【登壇レポート】WAF基礎編

2025年10月1日に、スカイアーチ社との協賛ウェビナーに、当社小松が登壇させていただきました。その中から内容を抜粋し、スライドと共に紹介していきます。

WAFとは？

WAF（ワフ）とは Web Application Firewall（ウェブアプリケーション・ファイアウォール） の略称です。

その名の通り、Webアプリケーションへの攻撃に特化したセキュリティ対策製品であり、公開されているWebサイトやWebアプリを不正アクセスから守ります。

通常のファイアウォール（FW）がネットワーク層の通信制御を、IPS/IDSがOSやミドルウェア層の脆弱性を防ぐのに対し、WAFは**アプリケーション層（L7）**を保護対象とします。その名の通り、ウエブアプリケーションに特化した、ファイヤーウォールとなります。公開されている、アプリやウエブサイトのセキュリティに特化した、セキュリティ製品です。

WAFは必要？IPS/IDSとの違いは？

一見、FW（ファイアウォール）やIPS/IDS（侵入防止・検知システム）で十分に思えるかもしれません。

しかし実際には、防御できる攻撃の層（レイヤー）が異なります。

たとえば、TCPの3wayハンドシェイクを悪用する SYNフラッド攻撃はIPS/IDSで防御できますが、「同一IPから数秒間に一定数以上のリクエストが来たらブロックする」といったレートリミット（Rate Limiting）機能を活用する対策は、WAFの得意分野です。

このように、FW／IPS／WAFはそれぞれ守る層が異なり、どれか1つで十分ではありません。複数の防御層を重ねる「多層防御（Defense in Depth）」が、現代のセキュリティでは必須です。

進化する攻撃手法と、WAFの必要性

近年では、AIを活用したbotによる攻撃が爆発的に増加しています。

特定企業だけでなく、公開されているサイトはすべて攻撃がされていると、理解をした方がいいくらい、広がりを見せています。

10年前以上前、私がWAF製品のプロダクトマネージャーを担当していた当時は、WAFはアプライアンス型が主流で、導入には、機器とインテグレーション費用含め、1,000万円を超えるのが当たり前でした。そのため官公庁や大手インフラ企業など、一部の組織しか導入できませんでした。

しかし現在では、クラウド技術の進化により、AWS WAFなどのクラウドサービスが登場し、さらにはCloudflareのように無料で利用できるWAFも存在しています。

Webに公開するサービスには、WAFも導入する。

それそれのセキュリティ製品が正しい理解と共に、当たり前に導入されていくことを願っています。

本登壇の詳細につきましては、以下より資料のダウンロードが可能となっておりますので、ぜひご覧ください。