WAF
定義
WAF(Web Application Firewall)はWebアプリケーションへのHTTPトラフィックを検査し、SQLインジェクション・XSS・CSRFなどのアプリケーション層攻撃を検知・遮断するセキュリティシステムです。通常のネットワークファイアウォールはHTTPS通信の中身を検査できませんが、WAFはTLS終端を行いOWASP CRS(Core Rule Set)などのルールでペイロードを解析します。クラウドWAF(Cloudflare WAF・AWS WAF・Azure WAF)はエッジでトラフィックを処理するため、オリジンサーバーへの攻撃到達を防ぎながらDDoS対策と組み合わせられます。WAFはシグネチャの定期更新・例外ルールのチューニング・新しい攻撃パターンへの継続的な対応が必要で、管理コストがかかります。根本的なコード修正(プリペアドステートメント・出力エスケープ)を代替するものではなく、補完的な防御層として位置づけることが重要です。
関連用語
WAFが登場する記事・比較
よくある質問
WAFとは?
Webアプリケーションへの攻撃(SQLi・XSS・CSRFなど)を検知・遮断するセキュリティ装置。HTTPレベルで動作し、通常のファイアウォールでは防御できないアプリ層の攻撃に対応する。
同じカテゴリの用語(防御・対策)
利用者が求めたOAuthアプリ権限を、管理者が審査して承認・却下するための運用フロー。…
Kubernetesでリソース作成・更新リクエストを受け付ける前に、検証や変更を行う制御ポイント。…
大量のアラートや低品質な通知により、担当者が重要な警告を見逃しやすくなる状態。…
許可された対象だけを通す制御リスト。アプリ、IP、ドメイン、拡張機能、APIなどで使われる。…
個人を識別できないよう、不可逆にデータを加工すること。再識別リスクを十分に下げる設計と検証が必要。…
APIへのリクエスト回数や頻度を制限する仕組み。過負荷、乱用、認証情報攻撃、コスト増大を抑える。…
関連するレッスン
組織を守る実践的な防御策を学ぶ