WAF - Protección con firewall de aplicaciones web

Lectura de 2 min aprox.

WAF (Web Application Firewall) とは、 Web アプリケーションへの HTTP/HTTPS トラフィックを検査し、SQL インジェクションやXSS などの攻撃を検知・遮断する 専用のファイアウォールです。通常のファイアウォールが ネットワーク層 (IP アドレス、ポート番号) で通信を制御するのに対し、 WAF はアプリケーション層 (HTTP リクエストの内容) を解析します。 2025 年現在、 API セキュリティに特化した WAF 機能の強化が進んでいます。

現場での使用例

「 EC サイトのログインページに対するクレデンシャルスタッフィング攻撃を WAF で検知しました。 1 分間に同一 IP から 200 回以上のログイン試行があり、 WAF のレートベースルールで自動ブロック。正規ユーザーへの影響なく 攻撃を遮断できています。」

WAF フィルタリング概念図

WAF の検知方式

シグネチャベース方式は、既知の攻撃パターン (例: SQL 文を含む リクエストパラメータ) をルールで定義して検知します。 スコアリング方式は、複数の疑わしい特徴にスコアを付け、 閾値を超えたリクエストをブロックします。 機械学習ベース方式は、正常なトラフィックを学習して 異常なリクエストを自動検知します。 AWS WAF 、 Cloudflare WAF 、 Akamai などのクラウド WAF は、グローバルな脅威情報を リアルタイムにルールに反映できる点が強みです。WAF の入門書 (Amazon)で体系的に学べます。

導入シナリオと運用

EC サイトでは、ログインページへのクレデンシャルスタッフィング攻撃、 検索フォームへの SQL インジェクション、レビュー投稿への XSS を WAF で防御します。導入直後はモニタリングモード (検知のみ、遮断なし) で 運用し、誤検知のパターンを把握してからブロックモードに切り替えるのが 安全です。正規のリクエストが誤ってブロックされる フォルスポジティブへの対処が、 WAF 運用の最大の課題です。DNS セキュリティと WAF を組み合わせることで、多層的な Web 防御を実現できます。

WAF の限界

WAF はあくまで防御層の 1 つであり、アプリケーション自体の 脆弱性を修正する代わりにはなりません。 WAF を回避する高度な攻撃手法も存在するため、 セキュアコーディングと WAF の両方が必要です。 強力なランダムパスワードで WAF の管理コンソールを保護し、 ルールの変更履歴を監査ログに記録しましょう。Web セキュリティの書籍 (Amazon)も参考になります。