WAFとは | ファイアウォールやIPS/IDSとの違いと関係性・仕組みや導入方法

公開日:
最終更新日:
WAFは多様化するサイバー攻撃の脅威から自社のWebサイトやシステムを守るセキュリティシステムです。ファイアウォールやIPS/IDSとの違いや関係性を明らかにするとともに、その仕組みや役割、導入方法を解説します。※初回公開日:2017/06/28
セキュリティWAF
Large

WAFを使ったセキュリティ強化

多様化するサイバー攻撃の脅威から自社のWebサイトやシステムを守るためには、セキュリティの強化が不可欠だとお考えなのではないでしょうか。特に最近では総合的なセキュリティの構築に注目が集まっています。

関連記事
今さら聞けないファイアウォールとは?セキュリティ基礎知識・仕組み・種類

Webアプリケーションを不正な攻撃から守る、WAF(ウェブアプリケーションファイアウォール)もそのひとつ。WAFの特徴や導入効果はもちろん、他のセキリュティとの違いなどを詳しく理解し、総合的なセキュリティについて考えてみましょう。

WAFとは

WAFとはウイルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防御するセキュリティの一種です。

WAFとは「Web Application Firewall(ウェブアプリケーションファイアウォール)」の略称で、頭文字をとってWAF(ワフ)と呼ばれています。WAFとはその名のとおりWebアプリケーション特化型のセキュリティソリューションです。

その対象は、ネットショッピングなどのユーザー/Webサイト間のデータ送受信や、SNSログインなどのユーザーリクエストに対し、動的ページが生成されるWebサイトなどになります。

WAFの役割と特徴

それでは、さまざま通信レイヤーのあるネットワークで強固なセキュリティを確保するため、WAFはどのような役割を持ち、どのような特徴を備えているのでしょうか。

詳細は後述しますが、多様化するサイバー攻撃を防ぐため、WAFでは以下のようなセキュリティソリューションが通信レイヤーごとに活用されています。

  • ファイアウォール:ネットワークレベルの保護
  • IPS/IDS:サーバOS/ミドルウェアレベルの保護
  • WAF:Webアプリケーションレベルの保護

つまり、WAFはWebアプリケーションの前面に配置されるという特徴を持ち「ファイアウォール」「IPS/IDS」で保護が不可能な攻撃を、アプリケーションレベルで解析することにより無効化するという役割を持っているのです。

以下の記事では、WAFの役割と特徴についてより詳しく解説しています。

WAFの導入事例 | サイバー攻撃を無害化するWAF活用術 | ボクシルマガジン
Webアプリケーションのぜい弱性を狙った悪質なサイバー攻撃が後を絶たない中、効果的な対策としてWAFが注目されてい...

WAFの基本的な仕組み

これも詳しくは後述しますが、WAFには「Webアプリケーションの前面に配置する」方法によって、以下の3種類が存在します。

  • アプライアンス型
  • ソフトウェア型
  • クラウド型

いずれのタイプも、シグネチャと呼ばれる「不正な通信や攻撃パターンなどを定義したファイル」を持ち、アクセスをシグネチャと照らし合わせることで悪意ある攻撃を判断する、という仕組みによってWebアプリケーションを保護します。

以下の記事では、WAFの基本的な仕組みについてより詳しく解説しています。

WAFとは何か?セキュリティの仕組み・導入事例を解説、IPS・IDSとの違いは? | ボクシルマガジン
Webアプリケーションに対する不正アクセスに対応するためのセキュリティ対策製品WAFについて解説します。

悪意のある攻撃は、Webサイトのセキュリティ欠陥(=ぜい弱性)を狙って行われます。

もっとも望ましいのはその欠陥自体を修正することですが、何らかの理由で修正を行えないというケースは少なくありません。しかし、WAFを用いることで防御対策を行えます。

WAFに関して知っておきたい用語一覧はこちらをご覧ください。

クラウドWAF徹底比較13選【価格&機能比較表あり】 | ボクシルマガジン
Webサイトを外部攻撃から守るセキュリティ対策ツール「WAF」を徹底解説。 ツールの比較紹介とともに、WAFを理解...

WAF製品の選び方はこちらの記事をご覧ください。

WAF製品の比較22選 | 選び方や導入のポイントも解説 | ボクシルマガジン
近年急速に需要が高まり、セキュリティ対策の主幹を担うようになった「WAF」。厳選された22製品を比較するとともに、...

WAF製品の選び方ガイドは、本記事の一番下に掲載しています。ぜひ参考になさってください。

WAFとその他のセキュリティの特徴と役割の違い

それでは、上述したファイアウォールやIPS/IDSは、WAFと何が違うのでしょうか。それぞれの役割と違いをおさらいしましょう。

ファイアウォール

ファイアウォールは、ネットワークにおいて不正アクセスを防御するセキュリティです。

IPアドレスやポート番号など、通信時にやりとりされる送信先および送信元の情報からその通信を許可するかどうかを判断し、内部ネットワークへの侵入を防ぐ役割を担います。

IPS/IDS

IPS/IDSは、OSやミドルウェアなどプラットフォームレベルでのセキュリティであり、それぞれInstrusion Detection System(=IDS)とIntrusion Detection and Protection System(=IPS)が正式名称です。

ホスト型とネットワーク型にわかれ、防御範囲の広さが特徴です。設置場所によって役割は多少異なりますが、不正アクセスの監視、攻撃の検知および防御を行います。異常を検知すると管理者へ通知。万一の際に迅速な対応を行うことを目的として用いられます。

3つの総合防御壁

ファイアウォール、IPS/IDS、WAFには、それぞれに守備範囲と得意分野があるということがわかりますが、重要なのはどれが優れているかではなく、すべてが必要であるということです。

それぞれの領域で防御が機能することによって、より強固なセキュリティの壁が作られるということです。

多様化するサイバー攻撃の防御には、ファイアウォール、IPS/IDS、WAFの3つの壁を利用する、総合的なセキュリティ構築が求められています。

種類別に見たWAFの特徴と導入・運用方法

WAFには大きく3つのタイプあり、導入および運用方法の違いでアプライアンス型、ソフトフェア型、クラウド型にわかれます。

アプライアンス型

防御に必要な専用機器(=ハードウェアアプライアンス)をネットワーク上に設置し、ソフトウェアを組み込んで利用する方法です。アプライアンスの購入と設置に併せ、運用も自社で行う必要があるため、トータルコストは他のWAFと比較するともっとも高くなります。

一方でネットワーク上での構築となることから、大規模でも高いコストパフォーマンスが期待できます。

ソフトウェア型

既存のサーバーにソフトウェアをインストールするタイプのWAF。専用機器の設置が不要のため、導入コストの削減や短期間での導入が可能です。

ただし、ソフトウェアのインストールはサーバーごとに行う必要があるため、規模とコストが比例します。システム規模の見通しを誤ると運用コストが膨らみ続けるため、導入には十分な検討が必要です。運用はアプライアンス型と同じく自社で行います。

クラウド型

クラウド型WAFはサーバーの構築や機器の購入などが不要で、ネットワークの設定変更を行えば導入できるタイプ。費用面や導入期間などを比較すると、3タイプの中でもっとも効率的な運用が行えるのがクラウド型です。

また自社での運用も不要で、予算の見通しが立てやすい点も特徴。これらのメリットからクラウド型を選択する企業が増えており、近年セキュリティ市場で急成長を遂げています。

おすすめのWAFサービス

WAFは種類によって導入方法や特徴が異なり、自社の状況に適したサービスを選ぶ必要があります。以下でおすすめのWAFサービスを紹介するので、ぜひ参考にしてください。

また、本記事で紹介しきれなかったクラウドWAFのおすすめサービスとさらなる詳細についてはこちらから無料でダウンロード可能です。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
WAFの資料を無料DL

マネージドセキュリティサービス for Imperva Incapsula


  • 専門アナリストによるアラート分析
  • レポートでセキュリティ情報把握
  • チューニング設定代行で負荷軽減

マネージドセキュリティサービス for Imperva Incapsulaは、ソフトバンク・テクノロジーのクラウドWAFサービス「Imperva Incapsula」の運用・監視をセキュリティ専門アナリストが24時間365日代行してくれるマネージドサービスです。

アラートを検知すると、専門アナリストが内容を分析して重要なアラートだけを通知してくれます。独自のフォーマットによるレポートで、 Incapsula の統計情報やインシデント履歴情報などの把握が可能です。Incapsulaの設定変更やチューニング設定も代行してもらえるので、自社の負荷軽減とシステム最適化を同時に図れます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
マネージドセキュリティサービス for Imperva Incapsulaの資料を無料DL

AIONCLOUD 無料で始めるWAFサービス


  • 強力なセキュリティでウェブサイトを保護
  • マルウェア拡大を防止
  • リーズナブルな価格でシステム構築

AIONCLOUDは、無料ではじめられるクラウドWAFサービスです。

直感的なUIでウェブサイトのトラフィックや訪問回数、攻撃などの詳細なステータスをリアルタイムに監視でき、あらゆる攻撃からウェブサイトを保護します。マルウェアを検出した場合は素早いアクションでその拡大を防止し、ウェブサイトスレットを学習することで未知の不正に対してもセキュリティ保護が可能です。

無料ではじめられる月間5GBまでのプランがあり、5GBを超える場合はビジネス規模に応じたプランを選択できるほか、従量課金プランもあります。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
AIONCLOUDの資料を無料DL

WAFの必要性と導入効果

不正な攻撃はだれもが受けたくありません。それは当然ですが、なぜWAFが必要なのでしょうか。そしてWAFの導入には、どのような効果が期待できるのでしょうか。

なぜ今WAFが必要なのか?

現在の一般的なWebサイトやシステムには、ほとんどと言っても過言ではないほど、Webアプリケーションが使われています。つまり外部ネットワークとつながっているものは、すべて攻撃の対象になる可能性があるということです。

実際に、改ざんなどによる被害を受けた企業も多数存在しています。機密情報の漏えいやネットワークへの侵入など、企業が大きな損害から身を守る手段としてWAFによる防御が求められているのです。

WAFの導入で期待できる効果とは

1. さまざまな攻撃からの防御

DDoS攻撃、バッファオーバーフロー、SQLインジェクション、クロスサイトスクリプティング、ディレクトリトラバーサル、ブルートフォースアタック…。Webサイトへの攻撃にはさまざまなものがあります。

WAFは一般的なファイアウォールでは防御できない攻撃にも対応可能です。WAFの提供を行う企業が、最新の攻撃にも迅速に対応する仕組みを整備しており、常に最先端の防御体制でWebサイトを攻撃から守れます。

DDos攻撃とは | Dos攻撃との違い・対策・サービス【図解】 | ボクシルマガジン
「DDos攻撃」と「Dos攻撃」の違いとは?サーバーダウンを招く両者の攻撃パターンの概要や違い、対策や対処法までを...

2. ぜい弱性が修正されるまでの予防策

Webアプリケーションにぜい弱性が発見された場合、不正な攻撃を受けるリスクはいっそう高まります。また、オープンソースのプログラムを利用している場合など、自社では対応ができないケースも考えられます。

WAFはそのような状況に備えた予防策としても力を発揮します。WAFを導入していれば、根本的な解決ができるまでの間も、安心してWebアプリケーションを利用できます。

3. 他では防御できないWebアプリケーションの領域が専門

悪意のある攻撃からシステムを守るセキュリティシステムはいくつか存在しますが、それぞれの防御には得意分野があり、WAFにもWAFにしか守れない領域を持っています。

WAFが専門とするのは、Webアプリケーションの領域。送信元とWebサーバーの間で通信内容を監視し、Webアプリケーションへの攻撃を未然に防ぎます。

4. 事後対策も万全

万一攻撃を受けてしまった場合、被害を最小限に抑えることもWAFには可能です。一般的に、Webサイトが攻撃によって被害を受けると、サービスを停止して復旧作業が行われます。その時間が長引けば長引くほど損失が拡大するため、いち早い復旧が求められます。

Webサイトが攻撃を受けると、WAFは素早い原因調査と問題の解消に貢献します。目の前にある危機を最小限の被害で食い止め、被害の拡大を防ぎます。

WAFの導入を検討される方へ

WAF はWebアプリケーションに特化することで優れた特徴を保有し、中でもクラウド型は導入も手軽です。またファイアウォールやIPS/IDSなど他のセキュリティと組み合わせることで、より高いセキュリティの構築が可能になることがわかりました。

情報漏えいや改ざんなどのリスクは、以前にも増して大きくなっています。甚大な損害が生じる前に、WAF導入の重要性と必要性について考えてみる必要があるのではないでしょうか。下記の記事では、導入をご検討されている方向けに、WAF製品について詳しく紹介しています。ぜひともご参考にしてくださいね!

WAF製品の比較22選 | 選び方や導入のポイントも解説 | ボクシルマガジン
近年急速に需要が高まり、セキュリティ対策の主幹を担うようになった「WAF」。厳選された22製品を比較するとともに、...

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

Article whitepaper bgS3 0
WAF
選び方ガイド
資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
Article like finger
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
月間1000万PV
掲載社数3,000
商談発生60,000件以上
この記事とあわせて読まれている記事