WAFの仕組みを解説！他のセキュリティ対策との違いは？

2019年03月11日最終更新
WAFの製品一覧

WAFはWebサービスを提供する企業に欠かせないセキュリティ対策の一つです。しかし、その仕組みやファイアウォール・SSLなどとの違いについてよく知らない人も多いでしょう。

そこで、この記事ではWAFの仕組みやほかのセキュリティ対策との違い、WAFの種類まで幅広く解説します。ぜひ、強固なセキュリティを実現する参考にしてください。

WAF の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAFの資料請求ランキングで製品を比較！今週のランキング第1位は？

WAFの仕組み

WAFはどのような仕組みなのでしょうか。

ブラックリスト方式：シグネチャで危険なHTTP通信を判断

ブラックリスト方式は、シグネチャをもとに危険な通信か判断する方法です。

シグネチャとは悪質な通信を定義したファイルです。このファイルの情報をもとに、Webサイト・Webサービスに対して要求された通信（HTTP・HTTPS通信）が悪質なものでないか精査します。

シグネチャは過去の攻撃パターンをもとに作成されています。それらのパターンに一致しないものは排除できません。そのため、セキュリティベンダーがシグネチャ内容を更新することで新しい脅威への対策が実現します。

ホワイトリスト方式：事前設定で特定の通信だけを許可

ホワイトリスト方式は、ユーザーが設定した通信だけを許可する方式です。ブラックリスト方式との違いは以下のようになります。

ブラックリスト方式: 悪質な通信を排除
ホワイトリスト方式: 正常な通信を許可

ホワイトリスト方式の強みは未知の脅威にも対抗できることです。ブラックリスト方式ではシグネチャに情報がない脅威を悪質と判断できません。しかし、ホワイトリスト方式では正常と定義したもの以外はすべて排除の対象となります。

ただし、正常な通信を定義するのは難しく、管理や運用が大変です。

WAFと他のセキュリティ対策との違い

WAFはほかのセキュリティ対策とどう違うのでしょうか。

ファイアウォール：ネットワーク層の保護

WAFは「Web Application Firewall」の略で、ファイアウォールの一種といえます。両者には以下の違いがあります。

ファイアウォール: ネットワーク層の保護
WAF: Webアプリケーション層の保護

ファイアウォールは外部から社内ネットワークへの攻撃阻止などに有効です。一方、WAFはWebサイトやWebサービスなど、外部に公開しているものを保護できます。より外側の層を守るセキュリティ対策といえるでしょう。

IPS・IDS：ミドルウェア層の保護

WAFとIPS・IDSには以下の違いがあります。

WAF: Webアプリケーション層の保護
IPS・IDS: ミドルウェア層の保護

ミドルウェア層とはその名の通り、中間的な層のことです。IPS・IDSは、WAFとファイアウォールの間の層を保護します。具体的な保護対象はソフトウェアやOS、Webサーバなどです。

ファイアウォール、WAF、IPS・IDSは保護対象とする層が異なり、役割が補完関係にあります。強固なセキュリティを実現するためには、組み合わせて利用しなければなりません。

SSL：ユーザの保護

SSLとWAFには以下の違いがあります。

SSL: ユーザーの保護
WAF: Webサイト・サービスの保護

SSLはWebサイトではなく、Webサイトのユーザーを守る仕組みです。ユーザーが問い合わせフォームやアカウント登録フォームに入力した内容を暗号化し、第三者からの傍受を防ぎます。

従来はクレジットカード番号など重要な個人情報を扱うページにのみ導入されていましたが、近年ではすべてのページのSSL化が理想と言われています。

WAFの種類

WAFにはどのような種類があるのでしょうか。

アプライアンス型WAF

アプライアンス型は、専用サーバやWAFをインストールした汎用サーバを設置するタイプです。ネットワーク上でWebサーバの前面に設置することで、ユーザーにWAFを経由させ、その通信内容を精査します。後述するほかの方法よりも、導入は大掛かりといえるでしょう。

以下のようなメリット、デメリットがあります。

【メリット】

■専門の技術者により柔軟にカスタマイズ可能
→安全性を高められる

【デメリット】

■WAF用のサーバなど設備を整える必要あり
→費用がかかる

ホスト型WAF

ホスト型WAFは、Webサーバに直接WAFをインストールするタイプです。WAF用のサーバを準備する必要はありません。そのため、以下のようなメリット、デメリットがあります。

【メリット】

■ハードウェアを用意しなくてもいい
→初期費用が安い

【デメリット】

■Webサーバの台数分だけ必要になる
→運用台数が増えると費用がかかる
■攻撃を遮断する際サーバに負荷がかかる
→パフォーマンスの低下へつながる可能性あり

クラウド型WAF

クラウド型WAFは、Webサービスとして提供されるWAFです。そのため、アプライアンス型やホスト型のように自社で何かを整える必要はありません。クラウド型WAFには以下のメリット、デメリットがあります。

【メリット】

■専用機器の購入不要
→初期費用が安い
■導入や運用の手間が少ない
→負担が減る

【デメリット】

■セキュリティの質はベンダーに委ねられる

WAFの仕組みを知って対策を万全に行おう

WAFはファイアウォールやIPS・IDS、SSLとは異なる層を保護します。そのため、いずれか一つに頼るのではなく、組み合わせて利用しましょう。

また、WAFにはアプライアンス型、ホスト型、クラウド型があります。ぜひ、コストやメリットを考慮し、自社に適したWAF製品を見つけてください。

WAF の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAFの資料請求ランキングで製品を比較！今週のランキング第1位は？

WAFにおけるホワイトリスト方式とブラックリスト方式とは

WAFの種類と3つの選び方とは|検知方式や必要性もやさしく解説！

WAF導入の注意点とは|誤検知・チューニングコストについて解説！

WAFによるXSS（クロスサイトスクリプティング）攻撃の対策とは

WAFとは？仕組みやメリットなど初心者でもわかるように解説！

WAFでゼロデイ攻撃は防げるのか？有効なセキュリティ対策を紹介

WAFの機能とは｜防げる攻撃や検知方式も同時に解説！

WAFによるパスワードリスト攻撃対策|ケーススタディで深い理解を

WAFで防御可能な攻撃とは？パスワードリスト攻撃からXSS攻撃まで！

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「WAFの仕組みを解説！他のセキュリティ対策との違いは？」というテーマについて解説しています。WAFの製品導入を検討をしている企業様は、ぜひ参考にしてください。

3月18日(月) 更新
	世界の専門家達が認めたグローバル・スタンダード。クラウド型WAFcloudbric ペンタセキュリティシステムズ株式会社
	WAF＋DDoS対策＋FW＋IDS/IPS＋[SOC運用]＝NTTPCのクラウド型WAF 株式会社エヌ・ティ・ティピー・シーコミュニケーションズ
	Web アプリケーションファイアウォールFortiWeb 株式会社ピーエスアイ
一覧を見る

WAFの仕組みを解説！他のセキュリティ対策との違いは？

WAFの仕組み

ブラックリスト方式：シグネチャで危険なHTTP通信を判断

ホワイトリスト方式：事前設定で特定の通信だけを許可

WAFと他のセキュリティ対策との違い

ファイアウォール：ネットワーク層の保護

IPS・IDS：ミドルウェア層の保護

SSL：ユーザの保護

WAFの種類

アプライアンス型WAF

ホスト型WAF

クラウド型WAF

WAFの仕組みを知って対策を万全に行おう

関連記事