資料請求リストに製品が追加されていません。


IT製品の比較サイト|ITトレンド
ITトレンドNo.1ヘッダー

資料請求リスト

資料請求
0件
  • ホーム
  • 製品を探す
  • ランキングから探す
  • 記事を読む
  • はじめての方へ
  • 掲載について
  • ITトレンドEXPO
  1. IT製品 比較TOP
  2. ネットワークセキュリティ
  3. WAF(Web Application Firewall)
  4. WAF(Web Application Firewall)の関連記事一覧
  5. WAFのホワイトリスト方式とブラックリスト方式では何が違うの?

WAFのホワイトリスト方式とブラックリスト方式では何が違うの?

2022年03月29日 最終更新
WAF(Web Application Firewall)の製品一覧
ITトレンド 編集部

IT製品の比較サイト / ITトレンド 編集部
WAFのホワイトリスト方式とブラックリスト方式では何が違うの?

WAFが不正アクセスを検知する方法には「ホワイトリスト方式」と「ブラックリスト方式」の2種類があります。両者には大きな違いがあるため、その違いを理解することは万全なセキュリティ対策には必須です。

この記事では、WAFホワイトリスト方式とブラックリスト方式の違いや両者の選び方について解説します。

無料で資料請求!
WAF(Web Application Firewall)の
製品をまとめて資料請求!
play_circle_outline
WAF(Web Application Firewall)の資料請求ランキングで製品を比較! 今週のランキング第1位は?

WAFとは?

WAF(ワフ)とは、「Web Application Firewall(ウェブアプリケーションファイアウォール)」の略で、Webアプリケーションへの不正な攻撃からWebサイトを保護するセキュリティ対策ツールです。特にWebアプリケーションの防御に特化しており、パターンのマッチングだけではなく、複雑・巧妙なサイバー攻撃にも対応できます。

WAFホワイトリスト方式とブラックリスト方式の違い

WAFのホワイトリスト方式とブラックリスト方式の違いは、検知方法です。具体的な違いについて見ていきましょう。

ホワイトリスト方式

ホワイトリスト方式は、あらかじめ定義された正当パターンに該当する通信を許可する方式です。具体的には害のない安全な通信パターンを定義し、他の通信はすべてブロックします。

ホワイトリスト方式は定義した通信以外を遮断するため、攻撃パターンが変化してもリストの更新は必要ありません。また自動化された動的なホワイトリスト作成機能を利用すれば、管理コストを削減しつつ、強固な防衛体制で運用が可能です。

ホワイトリスト方式のメリット

ホワイトリスト方式のメリットは、不正アクセスを確実に遮断できる点です。許可する通信のみを定義しているため、不正なアクセスはその定義に一致することはありません。

ホワイトリスト方式のデメリット

ホワイトリスト方式のデメリットは、事前に定義しておかなければ、正常なアクセスもブロックされてしまう点です。場合によっては、業務がストップしてしまう可能性もあるでしょう。

ブラックリスト方式

「ブラックリスト」は、あらかじめ定義された不正パターンに該当する通信を検知・防御します。具体的にはシグネチャと呼ばれる定義された不正パターンのリストと通信を照合し、一致した通信をブロックします。

Webアプリケーションに対して常に新しい攻撃手法が生み出されているため、企業側は最新の対策を講じなければなりません。その点、WAFはシグネチャ更新機能により、最新の状態で攻撃を検出できます。

ブラックリスト方式のメリット

ブラックリスト方式のメリットは、ホワイトリスト方式とは逆に、正常なアクセスを妨げない点にあります。チューニングの強度によっては誤検知が発生する場合もありますが、誤検知は事前の設定で防げます。

ブラックリスト方式のデメリット

ブラックリスト方式の最大のデメリットは、新たな攻撃を通してしまう点です。とはいえ、WAFには事後対策の機能が備わっており、攻撃に対して被害を最小限に抑えられます。

ホワイトリスト方式とブラックリスト方式、どちらを選ぶ?

ホワイトリスト方式とブラックリスト方式それぞれの特徴を踏まえたうえで、どちらを選べばよいのでしょうか。

近年、Webアプリケーションは目まぐるしい変化に対応するため、次々にバージョンアップが進んでいます。そのため、Web通信の更新も当然早いペースで進む傾向にあるでしょう。

これらの背景により、許可する通信を更新しなければならないホワイトリスト方式よりも、異常が発生した場合にのみシグネチャを更新すればよいブラックリスト方式が一般的となっています。もちろん業種やサービスの更新頻度などによってはホワイトリスト方式という選択もありますが、現状中心となっているのはブラックリスト方式です。

なお、WAFを効果的に運用するには、検知方式を気にするだけでは不十分です。以下の記事では運用のコツを詳しく解説しているので、ぜひ参考にしてみてください。

関連記事
WAF運用時の注意点とは?誤検知やコスト面に対処するコツも解説!

watch_later 2021.06.03

WAF運用時の注意点とは?誤検知やコスト面に対処するコツも解説!

続きを読む ≫

WAFの防御範囲

WAFはファイアウォールやIPSといったセキュリティ製品では防げない攻撃に対応しています。具体的に、WAFはどのような攻撃に対応しているのでしょうか。

SQLインジェクション

Webアプリケーションの脆弱性を突き、データを不正に操作する攻撃です。被害事例として、データの改ざんや情報漏えい、不正ログインなどが挙げられます。

以下の記事では、SQLインジェクション攻撃について詳しく解説しています。SQLインジェクション攻撃の仕組みや被害事例について理解を深めたい方は参考にしてください。

関連記事
WAFでSQLインジェクションは防げる?改ざんの事例や事後対策も解説!

watch_later 2020.05.08

WAFでSQLインジェクションは防げる?改ざんの事例や事後対策も解説!

続きを読む ≫

XXS(クロスサイトスクリプティング)攻撃

Webサイトの脆弱性を突き、ユーザーを悪質なサイトに誘導するスクリプトを埋め込むことで、個人情報などを詐取する攻撃手法です。

Webサイト側に被害はなく、Webサイトを閲覧していたユーザーが被害にあってしまいます。

以下の記事では、XXS攻撃とその対策について解説しています。

関連記事
WAFによるXSS(クロスサイトスクリプティング)攻撃の対策とは

watch_later 2020.03.18

WAFによるXSS(クロスサイトスクリプティング)攻撃の対策とは

続きを読む ≫

パスワードリスト攻撃

不正に入手したID・パスワードのリストをもとに、不正アクセスを行うサイバー攻撃です。複数のWebサービスで同じパスワード・IDを使用することで、被害に遭いやすいでしょう。そのためパスワードを使い回さない、二段階認証を利用するなどの対策が求められます。

以下の記事では、WAFでパスワードリスト攻撃を防ぐ方法について解説しています。

関連記事
WAFによるパスワードリスト攻撃の防御対策とは?事例を用いて解説!

watch_later 2020.03.18

WAFによるパスワードリスト攻撃の防御対策とは?事例を用いて解説!

続きを読む ≫

WAFの種類とは

WAFには、大きく分けて3種類存在します。それぞれのメリット・デメリットについて解説します。

ホスト型WAF(ソフトウェア)

すでに存在するWebサイトに、ソフトをインストールする方法です。

■メリット
  • ・安価(台数が少ない場合)
  • ・設置するスペースいらず
■デメリット
  • ・Webサーバーの環境に依存する

ゲートウェイ型WAF(ハードウェア)

ネットワーク機器として新たに設置します。

■メリット
  • ・安価(台数が多い場合)
  • ・Webサーバーの環境に依存しない
■デメリット
  • ・ネットワークの構成によっては導入不可
  • ・設置するスペースを確保する必要あり

クラウド型WAF(サービス)

サービスとしてクラウドなどで提供されている WAF を利用します。

■メリット
  • ・ネットワークの構成を変更する必要なし
  • ・導入コストが安価
■デメリット
  • ・運用コストが高価

クラウド型は現在WAFの導入において、最も一般的な提供形態です。以下の記事では、クラウド型WAFの特徴について解説しています。

関連記事
クラウド型WAFのメリット・デメリットとは?導入前の注意点も解説!

watch_later 2021.06.03

クラウド型WAFのメリット・デメリットとは?導入前の注意点も解説!

続きを読む ≫

他のセキュリティソフトとの違い

ここでは、WAF登場以前からあるセキュリティツールとの違いについて解説します。

ファイアウォールとの違いは検知範囲

ファイアウォールは、送信元情報と送信先情報(IPアドレス、ポート番号ほか)を元にネットワークレベルで防御を行うことに特化しています。例えると、ネットワーク同士の境界に関所を設け、通信をチェックすることで攻撃を防ぎます。通常、通信可能になった中身までは追うことができませんが、WAFでは中身まで検知できるのが特長です。

WAFとファイアウォールの違いについてさらに詳しく知りたい方は、以下の記事を参考にしてみてください。

関連記事
WAFとファイアウォールの違いは?攻撃との関連も解説!

watch_later 2020.05.08

WAFとファイアウォールの違いは?攻撃との関連も解説!

続きを読む ≫

IPSとの違いは検知対象

IPSは「不正侵入防止システム」とも呼ばれ、プラットフォームレイヤーからネットワーク・Webシステム・Webサーバへの不正アクセスを防御します。通信の中身を含む全体を解析し、悪意のある通信の防御を自動的に行います。ただしメール添付などのファイルに関しては解析できません。一方でWAFはWebアプリケーションを主な防御対象としています。

IPSについて詳しく知りたい方は、以下の記事を参考にしてみてください。

関連記事
IDS・IPSとは?不正侵入検知・防御サービスを初心者にもわかりやすく解説

watch_later 2022.03.29

IDS・IPSとは?不正侵入検知・防御サービスを初心者にもわかりやすく解説

続きを読む ≫

WAFで防げることを正しく認識しよう!

WAFには2種類の検知方法があり、それぞれに特徴があることはご理解いただけたでしょうか。自社にあったWAFを見つけるためにも、まずは資料請求を行い、製品についての理解を深めましょう。

無料で資料請求!
WAF(Web Application Firewall)の
製品をまとめて資料請求!
play_circle_outline
WAF(Web Application Firewall)の資料請求ランキングで製品を比較! 今週のランキング第1位は?
こちらもおすすめ!
WAF 選び方ガイド
電球 製品を選ぶときのポイントがわかる!
電球 どんな企業が導入すべきかがわかる!
お役立ち資料ダウンロード
選び方ガイドのダウンロードはこちら arrow

このコンテンツの専門家

ITトレンド 編集部
ITトレンド 編集部
IT製品の比較サイト/ITトレンド 編集部
ITトレンドはイノベーションが2007年より運営している法人向けIT製品の比較・資料請求サイトであり、2020年3月時点で、累計訪問者数2,000万人以上、1,300製品以上を掲載しています。サイトを閲覧し利用する企業内個人であるユーザーは、掲載されている製品情報や口コミレビューなどを参考に、自社の課題に適したIT製品を複数の製品・会社から比較検討ができ、その場で資料請求が一括でできるサイトです。

このカテゴリーに関連する記事

「WAFとは?」初心者にもわかりやすく徹底解説!

「WAFとは?」初心者にもわかりやすく徹底解説!

最新版WAF製品の比較12選【価格&特徴比較表あり】選び方も解説

最新版WAF製品の比較12選【価格&特徴比較表あり】選び方も解説

クラウド型WAFのメリット・デメリットとは?導入前の注意点も解説!

クラウド型WAFのメリット・デメリットとは?導入前の注意点も解説!

WAFの市場規模はどのくらい?現状と将来の展望を徹底解説!

WAFの市場規模はどのくらい?現状と将来の展望を徹底解説!

WAFにおける「シグネチャ」とは?初心者にわかりやすく解説!

WAFにおける「シグネチャ」とは?初心者にわかりやすく解説!

WAFとファイアウォールの違いは?攻撃との関連も解説!

WAFとファイアウォールの違いは?攻撃との関連も解説!

WAFとSSLの関係性とは?証明書の必要性についても解説!

WAFとSSLの関係性とは?証明書の必要性についても解説!

無料OSSのWAF製品比較4選!メリットや注意点を分かりやすく解説

無料OSSのWAF製品比較4選!メリットや注意点を分かりやすく解説

WAFで防げない攻撃は?防げる攻撃と利用のポイントも解説!

WAFで防げない攻撃は?防げる攻撃と利用のポイントも解説!

WAFでSQLインジェクションは防げる?改ざんの事例や事後対策も解説!

WAFでSQLインジェクションは防げる?改ざんの事例や事後対策も解説!

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「WAFのホワイトリスト方式とブラックリスト方式では何が違うの?」というテーマについて解説しています。WAFの製品導入を検討をしている企業様は、ぜひ参考にしてください。

お役立ち資料ダウンロード
WAF
基本情報から選ぶ時のポイント、ITトレンドおすすめの製品情報をまとめてご紹介します。
カテゴリー関連製品・サービス
資料請求で
比較表が作れる!
株式会社 モニタラップ
株式会社 モニタラップ
☆☆☆☆☆
★★★★★
5
リストに追加
4,000円で始められるWebサイトハッキング防止!!AIONCLOUD WAF
リバースプロキシ型のクラウドWAFサービス 月間通信量20GBまで4000円という、超破格値でサイト数無制限。 柔軟なポリシー設定で本格WAFの機能をフル実装
TOWN株式会社
TOWN株式会社
リストに追加
〜WAFの窓口〜SiteCloud
WAFの窓口は、「実際にWAFってどれを使えばいいの?」にお答えします! また導入はもちろん、面倒で複雑なご検知検証から本番運用までまとめて、オールインワンでご提供致します。
株式会社 USEN ICT Solutions
株式会社 USEN ICT Solutions
リストに追加
攻撃遮断くん
攻撃遮断くんは、WEBサーバへの攻撃を遮断し、24時間365日のサーバセキュリティを実現します。情報漏えい、踏み台、WEB改ざん、サービス妨害等の脅威から守ります。
株式会社ロケットワークス
株式会社ロケットワークス
リストに追加
【国立研究機関協業】のロケットワークスのクラウド型WAFイージス
外部からのあらゆるサイバー攻撃に対し、リアルタイムで攻撃の探知と遮断を行い、最新の攻撃に自動で対応するため、運用不要でセキュリティレベルを高め続けられるWAF+IPSシステムです。
ペンタセキュリティシステムズ株式会社
ペンタセキュリティシステムズ株式会社
リストに追加
導入企業550社突破、一石五鳥のクラウド型WAFCloudbric WAF+
Cloudbric WAF+(クラウドブリック・ワフ・プラス)は、社内にセキュリティ専門家がいなくても手軽に運用・導入できる一石五鳥の企業向けWebセキュリティ対策です。
NTTスマートコネクト株式会社
NTTスマートコネクト株式会社
リストに追加
公開Webサーバのセキュリティ対策サービスSmartConnect Network & Security
●安心のF5ネットワークス社製品採用! ●「WAF」+「インフラ運用」+「高度セキュリティオペレーション」をワンストップで提供します。お手頃価格に加え、導入はセキュリティ専門部隊が行います
株式会社サイバーセキュリティクラウド
株式会社サイバーセキュリティクラウド
☆☆☆☆☆
★★★★★
4.3
リストに追加
導入社数・導入サイト数 国内No.1のクラウド型WAF【攻撃遮断くん】
「攻撃遮断くん」はあらゆるサイバー攻撃からWebサイト・Webサーバを守る国産のクラウド型WAFです。 Webアプリケーション層へのサイバー攻撃をリアルタイムに可視化・遮断します。
バルテス株式会社
バルテス株式会社
リストに追加
従量制で無駄なくサイトを脅威から護るPrimeWAF
クラウド型のセキュリティ対策サービスだから専門知識がなくても、常に最新のセキュリティ対策を実装できて安心! 設定も簡単なので皆さまに初めてのセキュリティ対策として選ばれています。
株式会社セキュアスカイ・テクノロジー
株式会社セキュアスカイ・テクノロジー
☆☆☆☆☆
★★★★★
4.7
リストに追加
一人情シスの味方! クラウド型WAF「Scutum」【Scutum(スキュータム)】
ScutumはWebアプリケーションの脆弱性から顧客を守るクラウド型WAFサービスです。新たな攻撃の手法にも素早く対応し、より安全なWebサービスのご提供が可能です。
株式会社アイロバ
株式会社アイロバ
☆☆☆☆☆
★★★★★
4.9
リストに追加
登録サイト無制限!サイバー保険付帯のオールインワンWAF!BLUE Sphere
BLUE Sphereは「防御/保険/サポート」までセキュリティをワンストップに実現するサービスをご提供させていただき、企業様のサイバーセキュリティ対策へ安心をお届けいたします。
カテゴリー資料請求ランキング
6月27日(月) 更新
第1位
  • 登録サイト無制限!サイバー保険付帯のオールインワンWAF!BLUE Sphere
  • 株式会社アイロバ
第2位
  • 導入社数・導入サイト数 国内No.1のクラウド型WAF【攻撃遮断くん】
  • 株式会社サイバーセキュリティクラウド
第3位
  • 【国立研究機関協業】のロケットワークスのクラウド型WAFイージス
  • 株式会社ロケットワークス
4位以下のランキングはこちら
  • ログイン
  • 新規会員登録
ITトレンドへの製品掲載・広告出稿はこちらから
レビュー用バナー
新着記事
  • 最新版WAF製品の比較12選【価格&特徴比較表あり】選び方も解説
    Webアプリケーションに対する不正な攻撃からWebサ...
  • 無料OSSのWAF製品比較4選!メリットや注意点を分かりやすく解説
    Webアプリケーションの脆弱性をカバーする「WAF」...
  • 「WAFとは?」初心者にもわかりやすく徹底解説!
    WAFとは「Web Application Firewall」の略であり、...
  • WAFにおける「シグネチャ」とは?初心者にわかりやすく解説!
    WAFはアクセス元とWebサーバーの間に立ち、不正な...
  • Web改ざん防止にWAFは有用なのか?FWやIPSとの違いも解説
    Webサイトへの攻撃に特化したWAF。Webの改ざんも防...
  • WAFで防げない攻撃は?防げる攻撃と利用のポイントも解説!
    「WAFは万能だと聞くけど、防げない攻撃はないの?...
  • WAFで防御可能な攻撃一覧!Webサイトを脆弱性から守る方法とは?
    WAFの存在は知ってるけど、どんな攻撃を防御できる...
  • WAF運用時の注意点とは?誤検知やコスト面に対処するコツも解説!
    「WAFって導入した後どうやって運用していけばいい...
  • クラウド型WAFのメリット・デメリットとは?導入前の注意点も解説!
    クラウド型WAFは、クラウド上に設置するセキュリテ...
  • WAFの導入効果とは?解決できる課題とともにやさしく解説!
    WAFがセキュリティ製品なのは分かったけど、導入し...
ページトップへ
ITトレンドについて
ITトレンドとは|
ご利用規約|
レビューガイドライン|
プライバシーポリシー|
クッキーポリシー|
運営会社|
サイトマップ|
お問い合わせ
IT製品を探す
製品を探す |
ランキングから探す |
専門家一覧
IT製品を知る
用語集
IT製品を掲載する
掲載について
関連サービス・サイト
List Finder |
Urumo! |
bizplay |
Sales Doc

Copyright (C) 2022 IT Trend All Rights Reserved.

WAF(Web Application Firewall)の製品をまとめて資料請求
資料請求フォームはこちらplay_circle_outline
0件の製品が資料請求リストにあります。
リストの製品に資料請求するplay_circle_outline すべての製品に資料請求するplay_circle_outline
リストをリセットreplay
資料請求リストをリセットします。
よろしいですか?
はい いいえ