WAF(Web Application Firewall) わふ
簡単に言うとこんな感じ!
WAFはWebサイトへの「怪しいアクセスを見張るボディガード」だよ!普通のファイアウォールが建物の入口を守るなら、WAFはその中に入ってきた人の「持ち物検査」もしてくれる。「これは攻撃っぽい!」って判断したら即ブロックするんだ。
WAFとは
WAF(Web Application Firewall) とは、Webアプリケーションへの通信内容を監視・分析し、悪意のある攻撃をリアルタイムでブロックするセキュリティの仕組みです。一般的なファイアウォールが「どのポートやIPアドレスからのアクセスを許可するか」を制御するのに対し、WAFはHTTPリクエストの中身(ペイロード)そのものを精査します。
Webサービスを狙う攻撃の多くは、ログイン画面や検索フォームといったアプリケーション層(第7層)を標的にします。WAFはこの層に特化しているため、SQLインジェクション(データベースを不正操作する攻撃)やXSS(クロスサイトスクリプティング)(悪意のあるスクリプトを埋め込む攻撃)など、通常のファイアウォールでは防げない攻撃を検知・遮断できます。
ECサイト・金融サービス・SaaSなど、インターネットに公開されているWebアプリケーションを運営する企業にとって、WAFはもはや標準装備ともいえる防御策です。クラウドサービス(AWS・Azure・GCPなど)でも標準メニューとして提供されており、比較的手軽に導入できるようになっています。
WAFが防ぐ主な攻撃の種類
| 攻撃の種類 | 概要 | 被害例 |
|---|---|---|
| SQLインジェクション | フォームに不正なSQL文を入力してDBを操作 | 顧客情報の漏洩・削除 |
| XSS(クロスサイトスクリプティング) | 悪意のあるスクリプトをページに埋め込む | セッション盗用・フィッシング |
| CSRF(クロスサイトリクエストフォージェリ) | ユーザーに意図しない操作をさせる | 不正送金・設定変更 |
| パストラバーサル | ../ などでサーバーの禁止ファイルへアクセス | 設定ファイルや秘密鍵の漏洩 |
| DDoS(一部) | 大量リクエストでサービスを停止させる | サイトダウン・機会損失 |
| ボット攻撃 | 自動化ツールでスクレイピング・不正ログイン | 情報窃取・アカウント乗っ取り |
WAFの動作モード:検知(Detection)と防御(Prevention)
WAFには大きく2つの動作モードがあります。
- 検知モード(Detection Mode):不審なリクエストを記録・アラートするが、通信はブロックしない。初期導入時や誤検知(正常なアクセスを攻撃と判断してしまうこと)の調整期間に使う
- 防御モード(Prevention Mode):不審なリクエストをリアルタイムでブロックする。本番運用ではこちらが基本
覚え方:「WAFはWebの用心棒」
「WebのAクセスをFilter(ふるいにかける)」→ WAF
歴史と背景
- 1990年代後半:Webアプリケーションの普及とともに、アプリ層を狙う攻撃が増加
- 2001年:OWASP(Open Web Application Security Project) が設立。Webセキュリティのベストプラクティスを整理し始める
- 2003年:OWASPが「OWASP Top 10」を初公開。SQLインジェクション・XSSなどの危険な脆弱性トップ10をまとめたリスト
- 2000年代中盤:アプライアンス型(専用ハードウェア)WAFが企業向けに普及
- 2010年代:クラウド型WAFが登場。AWS WAF・Azure Web Application Firewall・Cloudflare WAF などが台頭し、中小企業でも手軽に導入できるように
- 2017年以降:機械学習を活用した「振る舞い検知型WAF」が主流へ。既知のパターン(シグネチャ)だけでなく、異常な通信パターンも検出できるように進化
- 現在:PCI DSS(クレジットカード業界のセキュリティ基準)でWAFの導入が事実上必須とされ、金融・EC・医療など幅広い業界で標準的なセキュリティ対策として定着
WAFの種類と導入方式の比較
WAFには導入形態によって3つの種類があります。自社の規模・予算・運用体制に合わせて選択します。
| 種類 | 概要 | メリット | デメリット | 向いている組織 |
|---|---|---|---|---|
| クラウド型 | CDNやSaaSとして提供(AWS WAF・Cloudflareなど) | 初期費用が低い・スケーラブル | カスタマイズに限界 | 中小企業・スタートアップ |
| アプライアンス型 | 専用ハードウェアをオンプレミスに設置 | 高パフォーマンス・細かい制御 | 高コスト・保守が必要 | 大企業・金融機関 |
| ソフトウェア型 | サーバーにインストール(ModSecurityなど) | 柔軟なカスタマイズ | 運用に技術力が必要 | エンジニアがいる組織 |
WAF・ファイアウォール・IDS/IPS の役割の違い
インターネット
│
┌───▼───────────────────────────────────┐
│ ファイアウォール(FW) │
│ ・IPアドレス・ポート番号でフィルタ │
│ ・ネットワーク層(第3〜4層) │
└───┬───────────────────────────────────┘
│ 許可されたトラフィックのみ通過
┌───▼───────────────────────────────────┐
│ IDS / IPS │
│ ・ネットワーク全体の異常を検知 │
│ ・不正侵入の検知・遮断(第4〜7層) │
└───┬───────────────────────────────────┘
│
┌───▼───────────────────────────────────┐
│ WAF │
│ ・HTTPリクエストの中身を精査 │
│ ・アプリ層(第7層)専門のガード │
└───┬───────────────────────────────────┘
│
Webアプリケーション(サーバー)OSI参照モデルとWAFの対応
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 7230 | HTTP/1.1 メッセージ構文と経路制御。WAFが解析するHTTPリクエストの基本仕様 |
| RFC 7235 | HTTP/1.1 認証フレームワーク。認証周りの攻撃をWAFが検知する際の参照仕様 |
| RFC 9110 | HTTP Semantics(HTTP統合仕様)。現行のHTTP全体の意味論を定義 |
※ WAFの動作ルール自体はOWASPが策定する CRS(Core Rule Set) が業界標準として広く採用されています。RFCではなくコミュニティ仕様ですが、実装上の参照先として重要です。
関連用語
- ファイアウォール — ネットワーク層でIPアドレス・ポートを制御する基本的な境界防御の仕組み
- IDS/IPS — 不正侵入を検知・防御するシステム。WAFと組み合わせて多層防御を構成する
- SQLインジェクション — フォームに不正なSQL文を入力してデータベースを操作する代表的なWeb攻撃手法
- XSS(クロスサイトスクリプティング) — Webページに悪意のあるスクリプトを埋め込む攻撃手法。WAFが防ぐ主要な脅威の一つ
- OWASP Top 10 — Webアプリケーションの危険な脆弱性トップ10をまとめたセキュリティ指標
- CDN(コンテンツデリバリネットワーク) — Webコンテンツを世界中のサーバーで配信する仕組み。クラウド型WAFはCDNと統合されていることが多い
- TLS/SSL — Web通信を暗号化するプロトコル。WAFはTLSを終端してから通信内容を検査する
- ゼロトラストセキュリティ — 「すべてのアクセスを信頼しない」という現代のセキュリティ設計思想