WAFの仕組みとは？ファイアウォールやIPSとの違い、種類も解説！

2020年05月08日最終更新
WAF（Web Application Firewall）の製品一覧

WAFはWebサービスを提供する企業に欠かせないセキュリティ対策の一つです。しかし、その仕組みについてよくわからないという方は多いのではないでしょうか。

そこで、この記事ではWAFの仕組みやほかのセキュリティ対策との違い、WAFの種類まで幅広く解説します。ぜひ、強固なセキュリティを実現する参考にしてください。

WAF（Web Application Firewall）の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

WAFの仕組み

WAFは、「Web Application Firewall」の略で、Webアプリケーションの前に置くファイアウォールです。

通信のパターンを定義した「シグネチャ」というファイルの情報をもとに、アクセスがシグネチャに定義されたパターンと一致した場合に通信の許可や拒否を行い、アクセス制限を行うという仕組みを持っています。

また、WAFの仕組みにはブラックリスト方式とホワイトリスト方式の二種類があり、それぞれでアクセス制限の方法が異なりますので、一つずつ見ていきましょう。

ブラックリスト方式：不正なアクセスを拒否する

ブラックリスト方式は、シグネチャにブロックすべき攻撃を登録し、それに合致するアクセスがあったときに通信を拒否する方式です。

ブラックリスト方式におけるシグネチャは過去の攻撃パターンをもとに作成されています。そのため、シグネチャに記載がない新しい攻撃には対処できません。そのため、セキュリティベンダーがシグネチャ内容を更新することで新しい脅威への対策が実現します。

ホワイトリスト方式：特定のアクセスだけを許可する

ホワイトリスト方式は、あらかじめシグネチャに許可する通信を設定し、それ以外の通信をすべてシャットアウトする方式です。

ホワイトリスト方式の強みは未知の脅威にも対抗できることです。ブラックリスト方式ではシグネチャに情報がない脅威を悪質と判断できません。一方で、ホワイトリスト方式では正常と定義したもの以外はすべて排除の対象となるため、正常なアクセスも拒否してしまうことがあります。

WAFと他のセキュリティ製品との仕組みの違い

WAFはほかのセキュリティ対策とどう違うのでしょうか。

ファイアウォール：社内ネットワークを守る

ファイアウォールは外部から社内ネットワークへの攻撃阻止などに有効です。一方、WAFはWebサイトやWebサービスが対象です。ファイアウォールではWebサイトやWebアプリケーションの対策が不十分なため、両方必要であるといえるでしょう。

WAFとファイアウォールの違いについては以下の記事も参考にしてみてください。

2020.05.08

WAFとファイアウォールの違いは？攻撃との関連も解説！

続きを読む ≫

IPS・IDS：Webサーバーを守る

IPS・IDSは、基本的にはWebサーバーに対する不正アクセスを検知し防御するシステムで、具体的な保護対象はソフトウェアやOS、Webサーバなどです。

ファイアウォール、WAF、IPS・IDSは保護対象とする層が異なり、役割が補完関係にあります。強固なセキュリティを実現するためには、組み合わせて利用しなければなりません。

IPS・IDSについてさらに詳しく知りたい方は以下の記事をご覧ください。

2020.03.24

IDS・IPS（不正侵入検知・防御）とは？違いや種類・仕組みを徹底解説

続きを読む ≫

もちろん、WAFで防げない攻撃を知らなければ、どのシステムと組み合わせればいいのかわかりません。以下の記事ではWAFで防げない攻撃を解説していますので、参考にしてみてください。

2020.05.08

WAFで防げない攻撃は？防げる攻撃と利用のポイントも解説！

続きを読む ≫

WAFの種類

WAFにはどのような種類があるのでしょうか。

アプライアンス型WAF

アプライアンス型は、専用サーバやWAFをインストールした汎用サーバを設置するタイプです。ネットワーク上でWebサーバの前面に設置することで、ユーザーにWAFを経由させ、その通信内容を精査します。

以下のようなメリット、デメリットがあります。

【メリット】: 専門の技術者により柔軟にカスタマイズ可能
→安全性を高められる
【デメリット】: WAF用のサーバなど設備を整える必要あり
→費用がかかる

ホスト型WAF

ホスト型WAFは、Webサーバに直接WAFをインストールするタイプです。WAF用のサーバを準備する必要はありません。そのため、以下のようなメリット、デメリットがあります。

【メリット】: ハードウェアを用意しなくてもいい
→初期費用が安い
【デメリット】: 攻撃を遮断する際サーバに負荷がかかる
→パフォーマンスの低下へつながる可能性あり

クラウド型WAF

クラウド型WAFは、Webサービスとして提供されるWAFです。そのため、アプライアンス型やホスト型のように自社で何かを整える必要はありません。クラウド型WAFには以下のメリット、デメリットがあります。

【メリット】

・専用機器の購入不要
→初期費用が安い
・導入や運用の手間が少ない
→負担が減る

【デメリット】

セキュリティの質はベンダーに依存

クラウド型のWAFは今後主流になっていくと考えられます。以下の記事ではクラウド型WAFの製品例と特徴について詳しく解説していますので、ぜひ参考にしてみてください。

2020.10.08

クラウド型WAFのメリット・デメリットとは？導入前の注意点も解説！

続きを読む ≫

WAFの仕組みを知って万全な対策を！

WAFはシグネチャを使ってWebアプリケーションを保護するセキュリティシステムです。ファイアウォールやIPSなどと組み合わせて利用することで万全なセキュリティ対策を実現できるでしょう。

ただし、WAFを選ぶ際は製品から入ることが重要です。製品と自社のセキュリティ状況を照らし合わせ、最適なWAFを選ぶ必要があるでしょう。実際の製品例は資料請求することによって見ることができますので、下のボタンから資料を請求したうえで、じっくりと検討しましょう。

WAF（Web Application Firewall）製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

このカテゴリーに関連する記事

WAFとは？初心者にもわかりやすく一から徹底解説！

WAFにおける「シグネチャ」とは？初心者にわかりやすく解説！

WAFとSSLの関係性とは？証明書の必要性についても解説！

WAFとファイアウォールの違いは？攻撃との関連も解説！

WAFの機能一覧！WAFでできることや防げる攻撃も解説

WAFのホワイトリスト方式とブラックリスト方式では何が違うの？

【比較表付き】WAF製品17選を徹底比較！選定ポイントも解説！

無料OSSのWAF製品比較４選！メリットや注意点を分かりやすく解説

WAFによるXSS（クロスサイトスクリプティング）攻撃の対策とは

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「WAFの仕組みとは？ファイアウォールやIPSとの違い、種類も解説！」というテーマについて解説しています。WAFの製品導入を検討をしている企業様は、ぜひ参考にしてください。

1月18日(月) 更新
	一人情シスの味方！クラウド型WAF「Scutum」【Scutum（スキュータム）】株式会社セキュアスカイ・テクノロジー
	導入15,000件、Webサイトを守るクラウド型WAFクラウドブリック(Cloudbric) ペンタセキュリティシステムズ株式会社
	4,000円で始められるWebサイトセキュリティサービス！！AIONCLOUD 株式会社モニタラップ
一覧を見る