• TOP
  • 特集記事
  • WAFの仕組みとは?基礎知識から利用方法までわかりやすく解説

WAF

WAFの仕組みとは?基礎知識から利用方法までわかりやすく解説

WAF

WAFの仕組みとは?基礎知識から利用方法までわかりやすく解説

最終更新日:2025-04-11

Webサイトの防御のためにWAFはそろそろ入れないとまずいかな、簡単に入れる方法がないかなという方へ、WAFについて基本的な仕組みから、安価に手軽に導入できる方法までをご紹介します。

“WAF”の 一括資料ダウンロードする(無料)

 

目次

WAFとは?

WAFとは、Webアプリケーションの脆弱性を狙った攻撃を検知・遮断し、Webサイトを保護するセキュリティサービスです。「Webアプリケーションファイアウォール(Web Application Firewall)」の略称で、WAF(ワフ)と呼ばれています。通常のファイアウォールと異なり、通信内容をアプリケーションレベルで検査できるのが特長です。

Webアプリケーションの開発時には、主要な悪意ある攻撃を想定して脆弱性対策を施しますが、完全かつ完璧に網羅するのは困難です。日々進化する攻撃手法からの防御手段としてWAFを活用することが増えています。

WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

“WAF”の 一括資料ダウンロードする(無料)

 

クラウド型WAFとは?

クラウド型WAFは、導入のしやすさから近年よく取り入れられている形態です。

インストール型WAFは、WAF専用のサーバーを用意、あるいはWebサーバーに同居するかたちにしてインストールして利用するため、自社で運用管理する必要があり、コストや工数がかかるのがネックです。

一方、クラウド型WAFは、専用ハードウェアやネットワーク構成変更が必要なく、DNS切り替えのみですぐに利用開始できます。WAFの運用やソフトウェアのアップデート、サーバー管理などをサービス提供事業者に任せることができるため、手間がかからないのがメリットです。

運用負荷をできるだけ抑えたいという場合は、クラウド型WAFの導入が有力候補になるでしょう。

 

WAFで防御できるサイバー攻撃

様々なサイバー攻撃のうち、主にWAFで防御できるのはWebアプリケーションへの攻撃です。どのような攻撃があるのか、以下の表にまとめました。

攻撃名 概要とWAFでの防御方法
SQLインジェクション ユーザー入力にSQL文を埋め込み、DBを不正操作する攻撃。入力内容を検査・遮断することで、攻撃を防ぐ
OSコマンドインジェクション 不正なOSコマンドを実行させる攻撃。不正な文字列やパターンを検出してブロックする
クロスサイトスクリプティング Webページに悪質なスクリプトを挿入する攻撃。HTMLタグやスクリプトの挿入を検知し、攻撃を無効化する
ディレクトリトラバーサル ディレクトリ内部に不正アクセスして、ファイルを閲覧・書き換えする攻撃。異常なパス指定を検出・ブロックする
ゼロデイ攻撃 発見された脆弱性を解消するまでの期間(ゼロデイ)に行われる攻撃。仮想パッチや振る舞い検知で一部対応可能
ブルートフォースアタック 総当たりでログインを試みる攻撃。レート制限・IPブロック機能で一部対応可能
パスワードリストアタック 流出パスワードを使ってログイン試行する攻撃。レート制限・IPブロック機能で一部対応可能

 

WAFの仕組みと防御方法

攻撃手法が一口に「SQLインジェクション」や「OSコマンドインジェクション」といっても、Webアプリケーションの脆弱性のどこを狙っているか、どのような攻撃をしているかは様々です。

そこで、WAFでは攻撃手法に対して、不正な通信・不正な攻撃のパターンをまとめた定義ファイルである「シグネチャ」を用いて、防御を行います。動作としては、ウィルス対策ソフトウェアのパターンファイルと同様で、既に知っている攻撃手法に対する防御方法が用意されており、該当攻撃が行われると、その通信の遮断等を行うとともに、アラート通知が行われます。

もちろん、日々新たな攻撃方法が生まれますので、シグネチャを継続的に更新し続ける必要があります。そのため、WAFの選び方で重要なのは、最新のシグネチャが作成されるタイミング・頻度や、その精度です。

WAFはWebアプリケーションの防御向けなので、Webアプリケーションの前に設置する必要があります。ただし、物理的に近くに置く必要はなく、守りたいWebサイトのURLをWAFのサーバーにして、WAFで通信をチェックした上で、WAFからWebサイトのサーバーにつなげるかたちになります。そのため、インターネット上のWebサイトにおいては、クラウドWAFを用いて防御できるようになります。

 

ファイアウォールやIDS/IPSとの使い分け

攻撃の防御として重要なファイアウォールは、防御できる範囲が異なるので、併用して利用することになります。ファイアウォールは、IPアドレスやポートを見て通信を許可するか決め、不正侵入検知システムであるIDS/IPS*は、OSやWebサーバー等の脆弱性を狙った攻撃を防ぐのが中心であり、Webアプリケーションの動作までは見ていません。WAFは、Webアプリケーションの防御専門のため、ファイアウォールやIDS/IPSと併用して利用することになります。

* IDS(Intrusion Detection System)は不正侵入検知システム、IPS(Intrusion Prevention System)は不正侵入防止システムであり、IDSは検知まで、IPSは防御までをそれぞれ行います。

IDS/IPSについては、「IDS/IPSの比較11選!ほかのセキュリティ対策との違いや選び方を解説」で詳しく解説しているので、ぜひご参照ください。

 

WAFのメリット

個人情報や決済情報などの重要な情報をWebで扱う際に、WAFはほぼ必須と言えます。導入することで、主に以下のようなメリットが期待できます。

Webアプリケーションの脆弱性を補完できる

Webアプリケーションにすべての攻撃を想定した防御策を実装するのは、開発コストや時間の面から現実的ではありません。そのため、WAFを導入することで、アプリケーションに存在する脆弱性を補完し、外部からの攻撃を即時にブロックするという対策が有用です。アプリケーション側での対策と併用することで、より堅牢なセキュリティを実現できます。

取引先の信頼確保

法人向けのWebサービスの場合、各社のセキュリティ・ポリシーに合致したサービスであるか、セキュリティ・チェックリストで確認を受ける場合があります。その中に、「WAFを用いた対策が行われているか」という項目があることが多いため、取引先に安心して利用してもらうためにもWAFの導入が欠かせません。

 

WAFのデメリット

勝手に通信を遮断してしまう可能性がある

正式な運用開始前のセットアップ時のあるあるだと思いますが、WAFを入れたらなぜかWebサイトにつながらない、ということがあります。その要因としては、WAFをWebサイトの前に入れるためのDNSの設定ミスということや、WAFが正常な通信を誤検知してしまい、勝手に通信を止めてしまうこともあります。原因がわかってDNSの設定や、WAFでの通信の除外設定等を行えば解決するのでしょうが、そこに至るまでに時間を費やしてしまうことはあり得ます。

Webサイトへのアクセススピードが遅くなる

Webサイトへの通信をパケットレベルで解析するので、通信量が増えると、解析が追い付かず、サイトへのアクセスが遅くなる、という事態が想定されます。Webサイトへのアクセススピードは、快適なWebサービスには不可欠なので、WAFがボトルネックにならないようにする必要があります。そのため、定期的に、WAFの負荷をモニタリングするとともに、負荷が高いようであれば、CPUやメモリをアップグレードする等の対策が必要です。

場合によっては運用に手間がかかる恐れあり

前述の通り、WAFがWebサイトへのアクセスを阻害する可能性があるため、そのような気配がないか日々の負荷率の確認や、攻撃を正しく検知できているか、ログの確認が必要になります。負荷かかる恐れがないのであれば、ある程度そのままでもWAFは運用できますので、必ずしも手間になるとはいえませんが、セキュリティを高めるという観点では、ログの点検や攻撃を検知した場合のアラート内容の確認やそれに基づいた対策の実施等、やるべき作業が発生します。

 

WAFを手軽に利用する方法

ある程度予算があるのであれば、導入や運用管理の負荷が高くないクラウド型WAFの利用がおすすめです。

予算がそれほどなく、安価になんとかWAFを利用したいという場合であれば、IaaS等のクラウドサーバーを提供しているサービスの中のWAFが安価です。

AWS WAF

アマゾン・ウェブ・サービス(AWS)のWAFである「AWS WAF」は、セットアップがすぐに行え、範囲が小さければ月額数千円からでも利用できる安価なサービスです。

AWSに慣れた方であればそんなに問題ありませんが、AWSやIaaS等に慣れていない方には、セットアップ作業に最低限の知見が必要なのです、少し時間がかかる可能性があります。

なお、WAFの場合はルール設定に苦戦することがありますが、「マネージドルール」という、おすすめの設定が予め作成されているオプションを選ぶのもおすすめです。

SiteGuard Server Edition(さくらのクラウドサービスで利用)

WAFの中でも実績あるソフトウェアである「Site Guard」は、WAFを選ぶ際に有力な選択肢になりますが、導入費用が1ライセンスで年間約25万円と、気軽とは言えない可能性があります。

ところが、さくらインターネット社のクラウドサーバーである「さくらのVPS」や「さくらのクラウド」であれば、「SiteGuard Server Edition」に関しては、無料で利用できるようになっています。「さくらのVPS」は、月額1,000円以下からでも利用できるサービスのため、低価格でWAFを利用することができます。

WAFの複雑なルール設定も不要で使い始めることができますので、月額10,000円以内でWebサーバーの用意から、WAFの準備まで手軽に行いたいという場合は、有力な選択肢になります。

 

WAFの運用管理を任せる方法

「複数システムを運用しているため、WAFの設定やチューニングにかかる負荷を軽減したい」「問題発見時に迅速に対応できる専門人材がいない」といった場合には、有人監視付きのWAFを利用するのも手です。

例えば、「マネージドWAFサービス(セコムトラストシステムズ株式会社)」では、WAFの導入に加えて、24時間365日の有人監視、シグネチャ更新、ポリシーの変更管理、万が一の障害対応や月次レポートなどもセットで提供されています。

また「GMOサイバーセキュリティ WAFエイド(GMOサイバーセキュリティ byイエラエ株式会社)」のように、高度な独自シグネチャや自動遮断機能によって、WAFの運用を自動化できるサービスも。

 

まとめ

WAFは、Webアプリケーションを標的とした高度なサイバー攻撃から守るための必須対策です。近年、ランサムウェアの巧妙化、生成AIを悪用したフィッシング、地政学リスクによるサイバー攻撃の激化といった脅威が増加傾向に。こうした中、導入が容易なクラウド型WAFの需要が高まり、AIを活用した検知精度の向上も進んでいます。

WAFを導入することで、主に以下のようなメリットが期待できます。

  • Webアプリケーションの脆弱性を補完できる
  • 取引先の信頼確保

また、WAFを効果的に運用管理するには、詳細なルール設定やチューニング、シグネチャの更新といった手間がかかります。社内リソースが不足している場合は、運用負荷軽減に強みを持つサービスを選ぶのがおすすめです。サイバー攻撃からWebアプリケーション、ひいてはユーザーを守るために、WAFの導入をぜひ検討してみてください。

WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

“WAF”の 一括資料ダウンロードする(無料)

 

インタビューやサービス詳細はこちら

BLUE Sphere(ブルースフィア)|インタビュー掲載

株式会社アイロバ

クラウド型のWAF/DDoS防御/改ざん検知機能を備えた総合セキュリティサービス。Webサイトのあらゆる脅威にオールインワンのセキュリティで対応できます。...

Cloudbric WAF+

ペンタセキュリティ株式会社

企業のWebシステムを守る一石五鳥のWebセキュリティ・プラットフォーム・サービス。社内にセキュリティ専門家がいなくても手軽に運用・導入ができます。...

攻撃遮断くん

株式会社サイバーセキュリティクラウド

導入サイト数20,000以上。トップクラスの実績を持つ国産クラウド型WAF。あらゆるWebシステムに導入でき、複数サイトでも定額利用可能。24時間365日、日本...

SiteGuard Cloud Edition

EGセキュアソリューションズ株式会社

15年以上の販売実績を持つソフトウェアメーカーが提供するマネージド型純国産WAF。SiteGuardシリーズは累計導入サイト数150万サイト超、国内WAF市場シ...

Ray-SOC WAF

株式会社レイ・イージス・ジャパン

独自開発の高度なAIエンジンを搭載し、ヘッダーやボディに埋め込まれた高度な攻撃を防御するクラウド型のWebアプリケーションファイアウォール(WAF)Ray-SO...

GMOサイバーセキュリティ WAFエイド

GMOサイバーセキュリティ byイエラエ株式会社

AWS WAFおよびCloudflare WAFに対応した、WAFの自動運用サービス。高度な検知シグネチャや自動遮断機能を備え、専門知識がなくても効果的なWAF...

記事をシェア

  • Facebook
  • Twitter
  • LINE


CLOSE
ログイン

<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。

会員パスワード変更

アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。

再設定依頼メール送信完了

パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。

メールが届かない場合

ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。

ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。

CLOSE
登録完了

ご登録いただき、ありがとうございました。
資料ダウンロードを選んだ方は、送信されたメールのURLをクリックして資料をダウンロードしてください。

CLOSE
更新完了

登録内容を変更しました。

CLOSE
アンケートにご回答ください。

サービスの導入検討状況を教えて下さい。

本資料に含まれる企業(社)よりご案内を差し上げる場合があります。

  • 資料請求後に、当該資料に含まれる「サービス提供会社」や弊社よりご案内を差し上げる場合があります。
  • ご案内のため、アスピックにご登録いただいた会員情報を弊社より「サービス提携会社」に対して電子データにて提供いたします。
  • 利用規約プライバシーポリシーに同意の上、ダウンロードいただきます。
CLOSE
ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。
ご確認ください。