TechLeague

    Google Cloud

    Cloud Armor vs Cloudflare WAF vs AWS WAF: 2026年エンタープライズWAF比較

    TechLeague Editorial··14 分で読了

    2026年においてWeb Application Firewall (WAF) を選択する際には、OWASP Top 10の適用範囲だけでは不十分です。企業は、高度なボット対策、API保護、低い誤検知率、緻密なチューニング機能、および予測可能なコストを必要とします。本比較では、Google Cloud Armor、Cloudflare WAF、AWS WAFに焦点を当て、大規模運用を行う組織にとってのそれぞれの強み、弱み、最適な展開シナリオを評価します。

    WAFの検知能力とチューニング

    検知能力とは、WAFが正当なトラフィックを許可しながら、実際の脅威をブロックする能力を指します。これら3つのプラットフォームはすべて、マネージドルールセットを提供しています。Google Cloud Armorは、脅威インテリジェンスとAdaptive Protectionの機械学習(ML)を活用して、標的型攻撃を識別し、カスタムルールを生成します。このプロアクティブなML機能は過小評価されがちですが、アプリケーションに固有のトラフィックパターンを監視し、異常をブロックするためのルールを推奨/展開することで、一般的なルールチューニングへの依存を軽減します。例えば、手動で閾値を設定することなく、エンドポイント固有の「Slow POST」攻撃やアプリケーション層DDoS攻撃を検知し、軽減することができます。Cloud Armorでの誤検知のチューニングは、通常、特定のIPやパスをホワイトリストに登録するか、Adaptive Protectionの推奨事項の深刻度レベルを調整することによって行われます。ルール評価はGoogleのネットワークエッジで実行され、グローバルロードバランシングと密接に統合されているため、パフォーマンスへの影響は無視できます。

    Cloudflare WAFは、既知の脆弱性や一般的な攻撃パターンを検知する包括的なマネージドルールセットを提供します。組織は、HTTPヘッダー、URI、クエリ文字列、さらにはボディコンテンツといったフィールドを活用して、高い粒度でカスタムルールを作成できます。このカスタムルール機能は、汎用ルールでカバーされていないゼロデイやアプリケーション固有の脆弱性を軽減する上で非常に強力です。誤検知のチューニングには、特定のマネージドを無効にするか、様々な基準を使用してバイパスルールを作成することが含まれます。Cloudflareの巨大なネットワークは、ルール更新のための継続的なフィードバックループを提供し、発見から数分以内に世界中で脆弱性をパッチ適用することがよくあります。ルールにおける「Skip」アクションは、きめ細かなバイパスを可能にし、正当なトラフィックへの影響を最小限に抑えます。ただし、広範なカスタムルールの作成には、正規表現とリクエストコンポーネントに対する深い理解が必要です。

    AWS WAFは、Rule Capacity Unit (WCU) モデルを使用してWeb ACL (Access Control Lists) を利用します。AWSまたはサードパーティベンダー(Fortinet、F5、Imperva)のマネージドルールグループはWCUを消費します。カスタムルールは、様々なステートメントタイプ(IPセット、文字列マッチ、正規表現、サイズ制約、SQLi、XSS保護)を使用して構築できます。WCUモデルは最適化を強制し、複雑な正規表現ルールはより多くのWCUを消費します。これにより、高度なカスタムロジックが高価になったり、妥協を強いられたりする可能性があります。チューニングには、ルールの優先順位の調整、マネージドルールグループ内の特定ルールの無効化、または例外ルールの追加が含まれます。AWS WAFとCloudFrontおよびApplication Load Balancer (ALB) の統合はシームレスであり、主にAWSでホストされているアプリケーションには自然に適合します。ただし、WCUモデルは、特に大量で複雑なルール要件がある場合に、注意深く管理しないと予期せぬコスト増加につながる可能性があります。

    ボット管理とレートリミット

    効果的なボット管理は非常に重要であり、悪意のあるクローラーやクレデンシャルスタッフィングの試みを、正当な検索エンジンボットやAPIクライアントから切り離します。Google Cloud ArmorはreCAPTCHA Enterpriseとの統合を提供します。これは単なる基本的なCAPTCHAではなく、reCAPTCHA Enterpriseは、ユーザーの操作なしにリクエストの合法性を評価するためにエッジでスコアリングシステムを使用し、高リスクと見なされたリクエストをシームレスにチャレンジまたはブロックします。これは単純なレートリミットを超え、高度な行動分析を利用しています。Cloud ArmorのレートリミットはIPアドレスに基づくカスタムルールを通じて利用可能であり、グローバルまたはパスごとに適用できます。ここでの真の力は、レートリミットとAdaptive Protection、reCAPTCHAを組み合わせることで、多層的なボット防御を実現することです。

    Cloudflareは、高度なBot Management(コアWAFへのアドオン)提供により、ボット管理において優れています。これには、機械学習駆動のボット検出、JavaScriptチャレンジ、ブラウザフィンガープリンティング、および善意のボット、悪意のボット、人間のトラフィックを区別するための行動分析が含まれます。顧客は、異なるボットスコアに対してカスタム応答(例:ブロック、JSチャレンジ、ログ)を定義できます。Cloudflareのレートリミットルールは非常に細かく、HTTPメソッド、パス、ヘッダー、ユーザーエージェント、およびレスポンスコードに基づいてスロットリングを許可します。これらのルールは、ブロック、JSチャレンジ、またはカスタムエラーページを提供するように設定できます。Bot Managementの価格は通常、リクエストまたは機能に基づいて階層化されますが、手動で高度なボット攻撃に対処するよりも優れたROIを提供することがよくあります。

    AWS WAFは、Web ACL内で基本的なレートベースのルールを提供し、ユーザーが閾値(例: 5分間に単一IPアドレスから2000リクエスト)を定義して、その後のトラフィックをブロックできます。これは、より単純なDDoS攻撃やブルートフォース攻撃に対して有効です。より高度なボット保護のためには、AWSはマネージドルールグループとしてAWS Bot Controlを提供しています。これはWCUを消費し、一般的なボットカテゴリ(スキャナー、スクレイパーなど)を識別し、異なるアクションを許可します。機能的には、AWS Bot Controlは、行動分析やチャレンジタイプの点でCloudflareの専用Bot Managementほど洗練されていません。深いボットインサイトと動的なチャレンジを必要とする組織は、AWS WAFのネイティブボット機能が、大幅なカスタムルール開発やサードパーティ統合なしには、包括的ではないと感じるかもしれません。

    API保護と統合

    API保護は、従来のOWASPの懸念事項を超え、スキーマ強制、エンドポイント/キーごとのレート制限、認証/認可層の強制に焦点を当てています。Google Cloud ArmorのAPI保護は、主にカスタムルールとAPIエンドポイントのAdaptive Protectionを通じて実現されます。ネイティブなOpenAPI/Swaggerスキーマ強制は提供していませんが、特定APIパスへのリクエストパターンにおける異常を検出する能力は、強制ブラウジングやパラメータ改ざんなどの攻撃を軽減できます。GCLB (Google Cloud Load Balancing) およびApigeeとの統合が緊密であり、プロキシチェーンを必要とせずにシームレスなWAF展開を提供します。ロギングはCloud LoggingおよびSecurity Command Centerと統合され、一元的な可視性を提供します。

    Cloudflare WAFは、カスタムルールの粒度が高いため、API保護に適しています。ユーザーは、特定のパスに対するHTTPメソッドの強制、ヘッダーの検証(APIキーなど)、または正規表現を使用して特定のJSON/XMLボディコンテンツに基づいてリクエストをブロックするルールを構築できます。CloudflareのAPI Gateway機能は、スキーマ検証や認証処理を含むより高度なAPI管理機能を提供し、WAFと組み合わせることができます。CloudflareのグローバルAnycastネットワークは、WAFをユーザーに最も近い場所に配置し、API呼び出しのレイテンシーを最小限に抑えます。ロギングと分析は堅牢であり、ブロックされたリクエストやトラフィックパターンに関する詳細な洞察を提供し、Logpushを介してSIEMに簡単にエクスポートできます。

    AWS WAFは、AWS API Gateway、CloudFront、およびALBと直接統合されているため、AWSネイティブアプリケーションのAPI保護のための展開は簡単です。カスタムルールは、一般的なAPIの脆弱性(例:無効なパラメータ、過剰なデータ公開)に対処できます。厳密なスキーマ検証のためには、通常、API Gatewayのネイティブ機能に依存するか、カスタムLambdaオーソライザーを実装します。API保護に特化したマネージドルールグループは、AWSおよびパートナーから入手できます。基本的なAPIセキュリティには効果的ですが、トークン検証やAPIキーごとのきめ細かなレート制限などの高度なAPI固有の機能には、しばしばカスタムルール開発または他のAWSサービス(例:Lambda、Cognito)との統合が必要です。可視性はCloudWatch Logsと統合されます。

    TCO、ロギング、およびSIEM統合

    TCO(Total Cost of Ownership)は、調達決定における主要な要素です。以下に内訳を示します。

    機能/プラットフォーム Google Cloud Armor Cloudflare WAF (Ent) AWS WAF
    料金モデル 基本料金 + ルール + リクエスト サブスクリプション/リクエスト + アドオン Web ACL + ルール + リクエスト
    WAF基本料金1 $50/月(ポリシーごと) エンタープライズサブスクリプションは変動(推定$2000+/月) $5/Web ACL + $1/ルール/月
    マネージドルール費用1 $0.70/100万検知リクエスト エンタープライズサブスクリプションに含まれる $6/ルールグループ/月
    処理トラフィックの費用1 $0.70/100万リクエスト(最初の1億はプロジェクトごと無料/月) 制限までエンタープライズサブスクリプションに含まれる $0.60/100万リクエスト(10億まで)
    高度なボット管理 reCAPTCHA Enterpriseアドオン(スコアリングベースの料金) 別サブスクリプション/ティア AWS Bot Control マネージドルールグループ ($10/月 + WCU使用量)
    例: 5億リクエスト/月、30ルール、基本ボット2 約$350。Cloud Armor基本料金($50) + 5億リクエスト @ $0.70/百万。カスタムMLルールなしを想定。 エンタープライズサブスクリプション費用は大きく変動。機能/ティアにより$5000+の可能性あり。 約$370 (5億リクエスト @ $0.60/百万 + $5 Web ACL + 30ルール @ $1 = $30 + マネージドルールグループ 5個 @ $6 = $30 + ボットコントロール $10) = 約$300 + $5 + $30 + $30 + $10 = $375

    1_これらは2025年後半/2026年初頭時点の公開価格であり、変更される可能性があり、エンタープライズ割引の対象となります。実際のコストは、トラフィック量、ルールの複雑さ、および交渉された契約によって大きく異なります。_

    2_これは単純な例です。Cloud Armorポリシー1つ、AWS Web ACL1つ、同程度のルール数を想定しています。_

    ロギングについては、Cloud ArmorはGoogle Cloud Loggingと直接統合されており、WAFイベント(ブロックされたリクエスト、ルールメタデータ付きで許可されたリクエスト)の詳細なログを提供します。これらのログは分析のためにBigQueryにエクスポートしたり、Pub/Subを介してSplunk、DataDog、Chronicle Security OperationsなどのSIEMソリューションに転送したりできます。この一元化されたロギングは、Google Cloudネイティブ環境における大きな利点であり、セキュリティ運用を簡素化します。

    {
  "jsonPayload": {
    "enforcedSecurityPolicy": "my-app-policy",
    "enforcedSecurityPolicyConfiguredAction": "DENY",
    "evaluatedRule": {
      "priority": "2000",
      "action": "DENY",
      "outcome": "MATCH",
      "id": "owasp-xss-sqli-generic-rule-1",
      "expression": "request.headers['user-agent'].contains('BadBot')"
    },
    "outcome": "DENY"
  },
  "insertId": "...",
  "resource": {
    "type": "compute.googleapis.com/ForwardingRule",
    "labels": {
      "forwarding_rule_name": "my-https-lb-rule",
      "project_id": "my-gcp-project",
      "region": "global"
    },
    "type": "...
  },
  "timestamp": "2026-01-15T10:00:00.000000Z",
  "severity": "WARNING",
  "logName": "projects/my-gcp-project/logs/compute.googleapis.com%2Floadbalancer_usage",
  "receiveTimestamp": "2026-01-15T10:00:00.000000Z"
}

    Cloudflareのログは、WAFイベント、ボット管理アクション、DDoS保護を含むHTTPリクエストに対する包括的な可視性を提供します。これらのログはCloudflareダッシュボードから利用でき、Logpushを介して様々なSIEM(Splunk、Sumo Logic、Elasticなど)やストレージソリューション(AWS S3やGoogle Cloud Storageなど)にプッシュできます。データの量が非常に多くなる可能性があるため、SIEM側での取り込みとストレージコストについて慎重な計画が必要です。リアルタイム分析とダッシュボードはCloudflareの強みであり、迅速なインシデント対応を可能にします。

    AWS WAFログはAmazon CloudWatch Logsと統合されており、SIEMへの取り込みのためにAmazon S3またはKinesis Firehoseにストリーミングできます。これにより、AWSエコシステム内で強力なロギング機能が提供されます。WCUモデルはロギングの冗長性にもある程度適用されます。すべてのブロックされたリクエストはログに記録されますが、非常に詳細なフォレンジックロギングは、より多くのリソースを消費したり、S3ログをクエリするためのAthenaのような他のAWSサービスとのより深い統合を必要とする場合があります。AWSに大きく投資している組織にとっては、この統合は簡単で十分に文書化されています。ただし、マルチクラウド展開では、AWS WAFからのWAFログを他のセキュリティログソースと一元化するために追加の労力が必要になる場合があります。

    クラウドネイティブ vs. マルチクラウドエッジ戦略

    意思決定は多くの場合、貴社のクラウド戦略に帰結します。深く統合されたGoogle Cloudネイティブな展開の場合、Cloud Armorが論理的な選択肢です。GCLB、Adaptive Protection、reCAPTCHA Enterpriseとの緊密な統合により、運用のオーバーヘッドを最小限に抑えつつ、強力で費用対効果の高いL7セキュリティ層を提供します。例:GKE上でAnthosを実行し、Cloud CDNとグローバルロードバランシングを活用する大規模な企業は、Cloud Armorを既存のネットワークポリシーの自然で高性能な拡張機能として見出すでしょう。GKE上のサービスに対してセキュリティポリシーを設定することは、GKEイングレスの前面にあるGCLBにCloud Armorポリシーをアタッチするのと同じくらい簡単です。WAFルール適用設定例:

    gcloud compute security-policies rules update 2000 \
    --security-policy=my-owasp-policy \
    --expression="request.headers['User-Agent'].contains('Python-urllib')" \
    --action=deny-403 \
    --description="一般的なPythonボットユーザーエージェントをブロック"

    Cloudflare WAFは、マルチクラウド、ハイブリッド、またはエッジ中心のデプロイメントにおいて明確な勝者です。そのグローバルAnycastネットワークと単一クラウドプロバイダーからの独立性により、バックエンドに関係なくアプリケーションを保護します。AWS、Azure、Google Cloud、およびオンプレミスのデータセンターにサービスを持つ企業は、すべてのトラフィックをCloudflare経由でルーティングすることで、一貫したWAF、DDoS、およびボット保護ポリシーを実現できます。これにより、セキュリティ態勢管理が簡素化され、統合された制御プレーンが提供されます。地域に分散したオリジンサーバーを持つグローバルなeコマースプラットフォームを考えてみてください。Cloudflareは、すべてのトラフィックに対して単一の施行ポイントとパフォーマンス最適化を提供します。エンタープライズソリューションには、複雑で分散したアーキテクチャを理解する専任のソリューションエンジニアとサポートも付属しています。

    AWS WAFは、AWS専用の厳しく規制されたワークロードに異論の余地なく最適な選択肢です。アプリケーションの公開エンドポイントの100%がAWS(CloudFront、ALB、API Gateway)内に存在する場合、AWS WAFはシームレスな統合、CloudWatchによるネイティブロギング、およびAWSセキュリティチームにとって馴染みのある運用モデルを提供します。特に政府機関や金融サービス向けのミッションクリティカルなアプリケーションをAWSのみで実行している企業にとって、GuardDuty、Security Hub、Inspectorなどの他のAWSセキュリティサービスとの深い統合は、コンプライアンスと脅威検出のワークフローを簡素化します。ただし、AWS WAFを非AWSオリジンを保護するために拡張するには、大幅なアーキテクチャ変更が必要となるか、WAF検査のためにトラフィックをAWSにルーティングするAWS Global Acceleratorの使用が必要となり、これによってレイテンシーと複雑さが増す可能性があります。

    結論

    大企業にとって、適切なWAFの選択はアーキテクチャ、予算、運用スキルセットに完全に依存します。

    • Google Cloud Armorは、シームレスな統合、高度なML駆動のAdaptive Protection、および洗練されたボット対策のためのreCAPTCHA Enterpriseを必要とするGoogle Cloudネイティブな重厚なデプロイメントに最適です。プロジェクトごとに最初の1億リクエストが無料となるリクエストごとの課金モデルは、バースト性のあるワークロードや成長中のワークロードにおいて競争力があります。
    • Cloudflare WAF (Enterprise) は、マルチクラウド、ハイブリッド、またはパフォーマンスが重要なエッジデプロイメントに最適な選択肢です。そのグローバルAnycastネットワーク、包括的なボット管理、非常にきめ細かいカスタムルール、および統合されたコントロールプレーンは、比類のない柔軟性と、異なるインフラストラクチャ間での一貫したセキュリティ態勢を提供します。固定のサブスクリプション費用は高くなりますが、真にグローバルで分散型のアプリケーションにとっては、長期的に見てより優れたTCOとなることが多いです。
    • AWS WAFは、CloudFront、ALB、API Gatewayとの緊密な統合が最重要であり、セキュリティチームが既にAWSエコシステムに精通しているAWS専用のアプリケーションスタックに最も適しています。WCUモデルは注意深い管理が必要ですが、AWSの境界内で高度にローカライズされた統合セキュリティを可能にします。

    関連資料

    よくある質問

    どのWAFが最高のDDoS保護を提供しますか?+

    3つすべてがレートリミットとシグネチャベースのブロッキングを介してL7 DDoS保護を提供しますが、Cloudflare WAFは、その大規模なAnycastネットワークと専用のDDoS軽減サービス(Magic Transit、Spectrum)により、L3/L4までカバーする最も包括的で容量の大きいDDoS保護を提供します。Cloud ArmorとAWS WAFは、それぞれのクラウド境界内のL7 DDoSには優れていますが、Cloudflareの完全なスイートのようなL3/L4軽減の広範な機能は提供していません。

    これらのWAFは非HTTP/Sトラフィックを保護できますか?+

    いいえ、Google Cloud Armor、Cloudflare WAF、AWS WAFのような従来のWAFは、WebアプリケーションとAPI向けのHTTP/HTTPS(L7)トラフィックに特化して設計されています。これらは非Webプロトコル(例:SSH、FTP、カスタムTCP/UDPサービス)を保護しません。それらには、ネットワークファイアウォール(FortiGate 1800F、Palo Alto Networks PA-5440、またはクラウドネイティブなネットワークファイアウォールなど)または特殊なプロキシソリューションが必要になります。

    これらのWAFは誤検知をどのように処理しますか?また、どれが最もチューニングしやすいですか?+

    3つすべてが誤検知をチューニングするためのメカニズム(IP/パスのホワイトリスト化、ルールの無効化、バイパスルールの作成)を提供しています。Google Cloud ArmorのAdaptive ProtectionとreCAPTCHA Enterpriseは、独自のトラフィックパターンを学習し、行動分析を適用することでチューニングを簡素化します。Cloudflare WAFは広範なカスタムルール機能を提供し、非常にきめ細かいバイパスを可能にしますが、より多くの手作業が必要です。AWS WAFのチューニングはAWSネイティブユーザーにとっては簡単ですが、非常に複雑な例外ロジックの場合、WCUモデルで複雑になる可能性があります。Cloud Armorは、そのML機能により、誤検知のチューニングにおける運用上のオーバーヘッドが最も低い傾向にあります。

    セキュリティエンジニアリングのリソースが限られている組織にとって最適な選択肢は何ですか?+

    主にGoogle Cloudを利用しており、セキュリティリソースが限られている組織の場合、Google Cloud Armorは、その密接な統合、Adaptive Protection、およびreCAPTCHA Enterpriseが多くの作業を肩代わりするため、管理が最も容易であることが多いです。マルチクラウド戦略の場合、Cloudflare WAF(特にEnterpriseプラン)は、リーンなセキュリティチームを補完するマネージドサービスと専用サポートを提供し、異なる環境間でのセキュリティを統合できます。

    TCOのセクションでカバーされていない隠れたコストはありますか?+

    はい。直接的なWAF費用以外に、データ転送アウト(CloudflareのようなエッジベースのWAFで、オリジンが別のクラウドプロバイダーにある場合)、ロギングの保存と処理のコスト(特にCloudWatch、Cloud Logging、またはCloudflare Logpush経由でSIEMにプッシュする場合)、および初期設定、継続的なルールチューニング、インシデント対応に必要なエンジニアリングの手間を考慮してください。高WCU使用量のAWS WAFでは、「ルール複雑性」のコストが加算される可能性があります。CloudflareのEnterpriseティアは高価ですが、多くの場合、手厚いサポート、プロフェッショナルサービス、およびより広範なセキュリティ製品スイートが含まれており、他のベンダーからのコストを相殺できる場合があります。

    どのWAFがトラフィックに対する最もきめ細かい制御を提供しますか?+

    Cloudflare WAFは、リクエストの様々なコンポーネント(ヘッダー、URI、ボディ、クエリパラメータ、IPレピュテーション、ボットスコア)にわたる多数の論理式を組み合わせて使用できる、広範なカスタムルールオプションにより、トラフィックのフィルタリングと応答アクションに対して一般的に最もきめ細かい制御を提供します。Google Cloud Armorも優れた粒度を提供しますが、Cloudflareのルールエンジンは、複雑な条件付きロジックにとって非常に強力です。AWS WAFの粒度は良好ですが、非常に複雑なルールセットの場合、WCUモデルによって制約されます。