WAF (Web Application Firewall) は、Web アプリケーション向けの特別なタイプのファイアウォールです。WAF は、Web アプリケーションとインターネット間のシールドとして機能し、悪意のあるリクエストトラフィックを検出し、ブロックしてサーバーを保護します。
WAF は、Web サービスとの通信における HTTP と HTTPS のトラフィックをフィルタリング、モニタリング、ブロックして、こうした脅威から保護します。サービスに対して適切に設定、有効化されると、WAF は DDoS 攻撃に加えて SQL インジェクション攻撃やクロスサイトスクリプティング (XSS) 、HTTP プロトコル違反など、Web アプリケーションの脆弱性を狙ったアプリケーションレイヤー (レイヤー7) への攻撃を阻止するのに役立ちます。
WAF は、単体であらゆる種類の脅威や攻撃を防ぐのではなく、Web サイトやアプリケーションを保護するツールセットの一部として、重要な役割を担います。どのトラフィックが安全であるか、あるいは悪意があるかを判断する (つまり WAF が許可またはブロックするトラフィックを決定する) ルールは「ポリシー」と呼ばれます。
WAF を使用する 各企業またはユーザーは、それぞれ独自の要件に合わせてポリシーをカスタマイズできます。また、ポリシーは迅速かつ自動的に更新が可能です。簡単にポリシーを修正し、さまざまな種類の攻撃に素早く対応できることは、WAF のメリットのひとつです。
WAF は主に、オンプレミス、クラウド、ハイブリッドという3つの環境でデプロイできます。
最も一般的なのは、アプライアンス WAF とも呼ばれるオンプレミス WAF です。WAF は元々すべてオンプレミスであり、現在でも多数の企業がオンプレミス WAF を (特にレガシーアプリなどのワークロードの保護に) 活用しています。
クラウド WAF (Cloud WAF) は、ベンダーがホストするクラウド上、またはコンテンツ配信ネットワーク (CDN) のエッジに設置されます。クラウド WAF のソリューションは、脅威がネットワークに侵入してオリジンに近づく前にブロックできることから、広く普及しつつあります。
クラウド WAF は、他の種類の WAF よりも素早く稼働させることが可能です。社内チームが自分たちのインフラストラクチャを完全にコントロールできない場合や、社内の IT リソースに限りがある場合など、さまざまなケースにおいて理想的なオプションといえます。
組織にとっては、ソフトウェアをデプロイせずに保護できる点も、クラウド WAF を選択する理由のひとつでしょう。このソリューションによってコスト削減を実現できるだけでなく、ソフトウェアの管理が不要になり、アプリやアプリケーション・プログラミング・インターフェイス (API) を侵害する脅威への対応に専念できるようになります。
ハイブリッド WAF は、オンプレミスとクラウドベースのデプロイを組み合わせることで、どのような環境でもアプリケーションや API に対する Web リクエストを可視化します。
ハイブリッドデプロイにより、企業はクラウドに適応していないレガシーアプリケーションと、最新の分散型アプリケーションのどちらも保護できます。このデプロイモデルでは、オンプレミスとクラウドベースの WAF を組み合わせ、本番環境のセキュリティに関するテレメトリを一元管理が可能なコンソールに送信します。これにより、本番環境にデプロイされた WAF 全体の情報を、分かりやすいダッシュボードやレポートで確認できるようになります。
さらに、デプロイ方法を問わずに、セキュリティデータや指標をサードパーティの SIEM (セキュリティ情報/イベント管理) ツールや、SOAR (セキュリティのオーケストレーションとレスポンを自動化するソリューション) ツールに提供できる API の利用が可能な WAF が理想的です。
Web アプリケーションと API の保護 (WAAP) とは、脆弱性のある Web アプリケーションと API の保護を目的に設計されたクラウドベースのサービスを指す用語です。これらは、さまざまな種類の攻撃から Web アプリケーションと API を保護します。WAAP サービスは、アプリケーションや API エンドポイントに到達する前に Web リクエストを効果的に検査して脅威をブロックします。
WAAP は、OSI モデル のアプリケーションレイヤー (レイヤー7) のみを保護の対象とし、ネットワークの外側のエッジに設置されます。クラウド WAAP サービスには通常、ボット対策や WAF、API 保護、DDoS 対策などが含まれます。