WAFとは

目次

WAFとは

WAFとはWeb Application Firewall (ウェブアプリケーションファイアウォール)の略で、ウェブアプリケーションの脆弱性を悪用する攻撃からウェブサイトを保護するセキュリティ対策です。

ウェブアクセスの通信内容を検査し、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を検知して、そのようなアクセスをアプリケーションに到達する前に遮断することで、ウェブに対する不正な攻撃を未然に防御します。

WAFで防御できる代表的な攻撃

・SQLインジェクション – SQL文を含んだ入力データを送信してデータベースに不正にアクセスする。

・クロスサイトスクリプティング(XSS) – ウェブサイトが本来想定していないスクリプトなどをブラウザ側で実行させる。

・クロスサイトリクエストフォージェリ(CSRF) – 不正な手段で投稿やアップロードなどを実行する。

・OSコマンドインジェクション – OSコマンドを含んだ入力データを送信してシステムに不正にアクセスする。

・改行コードインジェクション – 改行コードを含んだ入力データを送信してHTTP レスポンスヘッダを書き換える

・ディレクトリトラバーサル – サーバー上の本来公開を意図していないファイルに対し、不正にアクセスまたは実行する

・ブルートフォースアタック – ログイン画面などに総当り攻撃を試みる

・DDoS攻撃 – ウェブサイトやサーバーに対して過剰なアクセスやデータを送付して大きな負荷をかける。WAFの種類によっては対応していない

WAFとファイアウォールとの違い

一般的なファイアウォールはIPアドレスやポート番号、通信方向といったルールをもとにアクセスを制御します。ファイアウォールはアプリケーション層ではなくネットワーク層を保護するセキュリティ対策です。

WAFとIDS/IPSとの違い

IDS(Intrusion Detection System 侵入検知システム)やIPS(Intrusion Prevention System 侵入防止システム)はサーバーやOSに対する不正アクセスを検知・防御します。IDS/IPSでもウェブアプリケーションに対する攻撃を検知することがありますが、一般的にWAFはウェブアプリケーションの脆弱性を悪用する攻撃の防御に特化しています。

WAFとSSL/TLSとの違い

SSL/TLSはウェブにアクセスしたユーザーの通信を暗号化することで、盗み見されるリスクから防御します。WAFがウェブサイトを守るとすれば、SSL/TLSはウェブにアクセスする人を守ります。

WAFの種類

アプライアンス型

WAF機能を持つ専用機器を、ウェブサーバー機器の直前に設置します。細かい設計・構築・運用が可能ですが、最も費用がかかります。

ソフトウェア型/ホスト型

WAFソフトウェアをウェブサーバーにインストールします。アプライアンス型と同様のカスタマイズができますが、ウェブサーバーのリソースを消費します。

クラウド型/リバースプロキシ型

ウェブのDNSを変更し、クラウド上にあるWAF機器がウェブサーバーの直前に設置されます。導入が安価ですが、トラフィックの増加により料金が加算されることがあります。

サービスメニュー提供型

AWSやAzureなどのクラウドサービスでは、WAFがサービスメニューとして提供されます。

WAF導入時の注意

接続元IPアドレスがWAF機器のIPアドレスに変換されることがある

WAFの提供形態(特にクラウド型)では、接続元のIPアドレスがWAFのIPアドレスに変換されることがあります。

この場合は、WAFが付与するX-Forwarded-Forヘッダを、アプリケーション側が接続元として利用する、あるいはウェブサーバーの設定で接続元として再変換させるなどの設定が必要となります。

ファイルアップロードに制限がかかることがある

これもクラウド型WAFに見られる制限ですが、POSTデータのサイズに関する制限やタイムアウト値が設けられている場合があります。

SSL/TLS証明書をWAF機器にインストールする必要なことがある

アプライアンス型やクラウド型は、SSL/TLS証明書をWAF機器にインストールする必要な場合があります。この状況によっては秘密鍵が漏洩しないように注意する必要があります。

WEBサイトやWEBサーバーへのサイバー攻撃を可視化・遮断するWEBセキュリティサービス
攻撃遮断くんのページはこちら
https://cloud.speever.jp/shadan-kun/

『攻撃遮断くん』をオススメする理由
  • 高セキュリティ:自動更新される防御パターンにより、新たな脅威に即座に対応。
  • 継続率98%以上:高品質なサービスと丁寧な顧客対応により、高い顧客満足度を実現。
  • 純国産WAF:開発から運用、保守、サポートまでを一貫して国内で提供。

ニーズに応じた2タイプ(SaaS型、クラウド連携型)をご提供、さらにサイバー攻撃を可視化できます。
いまなら14日間の無料トライアル実施中

攻撃遮断くん 無料トライアルのお申し込みはこちら

メールやホームページの
「困った!」を解決しませんか?

お取引企業20,000を超える実績を持つスピーバーでは、豊富な知識を持ったIT業務の専門家が 複雑な手続きや設定をサポートし、お客様の挑戦と成長を応援いたします。

スピーバーに相談する
よかったらシェアしてね!
  • URLをコピーしました!

この記事を書いた人

大和(やまと)のアバター 大和(やまと) DX推進アドバイザー

肩書:Chief Digital Transformation Officer
名前:大和(やまと)
経歴:プログラマー、ネットワークエンジニアを経てDX推進を担当
   ホスティング事業、クラウド事業に精通し、クラウド黎明期から
   一貫して「初心者の方にも分かりやすく」がモットー。
      これからもクラウド、DXを通じてお客様のお役に立ちたい。
保有資格:基本情報技術者|DX推進アドバイザー|情報セキュリティー管理士

まずはお気軽に
お問い合わせください

スピーバーのサポートデスクでは、レンタルサーバーに関するご質問やご相談だけでなく、
お客様のオフィス内でのお困りごと全般のご相談を受付けています。

パソコンの操作、メールの設定、迷惑メールやスパムメールが多くて困るといった、
日常業務でのお困り事をお気軽にご相談ください。

お電話での
お問い合わせは
スピーバーお問い合わせ電話番号:0120-63-1138
0120-63-1138
9:00~18:00(祝祭日を除く月曜日~金曜日)
目次