WAFとは?|Web Application Firewallの説明

WAFはWebアプリケーションとインターネット間に盾を作り、この盾が多くのよくある攻撃の軽減に役立ちます。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • Web Application Firewallの定義
  • WAFのブロックリスト方式と許可リスト方式の違いについての説明
  • ネットワークベース、ホストベース、クラウドベースのWAFのメリットとデメリットの理解

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

Web Application Firewall(WAF)とは?

Webアプリケーションファイアウォール(WAF)は、Webアプリケーションとインターネット間のHTTPトラフィックをフィルタリングおよびモニタリングすることで、Webアプリケーションを保護するのに役立ちます。一般に、クロスサイトフォージェリ攻撃、cross-site-scripting(XSS)攻撃、ファイルインクルード攻撃、SQLインジェクション攻撃などのような攻撃からWebアプリケーションを保護します。

WAFは、(OSI 参照モデル内の)第7層におけるプロトコルを防御するものであり、すべてのタイプの攻撃を防御するようには設計されていません。通常、こうした攻撃軽減策は、一連のツールの一部であり、組み合わせることで、さまざまな攻撃ベクトルに対する包括的な防御策となります。

Webアプリケーションの前にWAFをデプロイすることにより、Webアプリケーションとインターネットの間にシールドが張られます。プロキシサーバーは、仲介者を使用してクライアントマシンのIDを保護しますが、WAFはリバースプロキシの一種であり、クライアントがサーバーに到達する前にWAFを通過させることでサーバーを暴露から保護します。

WAFは、一般にポリシーと呼ばれる一連のルールを通じて動作します。このポリシーは、悪意のあるトラフィックを除外することでアプリケーションの脆弱性から守ろうとします。WAFの価値は、その迅速性とポリシーの変更を簡単に行える簡便性にあり、さまざまな攻撃ベクトルに迅速に対応できます。DDoS攻撃では、WAFポリシーを変更することでレート制限を素早く実装できます。

DDOS WAFの仕組み
データシート
Cloudflare WAFはどのようにWeb攻撃と戦いますか
レポート
2023年第4四半期のDDoS脅威状況レポートを読む

WAFのブロックリスト方式と許可リスト方式の違いとは?

ブロックリスト(ネガティブセキュリティモデル)に基づいて動作するWAFは、既知の攻撃から保護します。ブロックリストWAFを、ドレスコード(服装規定) を守っていない客の入場を拒否するよう指示されているクラブの警備員と考えてください。逆に、許可リスト(ポジティブセキュリティモデル)に基づくWAFは、事前に承認されたトラフィックのみを許可します。これは、プライベートパーティの警備員のようなものであり、リストに名前のある人物のみの入場を許可します。ブロックリストと許可リストには、それぞれにメリットとデメリットがあるため、多くのWAFは両方を実装するハイブリッドセキュリティモデルを提供します。

WAF保護
「トップ10」の攻撃手法からの防御

ネットワークベース、ホストベース、クラウドベースのWAFとは?

WAFはこの3つの方法のうち1つで実装することができますが、それぞれにメリットとデメリットがあります。

  • 通常、ネットワークベースのWAFは、ハードウェアベースです。ローカルインストールのためレイテンシーを最小化しますが、ネットワークベースのWAFは、最も高価なオプションであり、物理的な機器の収納と保守も必要です。
  • ホストベースのWAFは、アプリケーションのソフトウェアに完全に統合されている場合があります。このソリューションは、ネットワークベースのWAFよりも安価であり、より高いカスタマイズ性を備えています。ホストベースのWAFの欠点は、ローカルサーバーリソースの消費、実装の複雑さ、メンテナンスコストです。通常、そうした要素によりエンジニアリング時間が必要となりコストがかかる場合があります。
  • クラウドベースのWAFは、非常に簡単に実装できる廉価なオプションを提供します。通常、トラフィックをリダイレクトするようDNSを変更するといったようなターンキー方式の実装が可能です。また、クラウドベースのWAFでは、サービスとしてセキュリティに対して月払いまたは年払いの料金を支払うため最小限の初期費用で済みます。さらに、ユーザー側での追加の作業やコストなしに、最新の脅威から保護するために常に更新されるソリューションを提供することもできます。クラウドベースのWAFの欠点は、サードパーティに責任を移譲するため、WAFの一部機能がブラックボックス化する恐れがあります。(クラウドベースのWAFは、クラウドファイアウォールの一種です。クラウドファイアウォールの詳細についてはこちらをご覧ください)。

コネクティビティクラウドを使うことで、クラウドベースのWAFソリューションでWebサイトが保護される様子をリンクよりご確認ください。