WAFとは?防げる攻撃の種類や仕組み、導入メリットを解説
「WAF」という言葉を耳にしたことはあっても、「ファイアウォールとどう違うの?」「自社に本当に必要なの?」と疑問をお持ちの方は多いのではないでしょうか。
WAFは、WebサービスをSQLインジェクションやXSSなどの攻撃から守るセキュリティツールです。
Webサービスの普及に伴い、Webアプリケーションを狙うサイバー攻撃は年々巧妙化・増加しており、その対策としてWAFの重要性が急速に高まっています。
本記事では、WAFの基本的な定義から仕組み・防げる攻撃の種類・導入時の比較ポイントまで、情報セキュリティの専門家の視点からわかりやすく解説します。
目次
[ 開く ]
[ 閉じる ]
- WAFとは?Webアプリケーションを守るセキュリティの基本
- WAFが必要とされる理由
- WAFの仕組み
- シグネチャ(パターンマッチング)による検出
- ブラックリスト方式とホワイトリスト方式の違い
- リクエスト・レスポンスの検査フロー
- WAFとFW・IPSは何が違う?混同しやすい3つのツールを整理
- ファイアウォール(FW)との違い
- IPS/IDSとの違い
- WAAPとの違い
- WAFで防げる攻撃の種類
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- OSコマンドインジェクション
- パラメーター改ざん・cookie改ざん
- パス名パラメーターの未チェック/ディレクトリ・トラバーサル
- DDoS攻撃・バッファオーバーフロー
- WAFの種類と特徴を比較
- クラウド型WAF
- ソフトウェア型WAF(ホスト型)
- アプライアンス型WAF(ゲートウェイ型・ネットワーク型)
- WAFを導入するメリット
- 事前対策としての効果
- 事後対策・インシデント抑止としての効果
- WAF導入時に比較すべき5つのポイント
- 1. WAFの種類(クラウド・ソフトウェア・アプライアンス)
- 2. 費用対効果(初期費用・月額・従量課金)
- 3. チューニングのしやすさ
- 4. サポート体制・運用負荷
- 5. 脅威インテリジェンスの提供有無
- 主要なクラウドサービスでのWAF設定概要
- AWS WAFの基本的な設定の流れ
- Azure Application GatewayでのWAF設定の流れ
- まとめ
WAFとは?Webアプリケーションを守るセキュリティの基本
WAFとは「Web Application Firewall(ウェブ・アプリケーション・ファイアウォール)」の略称で、読み方は「ワフ」です。ECサイトの購入フォームや会員サイトのログイン画面など、インターネットに公開されているWebサービスへの通信を見張り、不正な攻撃を自動的にブロックするセキュリティツールです。
従来のファイアウォール(FW)は「どこから・どこへ」の通信かをチェックしますが、通信の「中身」は見ません。そのため、一見ふつうのWeb通信に見せかけた攻撃は素通りしてしまいます。WAFはその中身まで確認するため、FWだけでは防げなかった攻撃を止められる点が最大の強みです。
WAFが必要とされる理由
IPA(情報処理推進機構)のデータによると、セキュリティ上の問題報告のうち約67%はWebサイトに関するもので、Webサービスは攻撃者から最も狙われています。国内の調査では、2024年7月〜9月の3か月だけで約3.4億件ものWeb攻撃が検知されました。
実際にIPAの調査では、攻撃を受けた企業の約23%が「Webサイトが止まった・使えなくなった」という被害を受けています。WAFはシステムの修正が完了するまでの間、攻撃の「盾」として機能します。
参考:株式会社サイバーセキュリティクラウド「2024年第3四半期 Webアプリケーションを狙ったサイバー攻撃検知レポート」
WAFの仕組み
WAFがどのように攻撃を見つけて止めるのか、3つのポイントに分けて説明します。
- シグネチャ(パターンマッチング)による検出
- ブラックリスト方式とホワイトリスト方式の違い
- リクエスト・レスポンスの検査フロー
それぞれ詳しく解説していきます。
シグネチャ(パターンマッチング)による検出
WAFは「シグネチャ」と呼ばれる攻撃パターンの辞書を持っています。ユーザーからの通信をリアルタイムにこの辞書と照合し、一致したものをブロックする仕組みです。たとえばログインフォームに「’ OR 1=1ーー」のような不審な文字列が含まれていれば、即座に遮断します。シグネチャは定期的に更新されることが重要で、更新頻度はWAFを選ぶ際の大事なポイントです。
ブラックリスト方式とホワイトリスト方式の違い
WAFには、攻撃を判断する「方式」が2種類あります。
| 方式 | 考え方 | メリット | デメリット |
|---|---|---|---|
| ブラックリスト方式 | 危険とわかっているパターン(既知の攻撃)だけを拒否する | 設定が比較的かんたん。普通の通信を誤ってブロックしにくい | まだ知られていない新しい攻撃は通過する可能性がある |
| ホワイトリスト方式 | 許可した通信だけを通し、それ以外はすべて拒否する | 未知の攻撃にも対応できる | 許可ルールの設定が複雑で手間がかかる。正常な通信もブロックされやすい |
多くの製品では両方を組み合わせており、最初はブラックリスト方式で運用をはじめ、慣れてきたらホワイトリストで細かく調整していくのが現実的です。
リクエスト・レスポンスの検査フロー
WAFはユーザーとWebサーバーの間に設置され、やり取りされるすべての通信を検査します。「ユーザー → WAF → Webサーバー → WAF → ユーザー」という流れで、送受信の両方をチェックします。
クラウド型WAFのほとんどは、攻撃を検知したその場でブロックする方式を採用しており、リアルタイムに攻撃を止められるのが大きな強みです。
WAFとFW・IPSは何が違う?混同しやすい3つのツールを整理
WAF以外にもセキュリティツールには似た名前のものが多く、違いがわかりにくいと感じる方も多いでしょう。3つに整理します。
- ファイアウォール(FW)との違い
- IPS/IDSとの違い
- WAAPとの違い
ファイアウォール(FW)との違い
ファイアウォール(FW)は「どのIPアドレス・どのポートからの通信を許可するか」を管理するツールです。たとえば「海外からのアクセスをすべて拒否する」といったルールが設定できます。ただし通信の「中身」はチェックしないため、Webサービスへの攻撃コードが混入していても気づけません。WAFとFWは競合ではなく、役割の異なる補完的な関係です。
IPS/IDSとの違い
IDS(不正侵入検知)・IPS(不正侵入防止)は、ネットワーク全体を対象に不審な通信を検知・遮断するシステムです。WAFはWebサービスの攻撃に特化しているため、SQLインジェクションやXSSのような攻撃をより正確に見つけることができます。両方を組み合わせることで、より広い範囲を守れます。
WAAPとの違い
WAAP(Web Application and API Protection)は、WAFの機能にDDoS対策・Bot対策・API保護を加えた、より広範なセキュリティの概念です。APIを外部に公開しているサービスや、クラウドをフル活用している企業には有力な選択肢です。まずWAFを理解したうえで、必要に応じてWAAPへのアップグレードを検討するのが現実的です。
WAFで防げる攻撃の種類
WAFが防ぐことができる代表的な攻撃を6種類紹介します。自社サービスがどのリスクにさらされているかを知ることが、対策の第一歩です。
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- OSコマンドインジェクション
- パラメーター改ざん・cookie改ざん
- パス名パラメーターの未チェック/ディレクトリ・トラバーサル
- DDoS攻撃・バッファオーバーフロー
SQLインジェクション
ログインフォームや検索ボックスに「データベースを操作する命令文(SQL)」を紛れ込ませ、個人情報を盗み取ったりデータを書き換えたりする攻撃です。2024年7〜9月のSQLインジェクション攻撃は前年同期比で約6,400万件増加しており、最も多い攻撃手法の一つです。WAFはこうした不正な文字列を含む通信を自動でブロックします。
参考:株式会社サイバーセキュリティクラウド「2024年第3四半期 Webアプリケーションを狙ったサイバー攻撃検知レポート」
クロスサイトスクリプティング(XSS)
Webページのコメント欄や掲示板に悪意あるプログラムを埋め込み、そのページを見たユーザーの情報(ログイン状態など)を盗む攻撃です。被害に遭うとサービスの信頼を大きく損ないます。WAFは悪意あるプログラムのパターンを検知してブロックします。
OSコマンドインジェクション
入力フォームを通じてサーバーに直接命令(コマンド)を送り込む攻撃です。成功するとサーバーのファイルを削除したり、外部に情報を送信したりすることが可能になります。サーバーの乗っ取りにつながる危険度の高い攻撃です。WAFが危険なコマンドのパターンを検知して遮断します。
パラメーター改ざん・cookie改ざん
URLの数値(例:?price=1000)を書き換えて「1円」で購入しようとするような攻撃が「パラメーター改ざん」です。「cookie改ざん」は、ブラウザに保存されたログイン情報を書き換えて他人のアカウントになりすます攻撃です。ECサイトで実際に被害が起きている攻撃手法で、WAFは不審な書き換えパターンを検知します。
パス名パラメーターの未チェック/ディレクトリ・トラバーサル
URLに「../(ひとつ上のフォルダへ移動)」のような文字を埋め込み、非公開のファイル(パスワードや設定情報など)を盗み見る攻撃です。公開してはいけないファイルに直接アクセスされる恐れがあるため、WAFがこのパターンを検知してアクセスをブロックします。
DDoS攻撃・バッファオーバーフロー
DDoS攻撃は、大量のアクセスを一斉に送りつけてサービスを強制的にダウンさせる攻撃です。2024年10〜12月には世界で約51万件以上のDDoS攻撃が記録されています。バッファオーバーフローは入力欄に処理しきれないデータを送り込む攻撃で、WAFはこうした異常なリクエストを検知・遮断します。大規模なDDoSにはDDoS専用サービスとの組み合わせが有効です。
参考:Fortinet「WAFとは何か?Webアプリケーションファイアウォールの定義と解説」
【関連記事】DDoS攻撃とは?主な種類と5つの対策方法を紹介
WAFの種類と特徴を比較
WAFには大きく3種類の提供形態があります。自社の環境・体制・予算に合ったものを選ぶことが大切です。
- クラウド型WAF
- ソフトウェア型WAF(ホスト型)
- アプライアンス型WAF(ゲートウェイ型・ネットワーク型)
クラウド型WAF
インターネット経由でWAFを利用するサービスです。DNS設定を少し変更するだけで導入でき、機器の購入も不要です。初期費用が低く、セキュリティ更新も提供会社が行うため、専任担当者がいない中小企業に特に向いています。一方、自社独自の細かい設定は難しく、アクセス数によって月額費用が変わる点は注意が必要です。
ソフトウェア型WAF(ホスト型)
自社のWebサーバーにWAFソフトをインストールして動かす形態です。細かいルールを自由に設定できますが、更新・管理はすべて自社で行う必要があるため、社内にセキュリティの知識がある担当者が必要です。
アプライアンス型WAF(ゲートウェイ型・ネットワーク型)
WAF専用の機器をネットワークに設置する形態です。処理速度が速く、大量のアクセスにも安定して対応できます。大企業や金融・官公庁に向いていますが、機器の購入・保守費用がかかるため初期コストは高めです。
| 種類 | 導入コスト | 運用負荷 | カスタマイズ性 | 向いている規模・用途 |
|---|---|---|---|---|
| クラウド型 | 低い | 低い(事業者が管理) | 中〜低 | 中小企業・スピード重視の導入 |
| ソフトウェア型 | 中程度 | 中程度(自社管理) | 高い | 中〜大規模・柔軟な設定が必要な場合 |
| アプライアンス型 | 高い | 高い(専任担当者必要) | 高い | 大企業・高可用性・高トラフィック |
WAFを導入するメリット
WAFの導入には「攻撃を防ぐ」だけでなく、「万が一のときに被害を最小化する」という2つの効果があります。
- 事前対策としての効果
- 事後対策・インシデント抑止としての効果
事前対策としての効果
Webサービスにセキュリティ上の問題(脆弱性)が見つかっても、修正には時間がかかります。その間もサービスは動かし続けなければなりません。WAFを使うことで、修正が完了するまでの間、その問題を狙った攻撃をブロックする「仮の盾(仮想パッチ)」として機能します。
事後対策・インシデント抑止としての効果
WAFは攻撃の記録(ログ)を残すため、万が一トラブルが起きたときに「いつ・どこから・どんな攻撃があったか」を確認できます。原因究明と再発防止に役立ちます。クレジットカード情報を扱うサービスには「PCI DSS」という国際基準への対応が求められますが、WAFの導入はその要件を満たす手段として認められています。
WAF導入時に比較すべき5つのポイント
「安いから」だけでWAFを選ぶと、導入後に運用が大変になるケースもあります。以下の5つのポイントを確認しながら選びましょう。
- WAFの種類(クラウド・ソフトウェア・アプライアンス)
- 費用対効果(初期費用・月額・従量課金)
- チューニングのしやすさ
- サポート体制・運用負荷
- 脅威インテリジェンスの提供有無
1. WAFの種類(クラウド・ソフトウェア・アプライアンス)
まず自社の環境に合った種類を選びます。クラウドサービスで運営している場合はクラウド型、オンプレミス(自社サーバー)中心ならソフトウェア型が基本の目安です。を使っているなら「AWS WAF」、Azureなら「Azure Application Gateway WAF」との連携がスムーズです。
2. 費用対効果(初期費用・月額・従量課金)
クラウド型は月額数千円〜から始められますが、アクセスが多いと費用も増えます。コストだけで判断せず、「もし情報漏えいが起きたときの損失」と比較して考えることが重要です。必要な機能が揃っているかを確認したうえで費用を比較しましょう。
3. チューニングのしやすさ
WAFを導入したばかりの頃は、正常な通信もブロックしてしまう「誤検知」が起こることがあります。誤検知を放置するとサービスに影響するため、設定の調整(チューニング)が必要です。専任担当者がいない場合は、誤検知が少なく自動で調整してくれるマネージドサービス型がおすすめです。
4. サポート体制・運用負荷
WAFは導入後も継続的な管理が必要です。社内にセキュリティ担当者がいない場合は、24時間365日の監視や運用代行サービスを提供しているベンダーを選ぶと安心です。日本語でのサポート対応があるかも確認しましょう。
5. 脅威インテリジェンスの提供有無
攻撃の手口は毎日新しくなります。WAFのシグネチャ(攻撃パターン辞書)が最新の情報に自動更新されるかどうかが、防御の精度を左右します。「いつシグネチャが更新されているか」「自動更新か手動か」をベンダーに確認しましょう。
主要なクラウドサービスでのWAF設定概要
AWSやAzureを利用している場合は、それぞれのサービスにWAFが用意されています。基本的な設定の流れを紹介します。
- AWS WAFの基本的な設定の流れ
- Azure Application GatewayでのWAF設定の流れ
AWS WAFの基本的な設定の流れ
AWS WAFは、AWSコンソールから設定できます。大まかな流れは次のとおりです。
- アクセスルール全体を管理する「ウェブACL」を作成する
- AWSが用意した攻撃対策ルールセット(マネージドルール)を適用する
- 自社環境に合わせたカスタムルールを追加する
- WAFをWebサービスに紐付ける
最初は「ログを記録するだけ」のモードで動かして問題がないか確認し、その後ブロックモードに切り替えると安全です。従量課金のため、アクセスが多いサービスは事前にコスト試算をしておきましょう。
Azure Application GatewayでのWAF設定の流れ
AzureではApplication GatewayというサービスにWAF機能が組み込まれています。
- 設定画面でWAFティア(プラン)を選ぶ
- WAFのルールポリシーを作成して関連付ける
- OWASPという世界標準の攻撃対策ルールセットを選ぶ
- 自社に合わせたカスタムルールを追加する
最初は「検出モード(記録するだけ)」で運用し、誤検知がないことを確認してから「防止モード(ブロックする)」に切り替えるのがスムーズな本番移行のコツです。
まとめ
WAFは、WebサービスをSQLインジェクションやXSSなどの攻撃から守るセキュリティツールです。クラウド型・ソフトウェア型・アプライアンス型の3種類から、自社の規模・運用体制・予算に合ったものを選び、サポート体制と更新の仕組みを確認したうえで導入を検討しましょう。まずは「自社のWebサービスにどんなリスクがあるか」を把握することが出発点です。
GMOインターネットグループでは、パスワードの漏洩やWebの侵入リスクなどを無料で診断できるサービス「GMO セキュリティ24」を提供しています。また、ネット利用に関するご不安にも無料でお答えしていますので、お気軽にご相談ください。
文責:GMOインターネットグループ株式会社
