WAFで防御可能な攻撃一覧！Webサイトを脆弱性から守る方法とは？

2020年05月08日最終更新
WAF（Web Application Firewall）の製品一覧

WAFの存在は知ってるけど、どんな攻撃を防御できるかわからないという方は多いのではないでしょうか。どの攻撃を防御できるのか把握しておかなければ、WAFを最大限活用できません。

この記事では、WAFで防御できる攻撃について解説していきますので、WAFについてしっかり理解し、自社のセキュリティ対策につなげてみてください。

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

WAFとは

WAF（web application firewall）とは外部ネットワークからWebアプリケーションを守るためのセキュリティ製品です。ファイアウォールの一種で、Webアプリケーションのやり取りを検知・管理することで不正侵入を防御します。

Webアプリケーションはインターネットバンキングやネットショップなどで利用され、通常の企業サイトには関係ないと思われがちです。しかしWordPressやDrupalなど多くの企業サイトの構築に利用されているCMSも攻撃の対象となっています。

実際にサイト改ざんやユーザー情報の漏えいなど被害を受ける企業サイトは多く、これらの攻撃の防御対策としてWAFは必須アイテムとなっているのです。

WAFで防御可能な攻撃とは

次に、WAFがどういった攻撃を防御できるのかを具体的に見ていきましょう。

パスワードリスト攻撃

多くの人が複数サイトで同じログインID・パスワードを使っている状況を悪用し、他のサイトで入手したログイン情報を当て込み、不正にログインする攻撃です。この攻撃により、クレジットカード情報の流出や会員情報の流出など、企業の信用に関わる問題を引き起こします。

WAFでパスワードリスト攻撃を防御する方法については以下の記事を参考にしてみてください。

2020.03.18

WAFによるパスワードリスト攻撃の防御対策とは？事例を用いて解説！

続きを読む ≫

XSS（クロスサイトスクリプティング）攻撃

XSS（クロスサイトスクリプティング）攻撃は、掲示板や入力フォームのあるサイトに、不正なスクリプトを挿入し、マルウェアに感染させるサイトに誘導する攻撃です。これはWebサイトの脆弱性につけこんだ攻撃のため、WAFで防御できます。

XSSをWAFで防御する方法については以下の記事をご覧ください。

2020.03.18

WAFによるXSS（クロスサイトスクリプティング）攻撃の対策とは

続きを読む ≫

SQLインジェクション攻撃

データベースと連動するWebサイト・Webアプリケーション上でWebサイトに設置された入力フィールドにSQL文を入力するなど特定のコマンドを実行させ、データベースを操作する攻撃です。この攻撃によりデータベースの中にあるユーザー情報などを窃盗します。

SQLインジェクションも、Webサイトの脆弱性を利用した攻撃の一種であるため、WAFを活用することで防御できます。SQLインジェクション対策をしたい方は以下の記事を参考にしてみてください。

2020.05.08

WAFでSQLインジェクションは防げる？改ざんの事例や事後対策も解説！

続きを読む ≫

ディレクトリ・トラバーサル（パストラバーサル）

ファイル名を扱うようなプログラムに対して特殊な文字列を組み込みディレクトリ（フォルダ）を遡ることで、本来はアクセスが禁止されているディレクトリにアクセスします。また攻撃者は非公開のディレクトリにアクセスすることで個人情報や機密情報の窃盗を行います。

ディレクトリトラバーサルについてさらに詳しく知りたい方は以下の「Zip Slip」に関する記事を参考にしてみてください。

2019.11.28

「Zip Slip」とは？仕組みや対処法についてわかりやすく解説！

続きを読む ≫

DoS攻撃、DDoS攻撃

DoS攻撃、DDoS攻撃は、WebサイトやWebサーバの機能を停止させたり、攻撃を目的として不正にポートスキャンを行うものです。攻撃者の目的によっては長期間のサイト表示停止に追い込まれる危険もあります。

これらの攻撃については以下の記事で解説していますのでぜひ参考にしてみてください。

2019.11.28

DDoS攻撃への対策と最適ツールの選択方法とは！？

続きを読む ≫

POODLE攻撃

POODLE攻撃は脆弱性を悪用することで攻撃者はパスワードやクッキーにアクセスしWebサイト上にあるユーザーの個人情報を窃盗します。

このPOODLE攻撃による大きな被害は報告されていませんが、日々新種、亜種のウィルスやサイバー攻撃が発生する現代において、常に最新体制で防御することは大切です。特にWebサイトやWebサーバを狙う攻撃が増えている以上、WAFによる防御対策をしっかり行うことは企業としての重要な責務であるともいえます。

ここまで、WAFで防御できる防御できる攻撃について紹介してきましたが、実はWebアプリケーションの防御で圧倒的な強さを発揮するWAFでも防げない攻撃があります。以下の記事ではWAFでも防げない攻撃について解説していますので、WAFが完璧でないことも知った上で、対策を立てていきましょう。

2020.05.08

WAFで防げない攻撃は？防げる攻撃と利用のポイントも解説！

続きを読む ≫

WAFを利用してセキュリティを向上させよう！

これまでWAFで防げる攻撃について確認してきました。ファイアウォールを発祥とするWAFですが、その機能の豊富さや防御範囲の広さから、今ではすべての企業に必須のセキュリティアイテムと言えるでしょう。

WAFの導入を検討される方は、まず資料請求を行い、製品について知った上で自社の現状を把握し、自社にあった製品を導入するようにしましょう。

WAF（Web Application Firewall）製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

このカテゴリーに関連する記事

「WAFとは？」初心者にもわかりやすく一から徹底解説！

WAFにおける「シグネチャ」とは？初心者にわかりやすく解説！

WAFとSSLの関係性とは？証明書の必要性についても解説！

WAFのホワイトリスト方式とブラックリスト方式では何が違うの？

WAFとファイアウォールの違いは？攻撃との関連も解説！

無料OSSのWAF製品比較４選！メリットや注意点を分かりやすく解説

WAFの機能一覧！WAFでできることや防げる攻撃も解説

最新版WAF製品の比較17選【価格＆特徴比較表あり】選び方も解説

WAFで防げない攻撃は？防げる攻撃と利用のポイントも解説！

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「WAFで防御可能な攻撃一覧！Webサイトを脆弱性から守る方法とは？」というテーマについて解説しています。WAFの製品導入を検討をしている企業様は、ぜひ参考にしてください。

4月12日(月) 更新
	導入15,000件、Webサイトを守るクラウド型WAFクラウドブリック(Cloudbric) ペンタセキュリティシステムズ株式会社
	導入社数・導入サイト数国内No.1のクラウド型WAF【攻撃遮断くん】株式会社サイバーセキュリティクラウド
	一人情シスの味方！クラウド型WAF「Scutum」【Scutum（スキュータム）】株式会社セキュアスカイ・テクノロジー
一覧を見る