TL
ホーム/セキュリティ/製品カテゴリ/ WAF(Web アプリケーションファイアウォール)

Web アプリ防御

WAF(Web アプリケーションファイアウォール)

Web アプリへの通信を検査し、SQL インジェクションや XSS などアプリ層(L7)の攻撃を遮断する防御FW が通す HTTP の中身を見るのが役割で、クラウド型・アプライアンス型・ホスト型がある

TL;DR要点だけ先に
  • 1.Web アプリへの L7 攻撃を遮断する防御。
  • 2.SQLi・XSS など FW が通す HTTP の中身を見る。
  • 3.公開 Web/API の OWASP Top 10 対策にまず導入。

Core Facts

基本情報

Introducing

WAF(Web アプリケーションファイアウォール)Web アプリへの通信を検査し、SQL インジェクションや XSS などアプリ層(L7)の攻撃を遮断する防御。FW が通す HTTP の中身を見るのが役割で、クラウド型・アプライアンス型・ホスト型がある。
OSI 層
L7アプリ)
守る対象
Web アプリ / API
主な脅威
SQLi / XSS / 不正リクエスト
形態
クラウド / アプライアンス / ホスト
選ばれる理由
L7 のアプリ攻撃を遮断SQLi / XSS)既知脆弱性を“仮想パッチ”で緩和
主な利用シーン
公開 Web / API の保護OWASP Top 10 対策 / DDoS・ボット対策(製品次第)

Decision Guide

選定ポイント

採用する理由と、事前に受け入れるべきトレードオフを分けて確認します。

Why It Fits

選ぶ理由

  1. L7 のアプリ攻撃を遮断(SQLi / XSS)
  2. 既知脆弱性を“仮想パッチ”で緩和
  3. クラウド型は導入が容易

Trade-offs

考慮すべき点

  1. 誤検知で正常通信を弾くことがある
  2. ルール・チューニングの運用が要る
  3. アプリのロジック欠陥自体は直せない

Deep Dive

もっと詳しく

何を守るのか

WAF(Web Application Firewall)は、Web アプリケーションへの通信内容を検査し、アプリ層(L7)を狙う攻撃を遮断する仕組みです。守る対象は Web サイトや Web API そのもので、外部からの不正なリクエストを入口で止めます。

代表的に防ぐのは、SQL インジェクションやクロスサイトスクリプティング(XSS)といった、入力値を悪用してアプリを操る攻撃です。

仕組み・位置づけ

WAF は、やり取りされる HTTP リクエストやレスポンスの「中身」を読み取り、攻撃パターンや不正な入力を判定して通すか遮断するかを決めます。提供形態はいくつかあります。

  • クラウド型:サービスとして利用し、通信を経由させて検査する。
  • アプライアンス型:自社の境界に専用機器を設置する。
  • ホスト型:Web サーバ上にソフトウェアとして組み込む。

FW との違い

ファイアウォール(FW)と名前は似ていますが、見ている層が違います。

  • FW はネットワーク境界で、IP アドレスやポートを基準に通信の可否を判断する。HTTP 通信そのものは「通す」。
  • WAF は、その FW が通した HTTP の中身まで踏み込んで検査する。Web アプリに特化している。

つまり FW が建物の入退館ゲートなら、WAF は持ち込まれた荷物の中身を検査する役割です。両者は競合せず、重ねて使います。

導入・運用のポイント

WAF は導入後のチューニングが肝心です。ルールが厳しすぎると正規の通信まで止めてしまい(誤検知)、緩すぎると攻撃を見逃します。実際のトラフィックを見ながら調整し続ける運用が前提になります。

もう一つ重要なのは、WAF は攻撃を「遮断」するもので、アプリ自体の欠陥を直すものではない点です。脆弱なコードはそのまま残るため、根本的にはアプリ側の修正が必要で、WAF はその間や万一の備えとなる防御層と捉えるのが適切です。

Decision Context

WAF(Web アプリケーションファイアウォール)を実務で読む

TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。

解決すること

公開 Web / API の保護

比較で見る軸

OSI 層: L7(アプリ) / 守る対象: Web アプリ / API / 主な脅威: SQLi / XSS / 不正リクエスト

導入後に効く点

既知脆弱性を“仮想パッチ”で緩和

先に潰すリスク

誤検知で正常通信を弾くことがある

数字・仕様の読み方
OSI 層
L7(アプリ)
守る対象
Web アプリ / API
主な脅威
SQLi / XSS / 不正リクエスト
形態
クラウド / アプライアンス / ホスト

判断チェックリスト

  • 自社の用途が「公開 Web / API の保護 / OWASP Top 10 対策」に近いか確認する。
  • 強みである「L7 のアプリ攻撃を遮断(SQLi / XSS)」が本当に評価軸になるか確認する。
  • 注意点の「誤検知で正常通信を弾くことがある」を運用で吸収できるか確認する。
  • 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
  • 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
  • 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。

次に確認する観点

公開 Web / API の保護OWASP Top 10 対策DDoS・ボット対策(製品次第)CloudflareAWS WAFAkamaiImpervaF5(Advanced WAF / BIG-IP)
参考: 参考リンク

Landscape

代表的な製品・サービス

製品名から個別の解説ページへ移動できます。

Cloudflare

エッジで WAF / SSE を提供

AWS WAF
Akamai
Imperva
F5(Advanced WAF / BIG-IP)
Fastly(Signal Sciences)

Use Cases

こんな場面で使う

公開 Web / API の保護OWASP Top 10 対策DDoS・ボット対策(製品次第)
参考リンク