資料請求リストに製品が追加されていません。


IT製品の比較サイト|ITトレンド

資料請求リスト

資料請求
0件
  • ホーム
  • カテゴリーから探す
  • ランキングから探す
  • 記事を読む
  • セミナーを探す
  • はじめての方へ
  1. IT製品 比較TOP
  2. ネットワークセキュリティ
  3. WAF(Web Application Firewall)
  4. WAF(Web Application Firewall)の関連記事一覧
  5. WAFのホワイトリスト方式とブラックリスト方式では何が違うの?

WAFのホワイトリスト方式とブラックリスト方式では何が違うの?

Share
Tweet
Hatena
Pocket
2020年03月12日 最終更新
WAF(Web Application Firewall)の製品一覧
WAFのホワイトリスト方式とブラックリスト方式では何が違うの?

WAFのホワイトリスト方式とブラックリスト方式にはどんな違いがあるのかわからないという方は多いのではないでしょうか。両者には大きな違いがあるため、その違いを理解することが万全なセキュリティ対策には必須です。

この記事では、WAFホワイトリスト方式とブラックリスト方式の違いを紹介していますので、参考にしてみてください。

WAF(Web Application Firewall) の製品を調べて比較
製品をまとめて資料請求! 資料請求フォームはこちら
WAF(Web Application Firewall)の資料請求ランキングで製品を比較! 今週のランキング第1位は?

WAFとは?

WAFとは、従来のファイアウォールやIPSでは防御することができずに、すり抜けてきた攻撃を防ぐことができるセキュリティ対策製品です。特にWebアプリケーションの防御に特化しており、パターンのマッチングだけではなく、複雑・巧妙なサイバー攻撃にも対応できます。

WAFホワイトリスト方式とブラックリスト方式の違い

WAFのホワイトリスト方式とブラックリスト方式の違いは、検知方法です。ここではそれぞれの違いについて見ていきましょう。

ホワイトリスト方式

ホワイトリスト方式は、あらかじめ定義された正当パターンに該当する通信を許可する方式です。具体的には害のない安全な通信パターンを定義し、他の通信はすべてブロックします。

ホワイトリスト方式は定義した通信以外を遮断するため、攻撃パターンが変化してもリストの更新は必要ありません。また自動化された動的なホワイトリスト作成機能を利用すれば、管理コストを削減しつつ、強固な防衛体制で運用することが可能です。

ホワイトリスト方式のメリット

ホワイトリスト方式のメリットは、不正アクセスを確実に遮断できる点です。許可する通信のみを定義しているため、当然、不正なアクセスはその定義に一致することはありません。

ホワイトリスト方式のデメリット

一方で、ホワイトリスト方式のデメリットは、事前に定義しておかなければ、正常なアクセスだろうとブロックされてしまう点です。そのため、正常な通信も制御されてしまい、業務がストップするということが起こる可能性もあるでしょう。

ブラックリスト方式

「ブラックリスト」は、あらかじめ定義された不正パターンに該当する通信を検知・防御します。具体的にはシグネチャと呼ばれる定義された不正パターンのリストと通信を照合し、一致した通信をブロックします。

Webアプリケーションに対しては常に新しい攻撃手法が生み出され、企業のサーバが攻撃対象になっています。このためWAFではシグネチャ更新機能により、常に最新の状態で攻撃を検出できるようになっています。

ブラックリスト方式のメリット

ブラックリスト方式のメリットは、ホワイトリスト方式とは反対に、正常なアクセスを妨げることがないという点です。チューニングの強度によっては誤検知が発生する場合もありますが、誤検知は事前の設定で防げます。

ブラックリスト方式のデメリット

ブラックリスト方式の最大のデメリットは、新たな攻撃を通してしまう点です。とはいえ、WAFには事後対策の機能が備わっており、攻撃に対して被害を最小限に抑えることができます。

ホワイトリスト方式とブラックリスト方式、どちらを選ぶ?

ここまでホワイトリスト方式とブラックリスト方式の特徴を紹介してきましたが、どちらを選べばいいのでしょうか。

近年、Webアプリケーションは早い変化に対応するため、次々とバージョンアップが進んできています。そのため、Web通信の更新も当然早いペースで進む傾向にあるといえるでしょう。

そのため、許可する通信を更新しなければならないホワイトリスト方式よりも、異常が発生した場合にのみシグネチャを更新すればよいブラックリスト方式が一般的となっています。もちろん業種やサービスの更新頻度などによってはホワイトリスト方式という選択もありますが、現状中心となっているのはブラックリスト方式です。

ここまで、ホワイトリスト方式とブラックリスト方式について解説してきました。WAFを効果的に運用するためには、検知方式を気にするだけでは不十分です。以下の記事では運用のコツを詳しく解説していますので、ぜひ参考にしてみてください。

関連記事
WAF運用時の注意点とは?誤検知やコスト面に対処するコツも解説!

watch_later 2020.05.08

WAF運用時の注意点とは?誤検知やコスト面に対処するコツも解説!

続きを読む ≫

WAFの防御範囲

WAFはファイアウォールやIPSといったセキュリティ製品で対応できない攻撃に対応しています。では、WAFがどのような攻撃に対応しているのか、確認していきましょう。

SQLインジェクション

ウェブのセキュリティの脆弱なところを突き、データを不正に操作される攻撃です。操作される攻撃例をあげると、Webサイトの改ざん・アカウント漏洩・クレジットカード番号の流出につながります。

また以下の記事ではSQLインジェクション攻撃について詳しく解説しています。SQLインジェクション攻撃の仕組みや被害事例について理解を深めたい方は参考にしてください。

関連記事
WAFでSQLインジェクションは防げる?改ざんの事例や事後対策も解説!

watch_later 2020.05.08

WAFでSQLインジェクションは防げる?改ざんの事例や事後対策も解説!

続きを読む ≫

XXS(クロスサイトスクリプティング)攻撃

ユーザーが「悪意のある Web サイト」を閲覧し、地雷のような形で不正なプログラムを埋め込まれてしまいます。その後「セキュリティが甘いWebサイト」を閲覧した際に、初めてユーザー側で不正プログラムが働きます。

その結果、ユーザーの個人情報が盗み出されたり、PC上のファイルが破壊されたりします。つまり、Webサイト側に被害はなく、Webサイトを閲覧していたユーザーが被害にあってしまうのです。

以下の記事ではXXS攻撃とその対策について解説しているので参考にしてください。

関連記事
WAFによるXSS(クロスサイトスクリプティング)攻撃の対策とは

watch_later 2020.03.18

WAFによるXSS(クロスサイトスクリプティング)攻撃の対策とは

続きを読む ≫

パスワードリスト攻撃

複数回あらゆるパターンを入力され、パスワード・IDを特定されてしまう攻撃です。もし別Webサイトでも同じパスワード・IDを使用していた場合、被害拡大につながってしまう恐れがあります。また、似たようなパスワード・IDを使用していた場合、ログインを何度もトライすることで、カード番号・住所・名前などの情報を奪われてしまいます。

WAFでパスワードリスト攻撃を防ぐ方法について解説しているので、ぜひご覧ください。

関連記事
WAFによるパスワードリスト攻撃の防御対策とは?事例を用いて解説!

watch_later 2020.03.18

WAFによるパスワードリスト攻撃の防御対策とは?事例を用いて解説!

続きを読む ≫

WAFの種類とは

WAFには、大きく分けて3種類存在します。ここでは、それぞれのメリット・デメリットについて解説していきます。

ホスト型WAF(ソフトウェア)

すでに存在するWebサイトに、ソフトをインストールする方法です。

■メリット
  • ・安価(台数が少ない場合)
  • ・設置するスペースいらず
■デメリット
  • ・Webサーバーの環境に依存する

ゲートウェイ型WAF(ハードウェア)

ネットワーク機器として新たに設置します。

■メリット
  • ・安価(台数が多い場合)
  • ・Webサーバーの環境に依存しない
■デメリット
  • ・ネットワークの構成によっては導入不可
  • ・設置するスペースを確保する必要あり

クラウド型WAF(サービス)

サービスとしてクラウドなどで提供されている WAF を利用します。

■メリット
  • ・ネットワークの構成を変更する必要なし
  • ・導入コストが安価
■デメリット
  • ・運用コストが高価

クラウド型は現在WAFの最も一般的な提供形態です。以下の記事で実際の製品例と特徴について解説していますので参考にしてみてください。

関連記事
クラウド型WAFのメリット・デメリットとは?導入前の注意点も解説!

watch_later 2020.10.08

クラウド型WAFのメリット・デメリットとは?導入前の注意点も解説!

続きを読む ≫

他のセキュリティソフトとの違い

サイバー攻撃はいくつもあり、それぞれに適したセキュリティ対策が必要になります。では、WAF登場以前からあるセキュリティツールを簡単にご紹介します。

ファイアウォールとの違いは検知範囲

ポート番号とIPアドレスからOSやネットワークを防御します。つまり、アクセスの制御です。例えると、ネットワークの同士の境界に関所を設け、通信をチェックすることで攻撃を防ぎます。通常、通信可能になった中身までは追うことができませんが、WAFでは中身まで検知します。

WAFとファイアウォールの違いについてさらに詳しく知りたい方は以下の記事を参考にしてみてください。

関連記事
WAFとファイアウォールの違いは?攻撃との関連も解説!

watch_later 2020.05.08

WAFとファイアウォールの違いは?攻撃との関連も解説!

続きを読む ≫

IPSとの違いは検知対象

IPSはプラットフォームレイヤーからネットワーク・Webシステム・Webサーバーを防御します。つまり、サイバー攻撃の検知・防御です。通信の中身を含む全体を解析し、悪意のある通信の防御を自動的に行います。ただしメール添付などのファイルに関しては解析することができません。一方でWAFはWebアプリケーションを主な防御対象としています。

IPSについて詳しく知りたいという方は、以下の記事を参考にしてみてください。

関連記事
IDS・IPS(不正侵入検知・防御)とは?違いや種類・仕組みを徹底解説

watch_later 2020.03.24

IDS・IPS(不正侵入検知・防御)とは?違いや種類・仕組みを徹底解説

続きを読む ≫

WAFで防げることを正しく認識しよう!

WAFには2種類の検知方法があり、それぞれに特徴があることはご理解いただけたでしょうか。しかし、どちらの方式を選ぶかどうかという点も、やはり自社にあうかどうかが重要です。自社にあったWAFを見つけるためにも、まずは資料請求を行い、製品についての理解を深めていきましょう。

WAF(Web Application Firewall) 製品を調べて比較
製品をまとめて資料請求! 資料請求フォームはこちら
WAF(Web Application Firewall)の資料請求ランキングで製品を比較! 今週のランキング第1位は?
こちらもおすすめ!
WAF 選び方ガイド
製品を選ぶときのポイントがわかる!
どんな企業が導入すべきかがわかる!
お役立ち資料ダウンロード
選び方ガイドのダウンロードはこちら

このカテゴリーに関連する記事

WAFとは?初心者にもわかりやすく一から徹底解説!

WAFとは?初心者にもわかりやすく一から徹底解説!

WAFにおける「シグネチャ」とは?初心者にわかりやすく解説!

WAFにおける「シグネチャ」とは?初心者にわかりやすく解説!

WAFとSSLの関係性とは?証明書の必要性についても解説!

WAFとSSLの関係性とは?証明書の必要性についても解説!

WAFのホワイトリスト方式とブラックリスト方式では何が違うの?

WAFのホワイトリスト方式とブラックリスト方式では何が違うの?

WAFの機能一覧!WAFでできることや防げる攻撃も解説

WAFの機能一覧!WAFでできることや防げる攻撃も解説

WAFとファイアウォールの違いは?攻撃との関連も解説!

WAFとファイアウォールの違いは?攻撃との関連も解説!

無料OSSのWAF製品比較4選!メリットや注意点を分かりやすく解説

無料OSSのWAF製品比較4選!メリットや注意点を分かりやすく解説

【比較表付き】WAF製品17選を徹底比較!選定ポイントも解説!

【比較表付き】WAF製品17選を徹底比較!選定ポイントも解説!

WAFの必要性とは?Webアプリケーションの防御に欠かせない理由を解説

WAFの必要性とは?Webアプリケーションの防御に欠かせない理由を解説

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「WAFのホワイトリスト方式とブラックリスト方式では何が違うの?」というテーマについて解説しています。WAFの製品導入を検討をしている企業様は、ぜひ参考にしてください。

お役立ち資料ダウンロード
WAF
基本情報から選ぶ時のポイント、ITトレンドおすすめの製品情報をまとめてご紹介します。
関連製品・サービス
株式会社アイロバ
株式会社アイロバ
追加
登録サイト無制限!サイバー保険付帯のオールインワンWAF!BLUE Sphere
BLUE Sphereは「防御/保険/サポート」までセキュリティをワンストップに実現するサービスをご提供させていただき、企業様のサイバーセキュリティ対策へ安心をお届けいたします。
アクセリア株式会社
アクセリア株式会社
追加
CDN square
マネージドCDN・ソリューションCDN・ブローカリングCDN セキュリティ機能も備えた3スタイルのCDNサービスです。
株式会社アリス
株式会社アリス
追加
未知の攻撃も遮断できる SaaS型クラウドWAF「 CloudCoffer on Cloud 」
ゼロデイ攻撃にも高い検知率を誇るAIエンジンを搭載したクラウドWAFサービスです。
株式会社セキュアスカイ・テクノロジー
株式会社セキュアスカイ・テクノロジー
追加
一人情シスの味方! クラウド型WAF「Scutum」【Scutum(スキュータム)】
ScutumはWebアプリケーションの脆弱性から顧客を守るクラウド型WAFサービスです。新たな攻撃の手法にも素早く対応し、より安全なWebサービスのご提供が可能です。
SBテクノロジー株式会社
SBテクノロジー株式会社
追加
セキュリティ監視・分析サービスMSS for Imperva Incapsula
24時間365日、セキュリティ専門アナリストが Imperva Incapsula の運用・監視をお客様の代わりに行うマネージドサービスです。Web サーバーへの脅威に対応する最適なセキュリティを提供します。
株式会社サイバーセキュリティクラウド
株式会社サイバーセキュリティクラウド
追加
導入社数・導入サイト数 国内No.1のクラウド型WAF【攻撃遮断くん】
「攻撃遮断くん」はあらゆるサイバー攻撃からWebサイト・Webサーバを守る国産のクラウド型WAFです。 Webアプリケーション層へのサイバー攻撃をリアルタイムに可視化・遮断します。
株式会社モニタラップ
株式会社モニタラップ
追加
4,000円で始められるWebサイトセキュリティサービス!!AIONCLOUD
AIONCLOUD WAFは、高度なセキュリティエンジンとグローバル脅威インテリジェンスでWebサイトをあらゆる攻撃から安全に守るクラウド型WAFサービスです。
株式会社セキュアイノベーション
株式会社セキュアイノベーション
追加
Webサービスを様々な脅威から守り安心・安全な運用をご提供secuWAF
外部からの脆弱性をついた攻撃やウィルスを遮断。様々な脅威からWebサイトを守ります。
ペンタセキュリティシステムズ株式会社
ペンタセキュリティシステムズ株式会社
追加
導入15,000件、Webサイトを守るクラウド型WAFクラウドブリック(Cloudbric)
クラウドブリックは、サイバー攻撃からWebサイトを安全に守るクラウド型Webアプリケーションファイアウォールです。高セキュリティレベルの確保とリーズナブルな料金で簡単導入できます。
資料請求ランキング
1月18日(月) 更新
第1位
  • 一人情シスの味方! クラウド型WAF「Scutum」【Scutum(スキュータム)】
  • 株式会社セキュアスカイ・テクノロジー
第2位
  • 導入15,000件、Webサイトを守るクラウド型WAFクラウドブリック(Cloudbric)
  • ペンタセキュリティシステムズ株式会社
第3位
  • 4,000円で始められるWebサイトセキュリティサービス!!AIONCLOUD
  • 株式会社モニタラップ
一覧を見る
  • ログイン
  • 新規会員登録
ITトレンドへの製品掲載・広告出稿はこちらから
新着記事
  • クラウド型WAFのメリット・デメリットとは?導入前の注意点も解説!
    クラウド型WAFとは、クラウド上に設置するセキュリ...
  • オンプレミス型WAFの特徴やメリットとは?選び方も徹底解説
    WAFはサイトを外部攻撃から守るために最適なセキュ...
  • 【比較表付き】WAF製品17選を徹底比較!選定ポイントも解説!
    WAF製品を導入して、Webアプリケーションに対する...
  • WAFの市場規模はどのくらい?現状と将来の展望を徹底解説!
    WAFは便利なセキュリティツールですが、市場規模は...
  • 大学でWAFを導入する際の選定方法は?事例をご紹介!
    大学のシステムにWAFは必要なのでしょうか。セキュ...
  • Web改ざん防止にWAFは有用なのか?FWやIPSとの違いも解説
    Webサイトへの攻撃に特化したWAF。Webの改ざんも防...
  • WAFにおける「シグネチャ」とは?初心者にわかりやすく解説!
    WAFはアクセス元とWebサーバーの間に立ち、不正な...
  • WAFとは?初心者にもわかりやすく一から徹底解説!
    WebアプリケーションやWebサーバの構築・運用に関...
  • WAFで防御可能な攻撃一覧!Webサイトを脆弱性から守る方法とは?
    WAFの存在は知ってるけど、どんな攻撃を防御できる...
  • WAFで防げない攻撃は?防げる攻撃と利用のポイントも解説!
    「WAFは万能だと聞くけど、防げない攻撃はないの?...
ページトップへ
ITトレンドについて
ITトレンドとは|
ご利用規約|
レビューガイドライン|
プライバシーポリシー|
クッキーポリシー|
運営会社|
サイトマップ|
お問い合わせ|
IT製品を探す
カテゴリーから探す |
ランキングから探す
IT製品を知る
用語集
IT製品を掲載する
掲載について
関連サービス・サイト
BIZトレンド |
List Finder |
Urumo! |
Seminar Shelf

Copyright (C) 2021 IT Trend All Rights Reserved.

WAF(Web Application Firewall)の製品をまとめて資料請求
資料請求フォームはこちらplay_circle_outline
0件の製品が資料請求リストにあります。
リストの製品に資料請求するplay_circle_outline すべての製品に資料請求するplay_circle_outline