こんにちは！イー・ガーディアンです。

インターネットを活用したビジネスが発展する今、「セキュリティ対策にはファイアウォールがあれば十分」という考えでは、適切なセキュリティ対策は行えません。あらゆるサイバー攻撃から企業の大切な情報を守るためにも、多くの企業で「WAF」の導入が急速に進んでいます。

今回は、WAFの基本知識や導入するメリット／デメリット、選定ポイント等について解説します。WAFの導入を検討している方はぜひ参考にしてみてください。

■ WAFとは？

「Webサイトのセキュリティ対策にはWAFを」というイメージが浸透してきていますが、そもそもWAFがどのようなものか分からないという方も多いのではないでしょうか。

WAFとは「Web Application Firewall」の略で、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを守ることに特化したセキュリティ対策製品です。クライアントとWebサーバーでやり取りされるHTTP/HTTPS通信を検査し攻撃であると判断した場合には、接続を遮断することでWebサイトを保護します。

WAFと同じく、システムやネットワークのセキュリティを強化する対策に「ファイアウォール」がありますが、WAFとファイアウォールが担う役割は異なります。

ファイアウォールは、インターネットと内部ネットワークの間に “防御壁” を設け、通信先や通信方向を制御することで不正アクセスを阻止します。

一方WAFは、HTTPプロトコルでやり取りされる要求・応答を検査することで、Webサイトの改ざんや情報漏えい等を防ぐ役割を果たします。

■ WAFを利用する目的

昨今Webサイトを活用したビジネスが基盤となりつつあり、様々なサービスを展開できるようになっています。その反面、誰でもWebサイトにアクセスできるため、企業規模を問わずWebサイトの運営者にはサイバー攻撃への対策が求められています。

特に、インターネットバンキングやブログなどWebを通じて動作するアプリケーション（=Webアプリケーション）の脆弱性を悪用したサイバー攻撃に注意する必要があります。

現在のWebサイトでは、ユーザーからの入力やリクエストに応じてWebアプリケーションが動的にページを作成しているため、このWebアプリケーションに不備や弱点が存在すると、それを悪用したサイバー攻撃が発生するのです。

サイバー攻撃を受けると、個人情報の流出／Webサイトの改ざん／データ破損などの被害を受け、企業経営に大きな悪影響をもたらします。このようなサイバー攻撃によるリスクを抑えるためにも、WAFを導入しWebアプリケーションを守ることが重要視されています。

■ WAFを導入するメリット

一度情報漏えい等の事故が起こると、対応に時間を要するのはもちろん、経済的にも甚大な被害を受け、社会的信用の損失につながります。事前対策としてWAFを導入しておくことで “セーフティネット” の役割を果たしてくれるため、サイバー攻撃によるリスクを抑えることが可能です。

もし攻撃による被害を受けてしまった場合、被害拡大防止のために攻撃を受けた原因の究明と攻撃に応じた対策をすみやかに行う必要があります。WAFを導入することで緊急対応ができ、迅速なWebサイト復旧をサポートしてくれます。

また、Webアプリケーションの脆弱性を把握できたとしても、メンテナンスに時間をかけられなかったり、運用上の理由からWebアプリケーションを修正できないなど、迅速な対策が難しいケースもあります。このような場合でも応急処置としてWAFを導入することで、稼働中のWebサイトに対する影響を抑えながらWebサイトのセキュリティ対策を強化できますので、これもWAFを導入する大きなメリットといえるでしょう。

PCI DSSの要件にみるWAF導入のメリット

PCI DSSとは「Payment Card Industry Data Security Standard」の略で、2004年に国際クレジットカードブランド5社（VISA、JCB、MasterCard、American Express、Discover）により、クレジットカード情報の安全な取り扱いを目的として策定された国際セキュリティ基準です。

昨年公開された PCI DSS v4.0（2025年3月末までに完全移行）では、改定前は “いずれかを対応” となっていた「定期的な脆弱性診断とレビュー」と「WAFの導入」が “共に必須” とされたため、WAFを導入することによって、決済機能を持つWebサービスであれば国際セキュリティ基準の準拠にも繋がります。

＜PCI DSS要件「6.安全なシステムおよびソフトウェアの開発と維持」＞

■WAF導入のデメリット

WAFを導入することで得られるメリットがあるように、デメリットも存在します。

最も懸念されているのがコストの問題です。WAFの種類にもよりますが、専用機器の購入によって初期費用が高額になったり、導入したいWebサーバーの台数に比例して初期費用や運用負荷がかかったりするなど、経済的コストと運用コストの両方が課題となります。

近年ではクラウド型のWAF製品も増えてきていますが、クラウド型WAFの場合、サービス提供元の事業者側でWAFの運用・管理を行うため、サービス内容によっては運用負担の軽減にもつながる場合があります。

■どれを選ぶべきか？WAFの種類と選び方について

WAFには複数の種類があり、それぞれに特徴があります。単純にコストだけで比較するのではなく、運用しているWebサイトの特性や設置形態に合ったWAFを選ぶようにしましょう。

WAFの種類

WAFには「アプライアンス型」「ソフトウェア型」「クラウド型」の3種類があります。

• アプライアンス型（ゲートウェイ型）
  専用機器を導入し、保護対象となるWebサーバーの前段に置いて使用するWAFです。1つの製品で複数のWebサーバーに対応できるため、台数によって初期費用が変動することはありません。保護するWebサーバー数や利用するユーザーが大規模な企業ほど割安で導入できるということになります。一方で、専用機器の初期費用と定期的なメンテナンス費用が高額となりやすいというデメリットがあります。
• ソフトウェア型（ホスト型）
  ここでは自社のWebサーバーにインストールして使用するタイプのWAFを例にします。専用機器を購入する必要がないため、初期費用が抑えられ、シンプルな構成で導入することができます。Webサーバーの環境に依存し、台数に応じてソフトウェアをインストールする必要があることと、パフォーマンス低下の可能性があることがデメリットとなります。（昨今のハードウェア性能の向上により、その影響は小さくなってきています。）
• クラウド型
  クラウド上のサービスとしてWAFサービスが提供されているタイプを指します。DNSの切替だけでWAFを導入できるタイプが一般的で、アプライアンス型のような高額な初期費用がかかりにくく、簡単に導入ができ、サービス提供事業者がWAFの機能を自動的に更新してくれるなど管理が容易です。ただし、通信量や保護対象となるサイト数に応じた従量課金であることが多く、Webサイトによってはランニング費用が高額になることがあるというデメリットがあります。

選ぶ際のポイント

WAFは、3種類それぞれメリットとデメリットがありますが、企業形態によってはデメリットを上手く解消することも可能です。まずはどのような設置形態にするか確認し、自社に導入した場合の初期費用や運用費用、使い方をイメージしてみましょう。

例えば、Webサーバーの台数が多い企業では専用機器による「アプライアンス型」が選択肢になり、Webサーバーの台数やサイト数、通信量も少ないというケースでは「クラウド型」が選択肢になります。Webサーバーの台数は少なくてもサイト数が多い場合には、大幅にコストダウンできる「ソフトウェア型」が適しています。

また、アプライアンス型とソフトウェア型は、Webサイトの運営者側で設定および管理することを前提とした設計となっており、保護対象のサイト毎に詳細な設定ができるようになっているのが一般的です。一方で、クラウド型の場合は、サービス提供事業者側でWAFの運用管理を行ってくれますので、運用にかかる負担を軽減できますが、Webサイトの運営者側で設定できる内容が限定されているのが一般的です。

• 自社内で運用することが可能か
• 柔軟かつ詳細な設定が必要か
• 運用負担を軽減した導入形態が望ましいか

これらを適切に判断し、WAFを選定するようにしましょう。

このほか、WAFの使い方に関する問い合わせや問題が発生した場合の迅速な対応という点で、メーカーのサポート体制も重要です。販売元の実績やサポート体制も確認し、信頼できるWAF製品を選びましょう。

■ Webサイトのセキュリティ対策に「WAF」の導入を

今回のブログでは、様々なサイバー攻撃からWebサイトを守るWAFについて、そのメリット・デメリットや選定ポイント等を紹介しました。

ワンランク上のWebサイトのセキュリティ対策に、ぜひWAFの導入を検討してみてください。