Web Application Firewall

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索

Web Application Firewall(略称:WAF、ワフ)とは、ウェブアプリケーション脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ[1]。本頁では以下「WAF」と記述する。

概要[編集]

セキュリティ対策としては、ウェブアプリケーションの実装面での根本的な対策ではなく、あくまでも攻撃による影響を低減する運用面での対策となる[1]

ウェブアプリケーションそのものに脆弱性を作り込まないために対策も各種あるが、現実的にはウェブアプリケーションの脆弱性を悪用した攻撃は後を絶たない。また、脆弱性が発見された場合においても、ウェブサイト運営者側の事情から即時に脆弱性を修正できないという実情もある。このため、ウェブアプリケーションが攻撃の被害にあわないためのセキュリティ対策の一つとして、WAFの使用が有効だと考えられている[1]

導入の効果[編集]

WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。WAFを使用することで、以下の効果が期待できる[1]

  • 脆弱性を悪用した攻撃からウェブアプリケーションを防御する。
  • 脆弱性を悪用した攻撃を検出する。
  • 複数のウェブアプリケーションへの攻撃をまとめて防御する。

検出パターンにクレジットカードの番号個人番号といった特徴のある個人情報のパターンを設定することで、そういった個人情報が悪意のある人に送信されてしまうことを防ぐといった使い方もできる[1]

類似機能との違い[編集]

WAFと類似する機能としてファイアウォール(FW)や、侵入防止システム(IPS)侵入検知システム(IDS)があるが、防御可能な攻撃に違いがある[2]

FWで防御可能な攻撃の例
IPS/IDSで防御可能な攻撃の例
WAFで防御可能な攻撃の例

代表的なオープンソースソフトウェアのWAF[編集]

韓国インターネット振興院オープンソースソフトウェアのWAFとして以下のソフトウェアを紹介している[1]

出典・脚注[編集]