はじめに
WAF(Web Application Firewall)は、Webアプリケーション層(OSI参照モデルのレイヤー7)への攻撃を検知・遮断するセキュリティ製品/サービスです。
SQLインジェクションやクロスサイトスクリプティング(XSS)など、アプリの脆弱性を悪用する攻撃から防御します。
1. WAFの役割
-
HTTP/HTTPS通信を解析し、不正なリクエストや攻撃パターンをブロック
-
アプリ改修を行わずに、脆弱性の被害を軽減
-
サーバ負荷軽減やゼロデイ攻撃への一次的対応にも活用可能
2. 防げる代表的な攻撃
| 攻撃手法 | 説明 | WAFでの防御例 |
|---|---|---|
| SQLインジェクション | クエリに不正SQLを混入 | 特定パターンのクエリ検知・遮断 |
| クロスサイトスクリプティング(XSS) | 悪意あるJavaScript実行 | HTMLタグやスクリプト除去 |
| ディレクトリトラバーサル |
../などで機密ファイルアクセス |
不正パスパターン拒否 |
| ファイルアップロード攻撃 | 実行可能ファイルのアップロード | MIMEタイプ・拡張子検証 |
| クロスサイトリクエストフォージェリ(CSRF) | ユーザーなりすまし操作 | リクエスト元検証 |
3. WAFの種類
| 種類 | 特徴 | 導入例 |
|---|---|---|
| クラウド型 | SaaSとして提供、短期間で導入可能。自動アップデート。 | AWS WAF, Cloudflare WAF |
| アプライアンス型 | 物理機器をネットワークに設置。高性能だがコスト高。 | F5, Barracuda |
| ソフトウェア型 | サーバ内にインストールして利用。自由度高い。 | ModSecurity, NAXSI |
4. メリット・デメリット
メリット
-
アプリ改修なしで攻撃対策可能
-
ログ分析で攻撃傾向の可視化
-
シグネチャ更新で新種攻撃に対応可能
デメリット
-
誤検知で正規アクセスを遮断する可能性
-
高トラフィック時の性能低下
-
高度なチューニングには専門知識が必要
5. 図解:WAFの位置づけ
6. 導入時のポイント
-
守るべきアプリと攻撃パターンの把握
-
クラウド型・アプライアンス型・ソフト型の適性比較
-
誤検知時の例外設定手順を整備
-
他の対策(2FA、セキュア開発、脆弱性診断)と併用
まとめ
-
WAFはWebアプリ層の防御に特化したファイアウォール
-
SQLiやXSSなど主要攻撃を遮断可能
-
導入形態はクラウド型が手軽、オンプレ型は高度制御が可能
-
侵入防止だけでなく**多層防御(Defense in Depth)**の一部として活用すべき