WAF(わふ)
最終更新:2026/4/25
WAFは、Webアプリケーションに対する攻撃を検知・防御するためのセキュリティ対策技術である。
別名・同義語 Webアプリケーションファイアウォール
ポイント
WAFは、SQLインジェクションやクロスサイトスクリプティングなどの攻撃からWebアプリケーションを保護するファイアウォールの一種である。
WAFとは
WAF(Web Application Firewall)は、Webアプリケーションを保護するために設計されたセキュリティ対策です。従来のネットワークファイアウォールがネットワーク層でトラフィックを制御するのに対し、WAFはアプリケーション層でHTTP/HTTPS通信の内容を詳細に検査し、悪意のあるリクエストを検知・遮断します。
WAFの主な機能
WAFは、以下のような攻撃からWebアプリケーションを保護します。
- SQLインジェクション: データベースを不正に操作しようとする攻撃
- クロスサイトスクリプティング (XSS): 悪意のあるスクリプトをWebサイトに埋め込み、ユーザーを欺く攻撃
- クロスサイトリクエストフォージェリ (CSRF): ユーザーの意図しない操作を実行させる攻撃
- ファイルインクルージョン: Webサーバー上のファイルを不正に読み込ませる攻撃
- DDoS攻撃: 大量のトラフィックを送り込み、Webサイトをダウンさせる攻撃
WAFの種類
WAFには、大きく分けて以下の2つの種類があります。
- ハードウェアWAF: 専用のハードウェアアプライアンスとして設置するWAF
- ソフトウェアWAF: Webサーバー上で動作するソフトウェアとして実装するWAF
近年では、クラウド型のWAFサービスも普及しており、手軽に導入・運用できる点がメリットです。
WAF導入の注意点
WAFは万能なセキュリティ対策ではありません。WAFを導入する際には、以下の点に注意する必要があります。