WAFとは

本文约需 2 分钟阅读

WAF (Web Application Firewall) とは、Web アプリケーションへの HTTP/HTTPS トラフィックを検査し、SQL インジェクションやXSS などの攻撃を検知・遮断する 専用のファイアウォールです。通常のファイアウォールが ネットワーク層 (IP アドレス、ポート番号) で通信を制御するのに対し、 WAF はアプリケーション層 (HTTP リクエストの内容) を解析します。 2025 年現在、API セキュリティに特化した WAF 機能の強化が進んでいます。

現場での使用例

「EC サイトのログインページに対するクレデンシャルスタッフィング攻撃を WAF で検知しました。1 分間に同一 IP から 200 回以上のログイン試行があり、 WAF のレートベースルールで自動ブロック。正規ユーザーへの影響なく 攻撃を遮断できています。」

WAF フィルタリング概念図

WAF の検知方式

シグネチャベース方式は、既知の攻撃パターン (例: SQL 文を含む リクエストパラメータ) をルールで定義して検知します。 スコアリング方式は、複数の疑わしい特徴にスコアを付け、 閾値を超えたリクエストをブロックします。 機械学習ベース方式は、正常なトラフィックを学習して 異常なリクエストを自動検知します。AWS WAF、Cloudflare WAF、 Akamai などのクラウド WAF は、グローバルな脅威情報を リアルタイムにルールに反映できる点が強みです。WAF の入門書 (Amazon)で体系的に学べます。

導入シナリオと運用

EC サイトでは、ログインページへのクレデンシャルスタッフィング攻撃、 検索フォームへの SQL インジェクション、レビュー投稿への XSS を WAF で防御します。導入直後はモニタリングモード (検知のみ、遮断なし) で 運用し、誤検知のパターンを把握してからブロックモードに切り替えるのが 安全です。正規のリクエストが誤ってブロックされる フォルスポジティブへの対処が、WAF 運用の最大の課題です。DNS セキュリティと WAF を組み合わせることで、多層的な Web 防御を実現できます。

WAF の限界

WAF はあくまで防御層の 1 つであり、アプリケーション自体の 脆弱性を修正する代わりにはなりません。 WAF を回避する高度な攻撃手法も存在するため、 セキュアコーディングと WAF の両方が必要です。 パスつく.com で生成した強力なパスワードで WAF の管理コンソールを保護し、 ルールの変更履歴を監査ログに記録しましょう。Web セキュリティの書籍 (Amazon)も参考になります。