ひとことで言うと
WAF(Web Application Firewall)は、WebサイトやWebアプリの前に立って、危ないアクセスを自動で見分けて止める仕組みです。
たとえ話でもう少し詳しく
会社の受付をイメージするとわかりやすいです。
- 普通のお客さんは、そのまま通す
- 明らかに怪しい人は、その場で止める
- 判断が難しい人は、確認してから通す
WAFはこの「受付」を、Webの世界で24時間やってくれます。
特に、フォーム入力やURLに不自然な文字列を入れてシステムを壊そうとする攻撃を検知するのが得意です。
よく出る場面・使いどころ
- 会社サイトの問い合わせフォームを守りたいとき
- ECサイトのログイン画面や決済画面を守りたいとき
- CMS(WordPressなど)を公開していて不正アクセスが心配なとき
- サーバー改修の前に、まず防御を強めたいとき
実務で気にするポイント
- 導入して終わりにしない
- 最初は誤検知が出ることがあるので、ログを見てルール調整する
- WAFだけに頼り切らない
- アプリの脆弱性修正やアップデートは引き続き必要
- 守れる範囲を確認する
- WAFは主にWeb層の攻撃対策。サーバー全体の防御を全部代替するものではない
- 運用担当を決める
- アラートを見る人、除外設定を判断する人を明確にする
注意: WAFは「万能の盾」ではありません。強力な一次防御ですが、アプリ修正・認証強化・監視とセットで使ってこそ効果が最大化します。