Web アプリケーションファイアウォール(WAF)
Web アプリケーションファイアウォール(WAF) とは何ですか?
Web アプリケーションファイアウォール(WAF)リバースプロキシ型のフィルタとして HTTP/HTTPS トラフィックを検査し、SQL インジェクションや XSS、ボットによる不正利用などの Web 攻撃をアプリ到達前に遮断する。
Web アプリケーションファイアウォール(WAF)は、Web アプリの前段(リバースプロキシ・サイドカー・CDN エッジサービスなど)に配置され、OWASP Core Rule Set などのルールセットに照らして各 HTTP リクエスト/レスポンスを解析します。インジェクション、悪意あるアップロード、スキャナ通信、レイヤ 7 DDoS、クレデンシャルスタッフィング、ボット不正利用などを、シグネチャ・異常スコア・レート制限・機械学習モデルの組み合わせで遮断します。迅速にパッチを当てられないレガシーや外部ベンダー製アプリの保護に不可欠です。誤検知を抑えるため、まず検知モードで運用しチューニングし、セキュアコーディングの代替ではなく補完として活用すべきです。
● 例
- 01
AWS WAF が UNION SELECT を含むリクエストをアプリ到達前に遮断する。
- 02
Cloudflare WAF がログインエンドポイントにレート制限を適用しクレデンシャルスタッフィングを緩和する。
● よくある質問
Web アプリケーションファイアウォール(WAF) とは何ですか?
リバースプロキシ型のフィルタとして HTTP/HTTPS トラフィックを検査し、SQL インジェクションや XSS、ボットによる不正利用などの Web 攻撃をアプリ到達前に遮断する。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。
Web アプリケーションファイアウォール(WAF) とはどういう意味ですか?
リバースプロキシ型のフィルタとして HTTP/HTTPS トラフィックを検査し、SQL インジェクションや XSS、ボットによる不正利用などの Web 攻撃をアプリ到達前に遮断する。
Web アプリケーションファイアウォール(WAF) からどのように防御しますか?
Web アプリケーションファイアウォール(WAF) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Web アプリケーションファイアウォール(WAF) の別名は何ですか?
一般的な別名: WAF。