ネットワークセキュリティ
Web アプリケーションファイアウォール(WAF)
別称: WAF
定義
リバースプロキシ型のフィルタとして HTTP/HTTPS トラフィックを検査し、SQL インジェクションや XSS、ボットによる不正利用などの Web 攻撃をアプリ到達前に遮断する。
Web アプリケーションファイアウォール(WAF)は、Web アプリの前段(リバースプロキシ・サイドカー・CDN エッジサービスなど)に配置され、OWASP Core Rule Set などのルールセットに照らして各 HTTP リクエスト/レスポンスを解析します。インジェクション、悪意あるアップロード、スキャナ通信、レイヤ 7 DDoS、クレデンシャルスタッフィング、ボット不正利用などを、シグネチャ・異常スコア・レート制限・機械学習モデルの組み合わせで遮断します。迅速にパッチを当てられないレガシーや外部ベンダー製アプリの保護に不可欠です。誤検知を抑えるため、まず検知モードで運用しチューニングし、セキュアコーディングの代替ではなく補完として活用すべきです。
例
- AWS WAF が UNION SELECT を含むリクエストをアプリ到達前に遮断する。
- Cloudflare WAF がログインエンドポイントにレート制限を適用しクレデンシャルスタッフィングを緩和する。
関連用語
ファイアウォール
定義されたルールセットに基づき、受信および送信トラフィックを監視・制御し、信頼ネットワークと非信頼ネットワークを分離するネットワークセキュリティ機器またはソフトウェア。
次世代ファイアウォール(NGFW)
ステートフル検査に加えて、アプリケーション識別・統合 IPS・ユーザー識別・TLS 復号を組み合わせ、よりきめ細かなポリシーを適用する先進的なファイアウォール。
Reverse Proxy
Reverse Proxy — definition coming soon.
OWASP Top 10
OWASP Top 10 — definition coming soon.
RASP(ランタイムアプリケーション自己防御)
稼働中のアプリケーション内部に組み込まれ、実行コンテキストを監視してインジェクションやデシリアライゼーションなどの悪意ある挙動をリアルタイムにブロックする防御機構。
API Security
API Security — definition coming soon.