WAF（Web Application Firewall）とは、WebアプリケーションやWebサイトの保護に特化したセキュリティーツールです。サイバー攻撃の傾向をまとめたシグネチャにもとづき、WebアプリケーションへのHTTP/HTTPSリクエストを許可するか遮断するかを判断する仕組みです。

本記事では、WAFの主な機能や防げるサイバー攻撃の種類、選定時のポイントなどを紹介します。ECサイトやマッチングサイトを運営し、安全性の強化に取り組んでいる方は、最後までご覧ください。

WAFとファイアウォールは、防げる攻撃の種類や保護対象が異なります。ファイアウォールとは、社内ネットワークと外部の境界に設置し、不正アクセスを検知・遮断するセキュリティーツールです。

ポート番号やIPアドレス、通信プロトコルなどの情報から、社内ネットワークへのアクセスを許可すべきか、判断します。

ファイアウォールは外部からの不正アクセスを検知し、社内ネットワークへの侵入を防ぐのが役割です。WAFと異なり、Webアプリケーションへの脆弱性攻撃には対応していません。

一方、WAFとIPS／IDSはファイアウォールと同様、防げる攻撃の種類が異なります。IPS／IDSも、不正アクセスを検知・遮断するセキュリティーツールです。

ファイアウォールとの違いは、保護対象と通信を識別する方法です。IPS／IDSの保護対象は、Webサーバーやデータベース管理システムなど、複雑なデータ処理を担うミドルウェア層です。

また、社内ネットワークへの侵入を許可する際の判断基準には、不正アクセスやサイバー攻撃など、既知の攻撃パターンを記録したシグネチャを活用します。

WAFの導入が必要な理由は以下の3つです。

1. Webアプリケーションの脆弱性は攻撃者に狙われやすい
2. Webアプリケーションの脆弱性を0にするのは難しい
3. 他のセキュリティーツールでは対応できない

Webアプリケーションの脆弱性を突く攻撃の脅威は、年々高まっています。IPAが2026年1月に発表した調査によると、2025年10～12月に届けられた脆弱性の件数は、合計で250件でした。

前年同時期が163件だった点を比べると、90件ほど届出件数が増加しています。250件のうちWebサイトを含めたWebアプリケーションの件数は88件、ソフトウェア関連が162件でした。

2025年はWebアプリケーションの届出件数が少なかったものの、これまでの累計件数はWebアプリケーション関連が7割ほどを占めています。

また、脆弱性がないWebアプリケーションを開発・利用するのは困難です。プログラムの設計ミスやセキュリティー要件の不備、更新頻度の低下などによって、脆弱性は発生します。

仮に開発会社が開発段階で脆弱性を極力排除したとしても、ユーザーがサービスを利用してから、新たに脆弱性が発生するケースも珍しくありません。

WAFは、Webアプリケーションの保護に特化したセキュリティーツールです。ファイアウォールやIPSだけでは代替しにくい領域を補完します。

これらの理由から、機密情報の流出やサービスの利用停止などを防ぐため、WAFの必要性が高まっているといえます。

ブラックリスト方式とは、ネットワークへのアクセスを拒否する攻撃パターンを事前に登録しておき、リストと内容が一致する通信を拒否する方式です。既知の攻撃への対応に重点が置かれており、リストに記載のない未知の脅威には対応できません。

未知の攻撃へ対応するため、ブラックリスト方式は定期的な見直し・更新が必要なものの、幅広いサイバー攻撃に対応できる点が特徴です。対応力に優れており、実際ベンダーが提供する多くのWAFは、ブラックリスト方式を採用しています。

ホワイトリスト方式とは、ネットワークへのアクセスを許可する通信内容を事前にリストへ登録し、内容が一致する通信以外はすべて拒否する方式です。未知の攻撃も含めて対応が望めるものの、設定内容によっては正規のアクセスを多数拒否するケースも考えられます。

誤検知が発生しやすいだけでなく、設定内容で安全性と利便性を両立させるには専門知識が必要な点が、デメリットといえます。

シグネチャとは悪意のある通信内容を識別するため、不正アクセスやサイバー攻撃のパターンや傾向などを定義したルールです。WAFの核となる機能で、シグネチャに設定した内容をもとに、社内ネットワークへの通信を許可するかどうか、判断します。

WAFの種類によってはシグネチャが自動で更新されるため、未知の攻撃も素早い検知が可能です。

クロスサイトスクリプティングとは、悪意のあるコード（スクリプト）を埋め込み、ページを閲覧したユーザーを偽サイトに誘導し、不正行為を行うサイバー攻撃です。

攻撃者は入力フォームや検索欄、掲示板などの脆弱性を悪用し、個人情報の盗取やデータの改ざんなどを行います。ユーザーの書き込みや閲覧内容によって、表示内容が変化する動的Webサイトはターゲットにされる可能性が高いです。

ブログやSNS、掲示板サイトなどを運営している場合は、WAFを導入してユーザーの個人情報が流出しないよう、安全性の強化が必要です。

WAFの導入によって、悪意あるスクリプトを発見した場合は検知・遮断するため、損失の発生を抑えられます。

SQLインジェクションとは、悪意のあるSQLコードを挿入し、データベース内で不正操作を行うサイバー攻撃です。Webサイトの検索欄や問い合わせフォームなどの脆弱性を悪用される傾向にあります。SQLインジェクションの仕組みは、以下のとおりです。

1. 攻撃者は会員情報や購入履歴など、検索時に抽出する情報を決めておく
2. ユーザーがWebサイトで情報を入力する
3. 抽出条件と入力内容が一致する
4. 悪意のあるSQLコードの働きで、閲覧できない情報まで流出する

SQLインジェクションが生じると、データベース内に保存された情報の流出・改ざん・削除などの被害に遭う確率が高まります。WAFを導入すれば、悪意のあるSQLコードが含まれたアクセスを事前に検知するため、データベース内での不正操作を防げます。

OSコマンドインジェクションとは、WebサーバーへのリクエストにOSが意図せず不正行為を実行するよう、悪意あるコードを忍び込ませたサイバー攻撃です。SQLインジェクションと仕組みは似ているものの、OSコマンドインジェクションの方が被害が大きい傾向です。

仮に被害に遭った場合、攻撃者にWebサーバーにあるデータベースやファイルへ不正アクセスされ、機密情報の閲覧・盗取されるリスクが高まるためです。

また、OSコマンドでの脆弱性が攻撃者に見つけられた場合、バックドアの設置や踏み台などに利用され、継続的な被害に遭う可能性も生じます。WAFを導入すれば悪意あるコードを含む通信を検知でき、情報漏えいやサイバー攻撃に悪用される事態を防げます。

ディレクトリトラバーサルとはファイルパスに特殊な文字列を組み合わせ、通常は閲覧できないファイルやフォルダに不正アクセスする攻撃です。ファイルパスとは、ファイルの位置を示す住所のような役割です。

ディレクトリトラバーサルでは、攻撃者がURLやフォームの入力欄に「../」を記述してファイルパスを不正に操作し、機密情報の盗取・改ざん・削除などを行います。

「../」の記号は、該当のファイルから「ひとつ上の階層に移動する」内容を意味し、URLやフォームに多く入力し、ターゲットのファイルやフォルダを目指す仕組みです。

特定のファイルやフォルダにアクセスするパターンをWAFのシグネチャに設定しておくことで、不正アクセスを未然に防ぎます。

また、ディレクトリトラバーサルは、アクセス権限の過剰付与も発生原因の1つにあげられます。情報漏えいを防ぐには、機密情報が入ったデータやフォルダに対し、特定の従業員しか閲覧できない体制を整備することも重要です。

アプリケーション層やL7層は、Webブラウザの閲覧やメールの送受信など、ユーザーとWebアプリケーションを結びつけるデータ通信の出口です。DDoS攻撃は、多数のパソコンから一斉にアクセスやデータ要求を行うサイバー攻撃です。

DDoS攻撃の被害に遭うとサーバーに多くの負荷がかかり、サーバーダウンやシステムの機能不全、サイトの非表示など、通常業務に多大な支障をきたします。

WAFを導入すれば、Webアプリケーションへの不正アクセスを検知・遮断し、通常業務の遂行やサービス提供に支障が及ぶリスクを軽減できます。

WAFはソフトウェア型とアプライアンス型、クラウド型の3種類に分けられます。個々の概要は以下のとおりです。

「既存サーバーを活用したい」「高速通信を安定して実現したい」などの理由がない限り、クラウド型のWAFを選ぶのがおすすめです。ベンダーにメンテナンスやアップデートを任せられるため、セキュリティーに精通した人材がいなくても運用が可能です。

ソフトウェア型とアプライアンス型は、ともにカスタマイズ性に優れるものの、自社で初期設定や運用を行わなければなりません。場合によってはネットワーク構成の再構築が必要になるため、専門知識をもつ人材がいない限り、安定運用は難しいといえます。

検知精度とチューニングの柔軟性に優れたWAFの選定が求められます。仮に検知精度が低い場合、Webアプリケーションに対する脆弱性攻撃を正確に検知できないだけでなく、正常なアクセスも遮断するおそれが高まります。

情報漏えいの発生や通常業務への支障を避けるには、導入実績やリピート率、第三者機関からの評価などをもとに、WAFを選ぶことが大切です。

また、チューニングがしやすいWAFを選ぶと、検知精度を高めつつ誤検知の原因を素早く特定できます。ブラックリストやホワイトリスト、シグネチャの更新などがスムーズに進められ、正常なアクセスとサイバー攻撃を正確に見分けられる確率が高まるためです。

WAFを導入する際は、チューニングを行う際の操作画面が見やすいか、検知ルールが可視化されているかといった点も、確認をしておく必要があります。

Webアプリケーションやサイトの表示速度に影響を与えないよう、処理能力に優れたWAFを選ぶことが必要です。仮にWAFの処理能力が、対象サイトのトラフィック量に余裕をもって対応できない場合、サイトの表示速度低下や非表示などが発生しやすくなります。

サイトの不具合が頻繁に起きると顧客の購買意欲が低下し、最悪の場合は多額の損失に発展します。とくにソフトウェア型のWAFはサーバーに負荷がかかりやすく、通信速度の低下が発生しやすいため、注意が必要です。

また、WAFの処理能力を確認するため、無料トライアルを利用するのも有効です。無料トライアルを利用すれば一定期間、WAFの処理能力や操作性、サポート体制など、WAFの性能や自社との相性を無料で確認できます。

有料プランの前に無料トライアルを利用することで、ミスマッチにともなう無駄な費用の支払いを避けられます。

脅威インテリジェンスを搭載したWAFの導入で、ゼロデイ攻撃や未知のマルウェアなど、通常では検知困難な脅威を防げる確率が高まります。

脅威インテリジェンスとは攻撃の種類や能力、攻撃者の意図など、サイバー攻撃に関する情報収集および分析を自動的に行う仕組みです。脅威インテリジェンスの活用で、攻撃のパターンや攻撃者の癖などを事前に把握しておけ、事前に予防策を講じられます。

また、仮にサイバー攻撃の被害に遭っても、原因や侵入経路、被害範囲などを素早く特定可能です。脅威インテリジェンスを搭載したWAFの導入で、未知の脅威への対策強化と復旧作業の短縮につなげられます。

導入～運用まで、一貫して充実したサポートを得られるベンダーを選ぶことが重要です。はじめてWAFを導入する場合、初期設定や操作方法などに関して、疑問点が生じるケースも少なくありません。

メールやチャット、Web会議など、さまざまな方法で担当者と連絡が取れれば、誤検知や故障といったトラブルが生じても、早期解決が望めます。問い合わせ対応の受付時間や技術サポートの対応範囲などは、ベンダーによって対応が異なるため、こちらも確認が必要です。

また、海外製のWAFを選ぶ場合は、日本語でのサポートや日本支社の有無を確認したうえで、導入を決断しなければなりません。仮に英語でのサポートしか得られない場合、翻訳ツールの活用が必要なだけでなく、問い合わせの回答に時間がかかる可能性が高まります。

WAFは種類や機能数、対応可能な攻撃範囲などによって、初期費用や月額料金が異なります。費用対効果に優れたWAFを選ぶには、必要な機能や防ぎたいサイバー攻撃を明確化しておくことが必要です。

たとえば、ゼロデイ攻撃の対策を強化したい場合は、脅威インテリジェンスを搭載したWAFを選ぶ必要があります。また、初期費用と月額料金の予算を決めておくと、予算内で導入・運用できるWAFを選びやすくなります。