wafとは？ わかりやすく解説

デジタル大辞泉

ワフ【WAF】

読み方：わふ

《web application firewall》⇒ウェブアプリケーションファイアウォール

IT用語辞典バイナリ

WAF

フルスペル：Web Application Firewall
読み方：ワフ
別名：Webアプリケーションファイヤーウォール

WAFとは、外部ネットワークからの不正アクセスを防ぐためのソフトウェア（あるいはハードウェア）であるファイアーウォールの中でも、Webアプリケーションのやり取りを把握・管理することによって不正侵入を防御することのできるファイアウォールのことである。

WAFの特徴としては、従来のファイヤーウォールがネットワークレベルで管理していたことに対して、WAFはアプリケーションのレベルで管理を行う、といった点を挙げることができる。WAFでは、プログラムに渡される入力内容などを直接に検査することによって、不正と見なされたアクセス要求を遮断するという仕組みが採用されている。クライアントの操作するWebブラウザとWebサーバを仲介するかたちで存在し、ブラウザとの直接的なやり取りをWAFが受け持つ。そのことによってSQLインジェクションやクロスサイトスクリプティング、強制ブラウジングといった要求に対して、「攻撃」と見なして拒絶することができる。

WAF以前の従来型ファイヤーウォールでは、おおむねルータと外部ネットワークとの間に設置され、通信プロトコルのレベルで通信の可不可を判断する仕組みが採用されている。例えば「特定のIPアドレス以外は通信を遮断する」という設定で外部接続が拒否されるとか、あるいはポート番号ごとに、WWWに向けては80番ポートの転送制御、メールであれば25番ポートを制御する、といった設定がとられてきた。ただし、こういったタイプの設定方法では、どのようなWebアプリケーション（インターネットサービス）が存在しているかを感知することもできなければ、通信そのものは通常のアクセスと同様である不正アクセスを遮断しきれないという問題があった。すなわち、Webアプリケーションの脆弱性を狙った攻撃に対して従来型のファイヤーウォールは満足なセキュリティ効果を発揮することができなかったといえる。

WAFを導入することによって、Webアプリケーションへのセキュリティ対策は軽減され、Webアプリケーションの開発にかかるコストの削減を図ることができるとされる。

---

参照リンク
WAF製品「TrafficShield」 ‐F5 Networks Japan

航空軍事用語辞典++

【WAF】(わっふ)

Woman in the Air Force.
空軍や航空自衛隊の女性隊員のこと。

関連：WAC WAVE

ウィキペディア

WAF

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2018/03/11 04:22 UTC 版)

＊世界アニメ連盟

ウィキペディア小見出し辞書

WAF

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2022/05/02 00:27 UTC 版)

「サイバーセキュリティ」の記事における「WAF」の解説

詳細は「Web Application Firewall」を参照 WAF（Web Application Firewall）は、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ。WAFはウェブサイトの前に設置し、ウェブアプリケーションの脆弱性に対する攻撃と思われる通信の遮断等を行うものであり、LANとインターネットの境界などに設置されることが多い通常のファイヤーウォールとは（その名称にもかかわらず）機能が異なる。WAFが検知する攻撃はウェブサイトへのものに特化しており、HTMLを解釈してクロスサイトスクリプティングやSQLインジェクションなどの攻撃を遮断する。 攻撃を遮断する点においてIPSと類似するが、IPSはOSやファイル共有サービスなど様々なものに対する攻撃を遮断するために不正な通信パターンをブラックリストとして登録しておくのに対し、WAFの防御対象はウェブアプリケーションに限定されている為ブラックリスト型の遮断のみならず、正常な通信を事前登録してホワイトリスト型の遮断も行うことができる。 WAFを導入する主なケースとして、レンタルサーバ提供ベンダーや、複数のグループ企業を束ねている大手企業など、直接自分で管理していないウェブアプリケーションを保護したい場合、他社が開発したウェブアプリケーションを利用しているなど自分では脆弱性を防ぐことができない場合、事業継続の観点からウェブアプリケーションを停止できず脆弱性を行ったりパッチを当てたりできない場合等があり、根本対策のコストよりもWAFの導入・運用のコストのほうが安い場合にWAFを導入する。 WAFにはHTTP通信（リクエスト、レスポンス）を検査し、検査結果に基づいて通信を処理し、処理結果をログとして出力する機能がそなわっている。通信の検査は前述のようにホワイトリスト、ブラックリストを用いて行う。検査結果に基づいた通信の処理としては、そのまま通過させる、エラー応答を返す、遮断する、通信内容の一部を書き換えた上で通過させる、という４通りがある。またセッションのパラメータの正当性やHTTPリクエストの正当性を確認してCSFR等の攻撃を防ぐ機能、ウェブサイトの画面遷移の正当性を確認する機能、ホワイトリストやブラックリストを自動更新する機能、ログをレポートの形で出力する機能、不正な通信を管理者にメール等で通知する機能等がついている事もある。 なお、たとえばウェブアプリケーションの認可機能に問題があるが、HTTP通信自身には問題がないケースなどではWAFは異常を検知してくれないので別の対策が必要となる。

※この「WAF」の解説は、「サイバーセキュリティ」の解説の一部です。
「WAF」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。