WAFとは?|Web Application Firewallの説明

WAFはWebアプリケーションとインターネット間に盾を作り、この盾が多くのよくある攻撃の軽減に役立ちます。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • Web Application Firewallの定義
  • WAFのブロックリスト方式と許可リスト方式の違いについての説明
  • ネットワークベース、ホストベース、クラウドベースのWAFのメリットとデメリットの理解

記事のリンクをコピーする

Web Application Firewall(WAF)とは?

A WAF or Web Application Firewall helps protect web applications by filtering and monitoring HTTP traffic between a web application and the Internet. It typically protects web applications from attacks such as cross-site forgery, cross-site-scripting (XSS), file inclusion, and SQL injection, among others. A WAF is a protocol layer 7 defense (in the OSI model), and is not designed to defend against all types of attacks. This method of attack mitigation is usually part of a suite of tools which together create a holistic defense against a range of attack vectors.

Webアプリケーションの前にWAFをデプロイすることにより、Webアプリケーションとインターネットの間にシールドが張られます。プロキシサーバーは、仲介者を使用してクライアントマシンのIDを保護しますが、WAFはリバースプロキシの一種であり、クライアントがサーバーに到達する前にWAFを通過させることでサーバーを暴露から保護します。

A WAF operates through a set of rules often called policies. These policies aim to protect against vulnerabilities in the application by filtering out malicious traffic. The value of a WAF comes in part from the speed and ease with which policy modification can be implemented, allowing for faster response to varying attack vectors; during a DDoS attack, rate limiting can be quickly implemented by modifying WAF policies.

DDOS WAFの仕組み

WAFのブロックリスト方式と許可リスト方式の違いとは?

ブロックリスト(ネガティブセキュリティモデル)に基づいて動作するWAFは、既知の攻撃から保護します。ブロックリストWAFを、ドレスコード(服装規定) を守っていない客の入場を拒否するよう指示されているクラブの警備員と考えてください。逆に、許可リスト(ポジティブセキュリティモデル)に基づくWAFは、事前に承認されたトラフィックのみを許可します。これは、プライベートパーティの警備員のようなものであり、リストに名前のある人物のみの入場を許可します。ブロックリストと許可リストには、それぞれにメリットとデメリットがあるため、多くのWAFは両方を実装するハイブリッドセキュリティモデルを提供します。

ネットワークベース、ホストベース、クラウドベースのWAFとは?

WAFはこの3つの方法のうち1つで実装することができますが、それぞれにメリットとデメリットがあります。

  • 通常、ネットワークベースのWAFは、ハードウェアベースです。ローカルインストールのためレイテンシーを最小化しますが、ネットワークベースのWAFは、最も高価なオプションであり、物理的な機器の収納と保守も必要です。
  • ホストベースのWAFは、アプリケーションのソフトウェアに完全に統合されている場合があります。このソリューションは、ネットワークベースのWAFよりも安価であり、より高いカスタマイズ性を備えています。ホストベースのWAFの欠点は、ローカルサーバーリソースの消費、実装の複雑さ、メンテナンスコストです。通常、そうした要素によりエンジニアリング時間が必要となりコストがかかる場合があります。
  • Cloud-based WAFs offer an affordable option that is very easy to implement; they usually offer a turnkey installation that is as simple as a change in DNS to redirect traffic. Cloud-based WAFs also have a minimal upfront cost, as users pay monthly or annually for security as a service. Cloud-based WAFs can also offer a solution that is consistently updated to protect against the newest threats without any additional work or cost on the user’s end. The drawback of a cloud-based WAF is that users hand over the responsibility to a third-party, therefore some features of the WAF may be a black box to them. Learn about Cloudflare's cloud-based WAF solution.