応できますが、最初に正常パターンを学習する作業が必要で、ECサイトのように動的な処理が多いサイトでは設定が複雑になりがちです。

最近の主流は、両方を組み合わせたハイブリッド型です。日々の更新で攻撃パターンに追随しつつ、サイト固有の正常パターンも学習する、というイメージです。

導入方法：DNS切り替えがメイン

クラウドwafの導入は、ほとんどの場合、DNSの設定変更だけで完了します。具体的には、自社サイトのドメイン（例: example.com）のIPアドレスを、クラウドwafサービスが提供するIPアドレスに切り替えるんです。

切り替えた後は、サイトへのアクセスが一度クラウドwaf事業者のサーバーを通過します。そこで攻撃かどうかを判定し、安全な通信だけを自社サーバーに転送する。これがプロキシ型と呼ばれる方式で、現在のクラウドwafの主流です。

DNS切り替え以外には、ロードバランサーやCDNと組み合わせて経路を変える方式もありますが、フリーランスや中小企業の方が触ることはほとんどありません。基本は「DNSをいじるだけ」と覚えておけば大丈夫です。

導入にかかる時間も、サービスによっては最短1日。複雑な設定や工事は必要ありません。「セキュリティ対策って大ごとなんでしょう？」とよく聞かれますが、クラウドwafに関してはそんなことはないんですよね。

クラウドwafを導入する5つのメリット

ここからは、クラウドwafの具体的なメリットを整理していきます。実際にお客様にお勧めするときに私が必ずお伝えしているポイントです。

1. 初期費用を大幅に抑えられる

アプライアンス型WAFの場合、機器代だけで数百万円かかるケースもあります。ソフトウェア型でもライセンス料が必要で、サーバーリソースも自前で用意しなければなりません。

クラウドwafなら、初期費用は0円〜数万円、月額も10,000円程度から始められるサービスが多数あります。年間コストで見ても、アプライアンス型の10分の1以下に収まることが珍しくありません。

「セキュリティに投資するのは大事だけど、いきなり大金は出せない」というフリーランスや中小企業にとって、この価格差は本当に大きいんです。

2. 運用負荷がほぼゼロ

クラウドwafは、シグネチャの更新、新たな攻撃手法への対応、サーバーリソースの管理、すべてを提供事業者が引き受けてくれます。利用者は管理画面でログを見たり、設定をチューニングしたりするだけで済みます。

特に誤検知の場合、顧客への影響が出てくる恐れがあるので、24時間365日のサポートが付いているクラウド型WAFを選んだほうが無難でしょう。

24時間365日のサポートがついているサービスを選べば、深夜や休日にトラブルが起きても安心です。フリーランスの方は特に、「自分が寝ている間も、誰かが見守ってくれている」という心理的な安心感が大きいと思います。

3. 短期間で導入できる

DNS切り替えだけで完了するため、最短1日で導入できるサービスもあります。アプライアンス型のように機器の発注・搬入・設置・設定・動作確認、と数週間〜数ヶ月かかることはありません。

「来月から新サービスをリリースするから、それまでにセキュリティ対策を整えたい」というような短期案件にも対応できます。

4. スケーラビリティが高い

クラウドwafは、提供事業者側でリソースを柔軟に増減できます。サイトのアクセスが急増しても、利用者側で何かを増強する必要はありません。キャンペーンやテレビ放映でアクセスが10倍になっても、追加料金は発生しても基本的な仕組みは変わらず動き続けます。

5. 専門知識が少なくても運用できる

クラウドwafの管理画面は、ほとんどがGUI（グラフィカル・ユーザー・インターフェース）で操作できます。ログの確認、ブロックされた攻撃の傾向、誤検知の調整など、専門用語に詳しくなくても、画面を見ながら直感的に扱えるよう設計されているサービスが多いんです。

私自身、セキュリティの専門家ではありませんが、自分のサイトに導入しているクラウドwafの管理画面は、慣れれば週に1回数分の確認で済んでいます。「毎日サイバー攻撃と戦わなければいけない」という心配は、ほとんど杞憂です。

クラウドwafのデメリットと注意点

メリットだけお伝えするのは公平じゃないので、注意点も正直にお話しします。

1. カスタマイズ性に限界がある

クラウドwafは多数の利用者で共通の仕組みを使うため、細かいカスタマイズには限界があります。「うちの業務独自のリクエストパターンを許可してほしい」「特定のページだけ別ルールで保護したい」というような要望は、サービスによってはオプション料金が発生したり、対応できなかったりします。

非常に特殊な要件があるサイトでは、オンプレミス型WAFのほうが向いている場合もあります。

2. 通信遅延の可能性

すべてのアクセスが一度クラウドwaf事業者のサーバーを経由するため、わずかな遅延（レイテンシ）が発生する場合があります。多くのサービスは数ミリ秒〜数十ミリ秒程度に抑えられていますが、ミリ秒単位の応答速度が重要な金融取引やリアルタイムゲームなどでは要注意です。

3. 誤検知のリスク

クラウドwafは攻撃パターンを機械的に判定するため、正常な通信を誤って攻撃と判定してしまうことがあります（フォルスポジティブ）。フォーム入力に専門用語が含まれていたり、APIで複雑なパラメータをやり取りしたりすると、ブロックされてしまうケースです。

誤検知が発生すると、本来のお客様がサイトを利用できなくなる可能性があります。だからこそ、サポート体制が充実したサービスを選ぶことが大切なんです。

4. 提供事業者への依存

クラウドwafを使うということは、提供事業者のクラウドにすべてのアクセスを通すということです。事業者側で大規模障害が起きると、自社サイトにもアクセスできなくなります。事業者を選ぶときには、過去の稼働率（SLA）や障害履歴、緊急時の連絡体制を必ず確認してください。

オンプレミス型WAFとの比較

ここで、クラウドwafとオンプレミス型WAFの違いを整理しておきましょう。「うちはオンプレミス型のほうがいいのでは？」と迷われる方も多いので、判断材料としてお使いください。

比較項目	クラウド型WAF	オンプレミス型WAF
初期費用	0円〜数万円	数百万円〜
月額費用	1万円〜数万円	保守費用が別途必要
導入期間	最短1日	数週間〜数ヶ月
運用負荷	低い（事業者が運用）	高い（自社で運用）
カスタマイズ性	中程度	高い
対応サーバー	クラウド・自社問わず	自社サーバー中心
シグネチャ更新	自動	手動 or 半自動
専任エンジニア	不要	必要

中小企業や個人事業主、スタートアップであれば、まずはクラウドwafを選ぶのが現実的です。事業規模が大きくなってきて、独自の要件が増えてきたら、オンプレミス型との併用やハイブリッド構成を検討する、という流れが自然です。

クラウドwafの選び方｜6つの比較ポイント

最後に、クラウドwafを選ぶときの比較ポイントを整理します。「何を基準に選べばいいの？」というご相談に、私がいつもお答えしている内容です。

1. 価格と契約形態

まずは月額料金と初期費用、そして契約期間を確認します。月額10,000円前後を基準に、自社の事業規模に合った価格帯を探しましょう。

サイト数で課金されるタイプ、トラフィック量で課金されるタイプ、固定料金タイプ、と料金体系はさまざまです。複数サイトを運営している方は、サイト数課金よりも複数サイトをまとめて守れるプランを選ぶとお得になるケースが多いです。

2. 防御できる攻撃の種類

SQLインジェクション、XSS、ディレクトリトラバーサル、ブルートフォース、DDoS（アプリ層）など、主要な攻撃に対応しているかを確認します。ほとんどの主要サービスは網羅していますが、念のためチェックリストとして使ってください。

3. シグネチャの更新頻度と精度

シグネチャ（検知パターン）の更新が毎日行われているか、誤検知率が低いか、世界中の攻撃情報を集約しているかが大事なポイントです。提供事業者の規模やシェアが大きいほど、観測している攻撃の数も多く、検知精度が高くなる傾向があります。

4. サポート体制

24時間365日のサポートが日本語で受けられるか、緊急時の連絡手段は電話・メール・チャットのどれか、有人対応か自動応答か。サポート品質はサービスごとに大きく差があります。

国産クラウド型WAFなので、「攻撃遮断くん」のすべてのプランに24時間365日、日本語のサポートが付いています。緊急な状況やトラブルが発生したとしてもすぐ解決に向けて進められます。

国産サービスは、日本語でのきめ細かなサポートが受けられる安心感があります。海外サービスは機能面で先進的なものが多い一方、サポートが英語のみだったり、時差で対応が遅れたりするケースもあります。

5. 管理画面の使いやすさ

ログの見やすさ、設定変更のわかりやすさ、レポート機能の充実度を、無料トライアルで実際に触って確認しましょう。多くのサービスが30日間程度の無料トライアルを提供しています。

専門知識が少ない担当者でも操作できるか、エンジニアでなくても日々の運用が回るかを基準に選んでください。

6. 実績と信頼性

導入実績の数、業界、稼働率（SLA）、過去の障害履歴を確認します。同業他社や似た規模の企業が導入しているサービスなら、ノウハウや事例が豊富で安心です。

公開されている事例集や顧客の声を読むと、サービスの強み・弱みが見えてきます。「自社のサイト規模に合っているか」「想定する用途と合致するか」を見比べてみてください。

クラウドwafを支える人材と関連スキル

少し視点を変えて、クラウドwafの運用や導入支援に関わる仕事のお話もしておきますね。

セキュリティの世界は人手不足が深刻で、特にクラウドサービスの導入支援ができる人材が圧倒的に足りていません。総務省や経済産業省が公表する各種調査でも、サイバーセキュリティ人材の不足が継続的に指摘されています。

クラウドwafの設定や運用そのものは、慣れれば難しい作業ではありません。むしろ、お客様の業務を理解して「どこをどう守るべきか」を提案する力のほうが、市場価値が高い時代になっています。

副業や独立を目指す方にとっては、AWS認定資格やCCNAなどのクラウド・ネットワーク系資格を取得して、セキュリティ導入支援を業務範囲に加えていくのが現実的な道筋です。AWS認定クラウドプラクティショナーは、クラウド全般の基礎を体系的に学べる入門資格として、まず最初に取る方が多い印象です。ネットワークの基礎を固めたい方にはCCNA（シスコ技術者認定）もおすすめです。

実際に副業として始める場合は、まずAIコンサル・業務活用支援のお仕事やアプリケーション開発のお仕事のような分野で実績を積みながら、セキュリティ要素を少しずつ取り入れていくのが安全な進め方です。

報酬感を知りたい方はソフトウェア作成者の年収・単価相場を参考にしてみてください。クラウドやセキュリティの知識を加えると、平均よりも単価が上がりやすい傾向があります。

副業を始める入口として、まずはクラウドソーシングで小さな案件から経験を積むのが定番です。クラウドソーシング副業完全ガイド！初心者から月10万稼ぐ成功ステップでは、初心者の方が無理なく始められる流れを整理していますので、合わせてご覧くださいね。

私が個人事業主としてクラウドwafを選んだときの体験

ここで少し、私自身の体験をお話ししますね。

独立してすぐの頃、自分のWebサイトとブログ、カウンセリング予約システムを運営していた時期があります。あるとき、サーバー管理会社から「お客様のサイトへの不審なログイン試行が急増しています」という連絡を受けました。

正直、心臓が凍りました。お客様のお名前やご相談内容が入った大切なシステムです。何かあったら、自分のキャリアが終わるどころか、お客様にも迷惑がかかる。

その日のうちに、いくつかのクラウドwafサービスを比較して、無料トライアルを申し込みました。比較した観点は、まさにこの記事で書いた6つのポイントそのものです。価格、防御機能、サポート、管理画面、実績、そして「日本語で電話相談ができるか」。

結果的に、月額15,000円ほどのプランで導入できて、設定もDNS切り替えだけ。エンジニアの知人に1時間ほど手伝ってもらって、その日のうちに稼働しました。

導入後、管理画面で初めて自分のサイトへの攻撃を可視化したときは、本当に衝撃でした。1日に数百件、世界中から不審なアクセスが来ていたんです。「自分のサイトなんて誰も興味ない」と思い込んでいた自分が恥ずかしくなりました。

そして何より、心がすごく軽くなったのを覚えています。「あ、もう大丈夫。誰かが守ってくれている」という安心感は、お金に換えられない価値でした。フリーランスや個人事業主の方には、ぜひこの安心感を一度体験してほしいんです。

クラウド型WAFを導入するなら累計導入サイト数が20,000を超えた「攻撃遮断くん」がおすすめです。「攻撃遮断くん」は月額10,000円〜導入可能かつ、システム変更不要のため最短1日で導入できる日本国内で開発・運用されているWAFです。ユーザー側での運用は一切必要ないため、低価格かつ簡単に高セキュリティを実現できます！

クラウドwafとあわせて取り組みたいセキュリティ対策

クラウドwafを入れたら万事解決、というわけではありません。サイト全体のセキュリティを底上げするには、いくつかの基本対策もあわせて取り組むことが大切です。

1. CMSやプラグインの定期更新

WordPressなどのCMSを使っている方は、本体やプラグインの更新を必ず定期的に行ってください。古いバージョンには既知の脆弱性が残っていて、それを狙う攻撃が後を絶ちません。

2. パスワード管理の徹底

管理画面のパスワードは、最低でも12文字以上の英大小文字・数字・記号を組み合わせたものにしてください。同じパスワードの使い回しは絶対NGです。

3. 多要素認証（MFA）の導入

管理画面に多要素認証を導入すれば、パスワードが漏れても不正ログインを防げます。クラウドwafと多要素認証の組み合わせは、ほぼ最強の防御ラインです。

4. バックアップの自動化

万が一サイトが改ざんされたり、データが消失したりしても、バックアップがあれば復旧できます。日次バックアップを自動化して、別の場所（オフサイト）にも保管しておきましょう。

5. SSL/TLS証明書の常用

通信の暗号化（HTTPS化）は今や必須です。SSL/TLS証明書は無料で取得できるものもあり、設定もそれほど難しくありません。

これらの基本対策にクラウドwafを組み合わせることで、サイト全体のセキュリティレベルは大きく向上します。

特徴的なのは、フリーランスや副業ワーカー向けの「単発の導入支援」案件が増えていることです。中小企業や個人事業主の方が「クラウドwafを導入したいけれど、誰に頼めばいいかわからない」と困っているケースは多く、フリーランスのエンジニアやコンサルタントに対するニーズが高まっています。

報酬面を見ても、セキュリティ知識を持つフリーランスの単価は上昇傾向にあります。Webアプリケーション開発やインフラ構築の基本スキルに、セキュリティの知識が加わると、提案できる案件の幅が一気に広がるんです。

クラウドソーシングメリット完全ガイド！受注者・発注者の利点を解説でも触れていますが、クラウドソーシング経由でこうしたセキュリティ関連案件を受注する流れは、ますます一般的になっています。プラットフォーム手数料の負担を抑えながら直接契約に近づけていく戦略については、クラウドソーシング卒業の戦略！直接契約で年収を倍増させる全ステップで詳しく整理していますので、長期的なキャリア設計に役立ててください。

執筆業や編集業の方も、IT・セキュリティ分野の記事執筆ニーズは年々高まっています。著述家，記者，編集者の年収・単価相場を見ても、専門分野のライティングは一般ジャンルよりも単価が高くなる傾向があります。クラウドwafやセキュリティといった「ちょっと専門的だけど、これからもっと需要が伸びる」テーマは、ライティングの差別化要素としても有効です。

私のように心理学・カウンセリングをメインにしている人間でも、クライアントのご相談から派生して「サイトのセキュリティが心配で夜眠れない」というご相談を受けることがあります。技術的な相談に直接答えるのは難しくても、「クラウドwafという選択肢があるよ」「月1万円から始められるよ」と伝えられるだけで、お客様の安心感は大きく変わります。

セキュリティの知識は、エンジニアだけのものではありません。フリーランスとして長く活動していくなら、ぜひあなたの「守りの引き出し」のひとつとしてクラウドwafを覚えておいてください。

公的機関・関連参考情報

本記事の内容に関連する公的機関や信頼できる情報源は以下の通りです。最新情報は公式サイトで確認してください。

よくある質問

Q. クラウドWAFとオンプレミス型WAFの一番の違いは何ですか？

最大の違いは導入形態と運用負荷です。クラウドWAFはDNS切り替えだけで導入でき、初期費用や専用機器が不要で、シグネチャ更新もベンダー側が自動対応します。一方オンプレミス型は機器購入や設置、運用要員が必要で、コストと工数が大きく膨らみます。小〜中規模サイトならクラウド型が圧倒的に手軽です。

Q. クラウドWAFはどんな攻撃を防げますか？

SQLインジェクション、クロスサイトスクリプティング（XSS）、ディレクトリトラバーサル、コマンドインジェクション、ブルートフォース攻撃など、OWASP Top10に該当する主要な攻撃を幅広く防御できます。さらに多くのサービスがDDoS対策やボット制御、ゼロデイ攻撃への即時シグネチャ配信にも対応しており、Webアプリ層の脅威に総合的に対処できます。