WAFとは？仕組み・種類・選び方をやさしく解説

サイバー攻撃の手口は年々巧妙になり、企業規模を問わず個人情報漏えいやWebサイト改ざんといった被害が後を絶ちません。なかでもWebアプリケーションの脆弱性を狙った攻撃は、従来型のファイアウォールでは食い止めにくく、別のしくみで守る必要があります。そこで注目されているのが「WAF（Web Application Firewall）」です。

本コラムでは、WAFとは何かという基本から、しくみや必要性、よく比較されるFW・IDS/IPSとの違い、防げる攻撃の種類、製品選定のポイントまで、セキュリティ担当者が押さえておきたい内容を整理してお伝えします。

WAFとは？読み方と基本のしくみ

WAF（読み方：ワフ）は「Web Application Firewall（ウェブ・アプリケーション・ファイアウォール）」の略で、Webアプリケーションの脆弱性を悪用した攻撃から、自社のWebサイトやWebサービスを守るためのセキュリティ製品です。

従来のファイアウォールが通信の送信元・送信先（IPアドレスやポート番号）だけを見て可否を判断するのに対し、WAFは通信の「中身」までチェックします。Webサーバーの前段にリバースプロキシのように配置され、すべてのHTTP/HTTPSリクエストを一度受け取ったうえで、SQLインジェクションやクロスサイトスクリプティング（XSS）などの攻撃を見つけしだい遮断します。

WAFが守る主な対象は次のようなWebサービスです。

• ECサイトや会員制サイトなど、個人情報を扱うWebサービス
• 企業の問い合わせフォームやログインページ
• オンラインバンキング、クレジット決済システムなど

世界的には、OWASP（Open Worldwide Application Security Project）が公表する「OWASP Top 10」がWebアプリの代表的な脆弱性リストとして知られており、WAFはこのリストで挙げられる脅威への有効な対策手段とされています。また、クレジットカード業界のセキュリティ基準であるPCI DSSでも、Webアプリ保護の選択肢としてWAFが言及されています。

（参考：IPA　Web Application Firewall (WAF) 読本 改訂第2版）

なぜWAFが必要なのか？

WAFが必要とされる背景には、大きく分けて2つの理由があります。

Webアプリの脆弱性を狙う攻撃が増えている

Webアプリは不特定多数からアクセスできる形で公開されるため、もともと攻撃者の標的になりやすい性質を持っています。
IPAが公表している「ソフトウェア等の脆弱性関連情報に関する届出状況」によると、届出受付開始（2004年7月8日）から2025年6月末までの累計は18,904件。内訳はソフトウェア製品が6,103件、Webサイトが13,381件で、Webサイトの脆弱性に関する届出が全体の約7割を占めます。

近年は、Webアプリ同士でデータを連携させるなど、システムが複雑になっています。その分、意図せず脆弱性が生まれる場面も増えており、脆弱性が発見されてから攻撃に利用されるまでの時間も短くなっています。Webアプリの脆弱性に特化したWAFが注目されているのは、こうした事情によるものです。

（出典：IPA　ソフトウェア等の脆弱性関連情報に関する届出状況）

脆弱性が判明してもすぐに修正できないことがある

脆弱性は本来、見つけしだい速やかに対応することが望ましいものの、アップデートに伴うシステム停止や業務への影響を避けるため、修正のタイミングを慎重に選ばざるを得ない企業も少なくありません。
そうしたケースでも、WAFを前段に置いておけば、脆弱性そのものを直すまでの間、外部からの攻撃をブロックして時間を稼ぐことができます。いわゆる「仮想パッチ」としての役割を担えるのもWAFの強みです。

WAFとFW、IDS/IPS、WAAPとの違い

FW、IDS/IPSとの違い

FW（ファイアウォール）との違い

ファイアウォールは「ネットワーク層」で動作し、IPアドレスやポート番号といった通信の入口情報を基に通信可否を判断します。一方で通信内容そのものは見ないため、正規のHTTP/HTTPSに紛れ込んだ攻撃は通してしまいます。

これに対しWAFは「アプリケーション層（OSI参照モデルの第7層）」で動作し、リクエストの中身を解析することで、SQLインジェクションのようなWebアプリ特有の攻撃を検知・遮断できます。

IDS/IPSとの違い

IDS（不正侵入検知システム）は不正アクセスを「検知」し、IPS（不正侵入防止システム）は「検知＋遮断」を行います。主にOSやミドルウェア層のネットワークトラフィックを監視し、DoS攻撃などネットワークレベルの脅威に対応する製品です。

ただし、IDS/IPSではSQLインジェクションやXSSといったWebアプリ層の攻撃を細かく見分けるのは苦手です。WAFはまさにこの領域を担う製品で、IDS/IPSが防ぎきれない部分を補います。

多層防御のなかで使い分ける
現在のセキュリティ対策では、ファイアウォール・IPS・WAFを組み合わせた「多層防御」が一般的です。各層で役割の違うツールを配置することで、単一の製品では塞げない穴を相互にカバーできます。

WAAPとの違い

WAAPは「Web Application and API Protection」の略で、WAFの機能に加えて、APIの保護、ボット対策、DDoS防御などをまとめて提供するセキュリティソリューションです。Webアプリだけでなく、外部に公開しているAPIや自動化された攻撃まで広くカバーする点がWAFとの違いと言えます。Webサービスの拡張に伴いAPI連携が増えている企業では、WAAPの考え方を取り入れる例も増えてきました。

WAFで防げるサイバー攻撃

WAFで防げる攻撃は製品によって異なりますが、代表的なものは以下のとおりです。

攻撃名	内容
SQLインジェクション	アプリの不備を突き、データベースを不正に操作する攻撃
クロスサイトスクリプティング（XSS）	Webページに悪意あるスクリプトを仕込み、閲覧者のブラウザ上で実行させる攻撃
OSコマンドインジェクション	Webサイト上で不正なOSコマンドを実行させ、サーバー側で意図しない動作を引き起こす攻撃
ディレクトリトラバーサル	本来アクセスできないファイルやディレクトリへ不正にアクセスする攻撃
ブルートフォース攻撃	考えられるID／パスワードの組み合わせを総当たりで試し、ログインを突破しようとする攻撃

このようにWAFを導入することで、Webアプリを狙う多くの攻撃を防げるようになります。
ただし、ECサイトの決済画面に対し、有効なクレジットカード番号が見つかるまでランダムな番号を入力し続けるクレジットマスター攻撃のように、プログラムで正規の操作を繰り返すタイプの攻撃や、ネットワーク・OS・ミドルウェアなどWebアプリ以外を狙う攻撃には対応できない点には注意が必要です。WAFはあくまでWebアプリ層を守る製品であり、他のセキュリティ対策と合わせて使う前提で考えましょう。

（参考：IPA　ECサイト構築・運用セキュリティガイドライン）

WAFの種類（アプライアンス型・ソフトウェア型・クラウド型）

WAFには、アプライアンス型、ソフトウェア型、クラウド型の3タイプがあります。それぞれの特徴とメリット・デメリットを見ていきましょう。

アプライアンス型WAF

ベンダーから提供される専用ハードウェアを、Webサーバーの前段に物理的に設置するタイプです。
メリットは、専用機器のため処理性能が高く、自社のWebアプリに合わせた細かいカスタマイズができること。専門の担当者がいる環境であれば、高い処理能力と信頼性を両立しやすい構成です。デメリットは、初期費用が高くなりがちで、機器を置く物理スペースの確保も必要な点です。
取り扱うトラフィック量が多く、専任のセキュリティ人材も確保している大規模な企業や、要件の厳しい環境に向いた選択肢と言えます。

ソフトウェア型WAF

Webアプリと同じサーバー上にインストールして使うタイプです。物理機器を別途用意する必要がなく、導入のハードルが比較的低い点が特徴です。
メリットは、コストを抑えやすくカスタマイズもしやすいこと、サーバー上で直接動くため通信遅延が生じにくいことです。
一方で、サーバーのリソース（CPU・メモリ）を消費するためアプリのパフォーマンスに影響することがあり、アプライアンス型やクラウド型に比べるとスケーラビリティに制約があるというデメリットもあります。

クラウド型WAF

インターネット経由で提供されるSaaS型のWAFです。自社サーバーに機器をインストールすることなく、Webアプリを保護できます。主なメリットは、導入のスピード感と必要に応じて拡張できる柔軟さ、そして日々のメンテナンスや脅威情報の更新を提供事業者側に任せられる点です。社内に専任のセキュリティ人材がいない企業でも始めやすい形態と言えます。
デメリットとしては、サービス品質がプロバイダーに左右されること、シグネチャのカスタマイズに一定の制約があることが挙げられます。

WAFはどのように攻撃を見つけているのか？検知のしくみ

続いて、WAFが実際にどのように攻撃を検知・遮断しているのかを見ていきましょう。

主な検知方式は、シグネチャ検知・スコアリング検知・AI検知の3種類です。実際の製品ではこれらを組み合わせ、検知精度を高めつつ誤検知を抑える設計になっています。

シグネチャによる検知

WAFのもっとも基本的な検知方法です。シグネチャ検知には、ブラックリスト型とホワイトリスト型の2種類があります。

ブラックリスト型（ネガティブセキュリティモデル）

既知の攻撃パターンをシグネチャとして登録し、それに一致する通信を遮断する方式です。幅広い攻撃を効率よく止められる反面、まだ知られていない攻撃には弱く、シグネチャを継続的に更新することが欠かせません。

近年広まっているクラウド型WAFであれば、サービス提供事業者が最新のシグネチャを更新してくれるため、常に新しい状態で運用しやすいのが利点です。

ホワイトリスト型（ポジティブセキュリティモデル）

あらかじめ「許可する通信パターン」を定義し、それ以外をすべて遮断する方式です。未知の攻撃にも対応しやすく、高いセキュリティレベルを実現できますが、正規の通信まで誤って止めてしまう「誤検知（フォールスポジティブ）」のリスクがあり、運用負荷が大きくなりがちな側面があります。

スコアリングによる検知

スコアリング検知では、通信に含まれる複数の要素を数値化し、合計が一定の閾値を超えた通信を攻撃とみなします。複数の観点で総合判定するため、シグネチャ検知単体よりも誤検知を減らしやすいのが特徴です。

AIによる検知

近年は、AI（人工知能）を取り入れたWAFも登場しています。機械学習で正常な通信パターンを学習し、異常な通信や未知の攻撃をリアルタイムに見つけ出せるのが大きな強みです。検知精度の向上や誤検知の削減、対応スピードの改善が期待されており、攻撃手法の進化に追従しやすい方式と言えます。

WAFの選定ポイント

WAFは導入して終わりではなく、運用を続けていくことで効果を発揮するセキュリティ対策です。自社の環境や運用体制に合った製品を選ぶことが、有効なセキュリティ対策につながります。以下のポイントを参考に、自社に合うWAFを検討してみてください。

導入と運用のしやすさ

WAFの効果を持続させるには、導入後の運用が欠かせません。セキュリティ専任の人材が不足している企業では、シグネチャの自動更新機能や24時間365日のサポート体制が整った製品を選ぶことで、運用にかかる負担を大きく減らせます。

クラウド型WAFであれば、ベンダー側が最新の脅威情報をもとにシグネチャを自動で更新するため、常に新しい状態で利用できる点が魅力です。

最新の脅威に追従できるか

WAFを選ぶ際は、最新の脆弱性や攻撃手法にどこまで対応しているかをよく確認することが肝心です。新たな脅威が発見されたときに、どのくらいのスピードでアップデートが配信されるかも重要なチェックポイントになります。

費用対効果

先述のとおり、WAFにはアプライアンス型・ソフトウェア型・クラウド型の3タイプがあり、それぞれにメリット・デメリットがあります。守りたいWebアプリの規模や要件と照らし合わせて選びましょう。
料金体系も製品によって異なり、月間ピーク時のトラフィックで決まるプランや、累計トラフィックで決まるプランなどさまざまです。自社のアクセス傾向に合った、無理のないプランを選ぶことがコスト面でのポイントです。

ALSOKでは、WAF機能に加え、DDoS防御・Bot管理・API保護といった機能を備えたクラウド型のWAFサービスをご提供しています。クラウド型のためDNSの切り替えだけで利用を始められ、お客様の環境に合わせた柔軟な設定にも対応可能です。専任のセキュリティ人材が不足しがちな企業のWebセキュリティ対策の選択肢として、ご検討いただければ幸いです。

WAFに関するよくある質問

まとめ