WAFの仕組みを解説！他のセキュリティ対策との違いは？

2019年03月11日最終更新
WAF（Web Application Firewall）の製品一覧

WAFはWebサービスを提供する企業に欠かせないセキュリティ対策の一つです。しかし、その仕組みやファイアウォール・SSLなどとの違いについてよく知らない人も多いでしょう。

そこで、この記事ではWAFの仕組みやほかのセキュリティ対策との違い、WAFの種類まで幅広く解説します。ぜひ、強固なセキュリティを実現する参考にしてください。

WAF（Web Application Firewall）の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

WAFの仕組み

WAFはどのような仕組みなのでしょうか。

ブラックリスト方式：シグネチャで危険なHTTP通信を判断

ブラックリスト方式は、シグネチャをもとに危険な通信か判断する方法です。

シグネチャとは悪質な通信を定義したファイルです。このファイルの情報をもとに、Webサイト・Webサービスに対して要求された通信（HTTP・HTTPS通信）が悪質なものでないか精査します。

シグネチャは過去の攻撃パターンをもとに作成されています。それらのパターンに一致しないものは排除できません。そのため、セキュリティベンダーがシグネチャ内容を更新することで新しい脅威への対策が実現します。

ホワイトリスト方式：事前設定で特定の通信だけを許可

ホワイトリスト方式は、ユーザーが設定した通信だけを許可する方式です。ブラックリスト方式との違いは以下のようになります。

ブラックリスト方式: 悪質な通信を排除
ホワイトリスト方式: 正常な通信を許可

ホワイトリスト方式の強みは未知の脅威にも対抗できることです。ブラックリスト方式ではシグネチャに情報がない脅威を悪質と判断できません。しかし、ホワイトリスト方式では正常と定義したもの以外はすべて排除の対象となります。

ただし、正常な通信を定義するのは難しく、管理や運用が大変です。

WAFと他のセキュリティ対策との違い

WAFはほかのセキュリティ対策とどう違うのでしょうか。

ファイアウォール：ネットワーク層の保護

WAFは「Web Application Firewall」の略で、ファイアウォールの一種といえます。両者には以下の違いがあります。

ファイアウォール: ネットワーク層の保護
WAF: Webアプリケーション層の保護

ファイアウォールは外部から社内ネットワークへの攻撃阻止などに有効です。一方、WAFはWebサイトやWebサービスなど、外部に公開しているものを保護できます。より外側の層を守るセキュリティ対策といえるでしょう。

IPS・IDS：ミドルウェア層の保護

WAFとIPS・IDSには以下の違いがあります。

WAF: Webアプリケーション層の保護
IPS・IDS: ミドルウェア層の保護

ミドルウェア層とはその名の通り、中間的な層のことです。IPS・IDSは、WAFとファイアウォールの間の層を保護します。具体的な保護対象はソフトウェアやOS、Webサーバなどです。

ファイアウォール、WAF、IPS・IDSは保護対象とする層が異なり、役割が補完関係にあります。強固なセキュリティを実現するためには、組み合わせて利用しなければなりません。

SSL：ユーザの保護

SSLとWAFには以下の違いがあります。

SSL: ユーザーの保護
WAF: Webサイト・サービスの保護

SSLはWebサイトではなく、Webサイトのユーザーを守る仕組みです。ユーザーが問い合わせフォームやアカウント登録フォームに入力した内容を暗号化し、第三者からの傍受を防ぎます。

従来はクレジットカード番号など重要な個人情報を扱うページにのみ導入されていましたが、近年ではすべてのページのSSL化が理想と言われています。

WAFの種類

WAFにはどのような種類があるのでしょうか。

アプライアンス型WAF

アプライアンス型は、専用サーバやWAFをインストールした汎用サーバを設置するタイプです。ネットワーク上でWebサーバの前面に設置することで、ユーザーにWAFを経由させ、その通信内容を精査します。後述するほかの方法よりも、導入は大掛かりといえるでしょう。

以下のようなメリット、デメリットがあります。

【メリット】

■専門の技術者により柔軟にカスタマイズ可能
→安全性を高められる

【デメリット】

■WAF用のサーバなど設備を整える必要あり
→費用がかかる

ホスト型WAF

ホスト型WAFは、Webサーバに直接WAFをインストールするタイプです。WAF用のサーバを準備する必要はありません。そのため、以下のようなメリット、デメリットがあります。

【メリット】

■ハードウェアを用意しなくてもいい
→初期費用が安い

【デメリット】

■Webサーバの台数分だけ必要になる
→運用台数が増えると費用がかかる
■攻撃を遮断する際サーバに負荷がかかる
→パフォーマンスの低下へつながる可能性あり

クラウド型WAF

クラウド型WAFは、Webサービスとして提供されるWAFです。そのため、アプライアンス型やホスト型のように自社で何かを整える必要はありません。クラウド型WAFには以下のメリット、デメリットがあります。

【メリット】

■専用機器の購入不要
→初期費用が安い
■導入や運用の手間が少ない
→負担が減る

【デメリット】

■セキュリティの質はベンダーに委ねられる

WAFの仕組みを知って対策を万全に行おう

WAFはファイアウォールやIPS・IDS、SSLとは異なる層を保護します。そのため、いずれか一つに頼るのではなく、組み合わせて利用しましょう。

また、WAFにはアプライアンス型、ホスト型、クラウド型があります。ぜひ、コストやメリットを考慮し、自社に適したWAF製品を見つけてください。

WAF（Web Application Firewall）の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

このカテゴリーに関連する記事

WAFにおけるホワイトリスト方式とブラックリスト方式とは

WAFとは？仕組みやメリットなど初心者でもわかるように解説！

WAF導入の注意点とは？検知・チューニングコストについて解説！

WAFで防げない攻撃は？絶対に知っておくべきセキュリティ対策

WAFとSSLの違いは？問題なく併用するにはどうすべき？

OSSのWAF製品比較４選！特徴や注意点を分かりやすく解説

WAFの種類と3つの選び方とは|検知方式や必要性もやさしく解説！

WAFの機能とは？防げる攻撃や検知方式も同時に解説！

WAFによるSQLインジェクション攻撃対策とは｜被害事例も解説！

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「WAFの仕組みを解説！他のセキュリティ対策との違いは？」というテーマについて解説しています。WAFの製品導入を検討をしている企業様は、ぜひ参考にしてください。

10月21日(月) 更新
	企業のビジネスを守るエンタープライズ・セキュリティの実現cloudbric ペンタセキュリティシステムズ株式会社
	国内のクラウド型WAF市場シェア連続 NO.1のWAF【Scutum（スキュータム）】株式会社セキュアスカイ・テクノロジー
	Webサービスを様々な脅威から守り安心・安全な運用をご提供secuWAF 株式会社セキュアイノベーション
一覧を見る