WAFとは｜Webアプリの防御・対策 | london3.jp

概要

WAF（Web Application Firewall）とは、Webアプリケーションを狙った攻撃を検知・遮断することに特化したファイアウォールです。WebサーバとWebアプリの前段に置き、HTTP/HTTPS通信の中身を検査して、不正なリクエストを防ぎます。

SQLインジェクションやXSSなど、通常のファイアウォールでは防げないWebアプリ層の攻撃に対応できるのが特徴です。アプリ側の脆弱性をすぐ直せない場合の緩和策としても有効です。

詳細（守れる攻撃・FW/IPSとの違い）

WAFが主に防ぐ攻撃：

機器	守る層
ファイアウォール	IP・ポート（ネットワーク層中心）
IDS/IPS	侵入の兆候（ネットワーク全般）
WAF	Webアプリケーション層

WAFのキーワードは「Webアプリへの攻撃（SQLi・XSS）を防ぐ」。ファイアウォールでは防げないアプリ層の攻撃を防ぐ、という役割分担が最頻出です。

導入のポイント

あくまで緩和策であり、根本対策はアプリの脆弱性修正（プレースホルダ・エスケープ処理）。
シグネチャの更新と、誤検知（正規通信の遮断）を防ぐチューニングが必要。
クラウド型WAF・アプライアンス型・ソフトウェア型などの提供形態がある。

WAFは「脆弱性をすぐ直せないときの盾」として有効ですが、万能ではありません。SQLインジェクション等の根本対策はアプリ側で行い、WAFは多層防御の一枚として併用するのが基本です。

関連例

Webサイトの脆弱性を突いた情報漏えい事件では、WAFの導入が再発防止策として挙げられます。一方、アプリの根本的な脆弱性を放置したままWAFだけに頼ると、回避手法によって突破されることもあります。根本対策との併用が重要です。

試験での問われ方

「Webアプリへの攻撃を検知・遮断する仕組みはどれか」→ WAF。
「SQLインジェクションやXSSの緩和に有効な機器はどれか」→ WAF。
「ファイアウォールとWAFの守備範囲の違い」を問う問題。