ITパスポート | テクノロジ系・セキュリティ

WAFとは?

Web Application Firewall。Webアプリへの悪意ある通信だけを見抜いてブロックする"専門家"型の盾。

こんなシーンを想像
会社のECサイトを運営中。システム部から「WAFを導入してSQLインジェクション対策をしましょう」と提案があった。上司は「普通のファイアウォールとどう違うの?」と首をかしげている。
…WAFって、普通のFWと何が違うの?
WAF と ファイアウォールの守備範囲 インターネット 🌐 ファイア ウォール IP/ポート制御 WAF 通信の中身を 検査・遮断 🖥️ Webアプリ 通常のHTTP通信(許可)は FWを素通りしてWAFに届く SQL注入 FWは 素通り WAFが ブロック!

ファイアウォール

  • IPアドレス・ポートで制御
  • 通信の「宛先・送信元」を見る
  • HTTP通信の中身は見ない

WAF

  • HTTPの中身(リクエスト内容)を検査
  • SQLインジェクション・XSSをブロック
  • Webアプリ専用の防御
WAFが防ぐ主な攻撃
SQLインジェクション
入力欄に悪意あるSQL文を埋め込み、DBを不正操作する攻撃。WAFが「SQLらしいパターン」の通信を遮断する。
XSS(クロスサイトスクリプティング)
Webページにスクリプトを仕込み、閲覧者のブラウザで実行させる攻撃。WAFが悪意あるスクリプトタグを検知・遮断する。
その他Webアプリ攻撃
OSコマンドインジェクション・パス・トラバーサル等、Webアプリ特有のパターン攻撃を幅広くブロックする。
ひっかけ注意ポイント
WAF ≠ ファイアウォール
普通のファイアウォールはIPアドレス・ポート番号で通信を制御する。WAFはその上位にあり、HTTPの「中身(リクエスト内容)」を読んで判断する。層が違う。
WAFがあればすべてのサイバー攻撃を防げる、は誤り
WAFはWebアプリへの攻撃に特化。ネットワーク層の攻撃(DoS等)やフィッシングはWAFでは防げない。多層防御が必要。
IDS・IPSとの混同
IDSは侵入「検知」のみ、IPSは検知+「遮断」。WAFはWeb通信に特化した遮断装置。スコープが異なる。
覚え方(無理やりゴロ)
WAF=ワッフル型の壁
ワッフルの格子=怪しい通信だけ「引っかける」フィルタ

普通のFWは「門番」(来ていいか?を番地で判断)
WAFは「手荷物検査員」(中身を開けて危険物を探す)
→ 中身を見るかどうか、が違い
ITパスポート 詳細解説 / HTML+SVG(文字はすべてテキスト)