Web_Application_Firewallとは? わかりやすく解説

Weblio 辞書 > 辞書・百科事典 > デジタル大辞泉 > Web_Application_Firewallの意味・解説 

ウェブアプリケーション‐ファイアウォール【web application firewall】

読み方:うぇぶあぷりけーしょんふぁいあうぉーる

ウェブアプリケーション通じた不正アクセス起こらないよう防御するシステムファイアウォールの一。データやり取り精査し危険性のある不正入力をあらかじめ遮断して安全性問題のない入力だけを受け入れるようにするもの。WAF(web application firewall)。


ワフ【WAF】

読み方:わふ

《web application firewall》⇒ウェブアプリケーションファイアウォール


WAF

フルスペル:Web Application Firewall
読み方ワフ
別名:Webアプリケーションファイヤーウォール

WAFとは、外部ネットワークからの不正アクセスを防ぐためのソフトウェア(あるいはハードウェア)であるファイアーウォール中でもWebアプリケーションやり取り把握管理することによって不正侵入防御することのできるファイアウォールのことである。

WAFの特徴としては、従来ファイヤーウォールがネットワークレベルで管理していたことに対して、WAFはアプリケーションレベル管理を行う、といった点を挙げることができる。WAFでは、プログラム渡される入力内容などを直接検査することによって、不正と見なされたアクセス要求遮断するという仕組み採用されている。クライアント操作するWebブラウザWebサーバ仲介するかたちで存在しブラウザとの直接的なやり取りをWAFが受け持つ。そのことによってSQLインジェクションクロスサイトスクリプティング強制ブラウジングといった要求に対して、「攻撃」と見なし拒絶することができる。

WAF以前従来型ファイヤーウォールでは、おおむねルータ外部ネットワークとの間に設置され通信プロトコルレベル通信可不可判断する仕組み採用されている。例えば「特定のIPアドレス以外は通信遮断する」という設定外部接続拒否されるとか、あるいはポート番号ごとに、WWW向けて80番ポート転送制御メールであれば25ポート制御する、といった設定がとられてきた。ただし、こういったタイプ設定方法では、どのようなWebアプリケーションインターネットサービス)が存在しているかを感知することもできなければ通信そのもの通常のアクセスと同様である不正アクセス遮断しきれないという問題があった。すなわち、Webアプリケーション脆弱性狙った攻撃に対して従来型ファイヤーウォールは満足なセキュリティ効果発揮することができなかったといえる

WAFを導入することによって、Webアプリケーションへのセキュリティ対策軽減されWebアプリケーション開発にかかるコスト削減を図ることができるとされる


参照リンク
WAF製品「TrafficShield」 ‐F5 Networks Japan

Web Application Firewall

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/07/30 04:48 UTC 版)

Web Application Firewall(略称:WAF、ワフ)とはウェブアプリケーション脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティの一種[1]。WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。WAFを使用することで、以下の効果が期待できる[1]

  • 脆弱性を悪用した攻撃からウェブアプリケーションを防御する。
  • 脆弱性を悪用した攻撃を検出する。
  • 複数のウェブアプリケーションへの攻撃をまとめて防御する。

検出パターンにクレジットカードの番号個人番号といった特徴のある個人情報のパターンを設定することで、そういった個人情報が悪意のある人に送信されてしまうことを防ぐといった使い方もできる[1]

セキュリティ対策としては、ウェブアプリケーションの実装面での根本的な対策ではなく、あくまでも攻撃による影響を低減する運用面での対策となる[1]

ウェブアプリケーションそのものに脆弱性を作り込まないために対策も各種あるが、現実的にはウェブアプリケーションの脆弱性を悪用した攻撃は後を絶たない。また、脆弱性が発見された場合においても、ウェブサイト運営者側の事情から即時に脆弱性を修正できないという実情もある。このため、ウェブアプリケーションが攻撃の被害にあわないためのセキュリティ対策の一つとして、WAFの使用が有効だと考えられている[1]

WAFを導入する主なケースとして、レンタルサーバ提供ベンダーや、複数のグループ企業を束ねている大手企業など、直接自分で管理していないウェブアプリケーションを保護したい場合、他社が開発したウェブアプリケーションを利用しているなど自分では脆弱性を防ぐことができない場合、事業継続の観点からウェブアプリケーションを停止できず脆弱性を行ったりパッチを当てたりできない場合等があり[2]、根本対策のコストよりもWAFの導入・運用のコストのほうが安い場合にWAFを導入する[2]

PCI-DSSでは、定期的なアプリケーションコードの見直しかWAFの導入のいずれかを行わなければならないと定められている[3]

概要

WAFはウェブサイトの前に設置し、ウェブアプリケーションの脆弱性に対する攻撃と思われる通信の遮断等を行うものであり、LANとインターネットの境界などに設置されることが多い通常のファイヤーウォールとは(その名称にもかかわらず)機能が異なる[4]。WAFが検知する攻撃はウェブサイトへのものに特化しており、HTMLを解釈してクロスサイトスクリプティングSQLインジェクションなどの攻撃を遮断する。

攻撃を遮断する点においてIPSと類似するが、IPSはOSやファイル共有サービスなど様々なものに対する攻撃を遮断するために不正な通信パターンをブラックリストとして登録しておくのに対し、WAFの防御対象はウェブアプリケーションに限定されている為ブラックリスト型の遮断のみならず、正常な通信を事前登録してホワイトリスト型の遮断も行うことができる[5]

WAFにはHTTP通信(リクエスト、レスポンス)を検査し、検査結果に基づいて通信を処理し、処理結果をログとして出力する機能がそなわっている[6]。通信の検査は前述のようにホワイトリストブラックリストを用いて行う。検査結果に基づいた通信の処理としては、そのまま通過させる、エラー応答を返す、遮断する、通信内容の一部を書き換えた上で通過させる、という4通りがある[7]。またセッションのパラメータの正当性やHTTPリクエストの正当性を確認してCSRF等の攻撃を防ぐ機能、ウェブサイトの画面遷移の正当性を確認する機能、ホワイトリストやブラックリストを自動更新する機能、ログをレポートの形で出力する機能、不正な通信を管理者にメール等で通知する機能等がついている事もある[8]

WAFはウェブアプリケーションがあるサーバ(=ウェブサーバ)にインストールする場合と、ウェブサーバとインターネットの間に別サーバを設置してそこにインストールする場合がある。それぞれの比較は下記のとおりである[9]

インストール場所 利点 欠点・制約
ウェブサーバ
  • ウェブサーバがHTTPSに対応していればWAFがHTTPSに対応していなくてもHTTPSを処理できる。
  • ウェブサーバの動作環境に依存する
  • 複数のウェブサーバがある場合その全てにWAFを導入する必要がある。
  • WAFがウェブサーバの性能劣化の原因になる可能性がある
ウェブサーバとインターネットの間にある別のサーバ
  • ウェブサーバの動作環境に依存しない
  • 複数のウェブサーバがあっても1台のWAFで防御できる(ようにネットワークを構成できる)。特にネットワークベンダーがWAFを用意してくれれば、そのベンダーを利用してウェブサーバを構築した企業は自身でWAFを導入しなくて済む
  • 既存のウェブサイトに後からWAFを導入する場合はネットワーク構成を見直す必要がある
  • WAFによりウェブサイトの可用性が劣化する可能性がある

なお、たとえばウェブアプリケーションの認可機能に問題があるが、HTTP通信自身には問題がないケースなどではWAFは異常を検知してくれないので別の対策が必要となる[10]

WAF の進化の過程

急激に変化するIT環境や益々高度化するサイバー攻撃の増加に伴い、WAFも進化してきた。その進化の過程は動作方式によって第1、第2、第3世代とその次の世代として分けられる。

第1世代 WAF

第1世代のWAFは、ブラックリスト及びホワイトリストを管理者があらかじめ登録しておいて、Webトラフィックをアプリケーション層で分析する際、その内容が登録されているパターンと一致するかどうかを比較する方式を採用した。

- 限界

第1世代のWAFは新・変種攻撃に柔軟に対応できるようにパターンの範囲を広げて登録する方法を使ってきた。しかし、これは却って正常なWebトラフィックを攻撃として検知してしまう現状を招いた。攻撃タイプが多様化していくことにつれ登録されているパターン数もともに増加してきて、パフォーマンスの劣化につながるといった問題も発生した。また、人によりパターンをアップデート作業が行われたため、運用負担も大幅に増加した。

第2世代WAF

第2世代WAFは、Webアプリケーションを一定期間モニタリングし安全だと判断されたアクセスをホワイトリストとして自動作成する「リスト自動作成機能」が搭載された。

- 限界

第2世代のWAFは第1世代WAFと同じ構造で設計されたため、Webセキュリティ環境に存在する様々なWeb攻撃に適切に対応できず、結局第1世代WAFの限界であったパフォーマンス劣化や誤検知の問題は引き続き解決できなかった。また、依然として管理者による手動設定が必要であったため結果的に全体的な管理負担を増加につながった。

第3世代 WAF

第3世代WAFは、Web攻撃タイプ別に「ブラックリスト検知」、「ファイトリスト検知」、「Webトラフィックコンテンツ分析」などの技術を結合させ、論理的に攻撃を検知する仕組みで、第1・2世代のWAFに比べ極めて低い誤検知率を実現した。また、最小限のパターンを追加するだけで、攻撃の変種も直ちに防衛でき、パターン登録によるパフォーマンス劣化問題も解決した。

- 第3世代WAFの次は

現在のWAFは検知能力を更に高めるためにAI・マシンラーニング技術を用いて、第3世代のWAFを補っていく方向に進化している。

代表的なオープンソースソフトウェアのWAF

韓国インターネット振興院オープンソースソフトウェアのWAFとして以下のソフトウェアを紹介している[1]

参考文献

出典・脚注

外部リンク


「Web Application Firewall」の例文・使い方・用例・文例

Weblio日本語例文用例辞書はプログラムで機械的に例文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。


英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

すべての辞書の索引

「Web_Application_Firewall」の関連用語

Web_Application_Firewallのお隣キーワード
検索ランキング

   

英語⇒日本語
日本語⇒英語
   



Web_Application_Firewallのページの著作権
Weblio 辞書 情報提供元は 参加元一覧 にて確認できます。

   
デジタル大辞泉デジタル大辞泉
(C)Shogakukan Inc.
株式会社 小学館
IT用語辞典バイナリIT用語辞典バイナリ
Copyright © 2005-2025 Weblio 辞書 IT用語辞典バイナリさくいん。 この記事は、IT用語辞典バイナリの【WAF】の記事を利用しております。
ウィキペディアウィキペディア
All text is available under the terms of the GNU Free Documentation License.
この記事は、ウィキペディアのWeb Application Firewall (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。
Tanaka Corpusのコンテンツは、特に明示されている場合を除いて、次のライセンスに従います:
 Creative Commons Attribution (CC-BY) 2.0 France.
この対訳データはCreative Commons Attribution 3.0 Unportedでライセンスされています。
浜島書店 Catch a Wave
Copyright © 1995-2025 Hamajima Shoten, Publishers. All rights reserved.
株式会社ベネッセコーポレーション株式会社ベネッセコーポレーション
Copyright © Benesse Holdings, Inc. All rights reserved.
研究社研究社
Copyright (c) 1995-2025 Kenkyusha Co., Ltd. All rights reserved.
日本語WordNet日本語WordNet
日本語ワードネット1.1版 (C) 情報通信研究機構, 2009-2010 License All rights reserved.
WordNet 3.0 Copyright 2006 by Princeton University. All rights reserved. License
日外アソシエーツ株式会社日外アソシエーツ株式会社
Copyright (C) 1994- Nichigai Associates, Inc., All rights reserved.
「斎藤和英大辞典」斎藤秀三郎著、日外アソシエーツ辞書編集部編
EDRDGEDRDG
This page uses the JMdict dictionary files. These files are the property of the Electronic Dictionary Research and Development Group, and are used in conformance with the Group's licence.

©2025 GRAS Group, Inc.RSS