WAF(読み方はワフ)はWeb Application Firewall（ウェブアプリケーションファイアウォール）の略で、
webアプリケーションに対する攻撃から保護するためのセキュリティ対策の一つです。

通常のファイアウォールがネットワークレベルやトランスポートレベルの通信（IPアドレスやポート番号など）を監視・制御するのに対し、
WAFはHTTPやHTTPSといったアプリケーションレベルの通信を解析し、攻撃を検知・防止します。
WAFは、SQLインジェクションやクロスサイトスクリプティング（XSS）、ファイルアップロード攻撃、パス・トラバーサルなど、
Webアプリケーション特有の脅威からシステムを保護する役割を担っています。

ちょっと小難しい言い方になってしまいましたが、
ざっくり言うとWAFは、webサイトの改竄や、ECサイトや会員サイトなど顧客の重要な情報漏洩を防ぐ為に
絶対に必要なセキュリティ対策と覚えていればオッケーです。

クレジットカード業界のセキュリティ基準ではWAFの導入が推奨・義務化されている場合もあり、
法令・ガイドラインへの対応として必要な対策の一つになっているWAFについて機能や導入効果などを以下に詳しく解説します。

WAFの主な機能

1.不正リクエストの検知とブロック

シグネチャベースの検知：攻撃パターンに一致するリクエストをブロックします。
行動分析（アノマリーベース）検知：通常とは異なる挙動を検知し、未知の攻撃にも対応します。
ポリシーベース制御：カスタムルールに基づき、アクセス制御や制限を実施します。

2.入出力のサニタイズ（検証・無害化）

入力フォームやURLパラメータに対して、不正なコードやスクリプトの混入を検知します。
( 例えば、「<script>タグを含む文字列は拒否」といった設定が可能です。)

3.ログ・アラート通知機能

攻撃の発生状況や種類、対象URLなどをログに記録します。
管理者に対し、リアルタイムでのアラート通知を行うこともできます。

4.キャッシュや圧縮の最適化（WAFの種類によって）

一部のWAF製品はWebサーバーの負荷軽減のために、キャッシュや圧縮の処理も行えます。

WAFの導入効果

1.情報漏えいやサイト改ざんからの保護

WAFの最大の利点は、Webアプリケーションを経由した情報漏洩やWebサイトの改ざんを防げる点にあります。
とくに、個人情報やクレジットカード情報などの機密性の高いデータを取り扱うECサイトや会員制サイトにおいては、WAFによるセキュリティ対策は欠かせません。

wordpress等のcmsでサイト管理・運営を行っている方は、WAFの導入が未実施の場合、サイトの改竄リスクが高まります。
実際にサイト改竄の被害に遭われた方のご相談者様の大多数がwordpressで管理・運営を行っていてWAF導入未実施の方です。

2.脆弱性対応までの暫定的な措置

例えばECサイトで、二要素認証の導入や、支払い画面にセキュリティコード入力欄の導入が出来ずに困っている場合や、アプリケーションの脆弱性が発見できたが、対応に時間がかかる場合など暫定的なパッチとしてWAFは効果があります。

WAFが防ぐ事ができる代表的な攻撃

1.SQLインジェクション

データベースに対する不正なクエリを注入する攻撃。WAFは不自然なSQL構文を検知し、通信を遮断します。

2.クロスサイトスクリプティング（XSS）

ユーザーのブラウザで不正スクリプトを実行させる攻撃。JavaScriptなどの埋め込みを防止します。

3.パス・トラバーサル

システム内のファイルパスを遡って、機密ファイルへアクセスする攻撃を防ぐます。

4.ファイルアップロード攻撃

マルウェアやシェルスクリプトのアップロードによるシステム乗っ取りを防止します。

5.DDoS攻撃（一部対応）

アプリケーション層のDDoS（大量のHTTPリクエスト）を検知し、緩和する機能を備えるWAFもあります。

WAFの種類

WAFには大きく分けてクラウド型、アプライアンス型、ソフトウェア型の3種類があり、それぞれに強みと課題があります。

1.クラウド型WAF（SaaS型 / マネージド型）

クラウドベースで提供されるWAFで、インターネット上のWAFプロバイダを経由してWebトラフィックを保護します。
DNS設定の変更やリバースプロキシの設定を行うことで、導入が可能です。

（例：Cloudflare、AWS WAF、Akamai、Impervaなど）

特徴・メリット

• 初期導入が簡単で、短期間で運用可能
• 自社でハードウェアの管理が不要
• 常に最新のシグネチャに自動更新される
• 大量アクセスにもスケーラブルに対応
• 一部はCDNやDDoS防御と統合されており、多機能

デメリット

• 通信経路がクラウド事業者を経由するため、レイテンシが発生する場合がある
• 細かいルール設定やチューニングに制限がある場合も
• 自社サーバー環境に合わせた高度なカスタマイズは困難なことが多い

適したケース

• Webサービスをクラウド上に展開している企業
• セキュリティの専門人材が社内にいない中小企業
• 多拠点でサービスを展開し、全体を統合的に保護したい場合

2.アプライアンス型WAF（ハードウェア型）

物理的なセキュリティ機器として提供されるWAFで、データセンターやオンプレミス環境に直接設置して利用します。
主に企業のネットワーク内に配置され、Webサーバーの手前に設置されることが多いです。

（例：F5 BIG-IP ASM、Imperva SecureSphereなど）

特徴・メリット

• パフォーマンスが高く、トラフィック量の多いサイトに向いている
• カスタマイズ性が高く、ポリシーの細かい設定が可能
• 自社のセキュリティポリシーに則った厳格な運用ができる
• セグメントごとの保護や複雑なアーキテクチャに対応可能

デメリット

• 導入コストが高く、初期投資や保守費用も大きい
• 機器の管理・運用には専門知識が必要
• シグネチャやファームウェアの更新を自社で行う必要がある

適したケース

• 自社データセンターを持ち、高度な制御が必要な大規模企業
• 機密性が高い情報を扱い、独自のセキュリティポリシーを強化したいケース
• 金融機関・政府機関など、高い可用性と制御性が求められる業種

3.ソフトウェア型WAF（仮想アプライアンス型 / モジュール型）

ソフトウェアとして提供され、Webサーバー（ApacheやNginxなど）にモジュールとして組み込むか、仮想マシン（VM）上にインストールして運用します。
オンプレミスにもクラウド環境にも対応可能です。

（例：ModSecurity、NAXSI、FortiWeb VMなど）

特徴・メリット

• ハードウェアを必要とせず、仮想環境やクラウドに容易に導入可能
• オープンソース型（ModSecurityなど）は無料で使える
• 自社のニーズに合わせた柔軟なカスタマイズが可能

デメリット

• ルール設定やチューニングに専門知識が必要
• 誤検知・過検知を起こしやすく、初期運用に時間がかかる
• 大規模トラフィックには性能面で限界がある場合も

適したケース

• 中〜小規模のWebアプリケーションを自社で運用している場合
• エンジニアリソースがあり、自社で設定・運用できる企業
• コストを抑えながら最低限の防御を確保したい場合

どのタイプを選択するかは、自社のITインフラ、予算、運用体制、セキュリティ要件に応じて決定することが重要です。

たとえば、コストを抑えつつ早く導入したいなら「クラウド型」、堅牢なセキュリティと制御を求めるなら「アプライアンス型」、自社運用に強みがあるなら「ソフトウェア型」が適していると言えるでしょう。

WAFとファイアウォールやIDS/IPSとの違い

WAFは、従来のファイアウォールやIDS/IPSと同じ「セキュリティ対策」のカテゴリに属しますが、それぞれ 守る対象や防御方法が大きく異なります。以下に、それぞれの役割や違いを詳しく解説します。

ファイアウォール（FW）

防御対象	ネットワーク層・トラフィック全体
階層	ネットワーク層（L3/L4）
目的	通信の「許可 / 拒否」を判断し、不正なアクセスの「入口を遮断」する。
機能	IPアドレスやポート番号に基づいて通信をフィルタリング

ファイアウォールは、IPアドレス「123.123.123.123」からの通信をブロックする事はできますが、
HTTPリクエストの「中身（パラメータ）」までは見ません。
またWebアプリケーション固有の攻撃（SQLi、XSSなど）は防ぐ事はできません。

IDS（Intrusion Detection System：不正侵入検知システム） / IPS（Intrusion Prevention System：不正侵入防止システム）

防御対象	OSやミドルウェア層
階層	OSやミドルウェア層（第5・6層）
目的	IDSは攻撃を検知する（ログや通知が中心）。IPS攻撃を検知してブロックする（能動的防御）
機能	トラフィックを監視し、シグネチャ（既知の攻撃パターン）と照合

IDS / IPSは、既知のマルウェア通信やDoS攻撃をブロックする事が出来ますが、Webアプリ特有の動的なリクエストやビジネスロジック攻撃は苦手としています。

WAF（Web Application Firewall）

防御対象	SQLインジェクション（SQLi） クロスサイトスクリプティング（XSS） OSコマンドインジェクション ファイルアップロード攻撃 CSRF（クロスサイトリクエストフォージェリ）
階層	アプリケーション層（第7層）
目的	Webアプリケーション層への攻撃をブロック
機能	HTTPリクエストやレスポンスの「内容」を解析 Cookie、URLパラメータ、POSTデータなどを精査

WAFは、ファイアウォールやIDS/IPSを併用することで、多層防御（Defense in Depth）を実現します。

WAF導入のメリット

1.Webアプリのセキュリティ強化

ソースコードを改修せずにセキュリティを向上させる手段として有効。

2.ゼロデイ攻撃や未知の攻撃への対応

AIやアノマリ検知型WAFを用いれば、新しい攻撃にも対応しやすい。

3.法令・ガイドラインへの対応

PCI DSS（クレジットカード業界のセキュリティ基準）ではWAFの導入が推奨・義務化されている項目もある。

4.管理の簡略化（クラウド型の場合）

クラウドWAFはチューニングやアップデートもベンダーが行うため、運用負担が軽減。

WAF導入時の注意点

誤検知・過検知のリス

正常なリクエストまでブロックしてしまう可能性があるため、初期設定やチューニングが重要。

HTTPS通信の中身を見るには復号が必要

SSL/TLS通信を解析するためには、復号プロセス（SSLターミネーション）を挟む必要がある。

トラフィック増加によるパフォーマンス影響

全トラフィックを解析するため、WAF自体の処理能力も重要。

まとめ

WAFは、Webアプリケーションを狙った高度かつ巧妙な攻撃からシステムを守るための防御手段です。
現代のWebサービスでは、日々新しい攻撃手法が登場しており、WAFはその最前線でアプリケーションを守る盾のような存在です。
特に、クラウドサービスの普及やリモートアクセスの一般化により、WAFの重要性はますます高まっています。
単なるオプションではなく、Webアプリ開発・運用において不可欠なセキュリティ対策として、導入と運用の検討が強く推奨されます。