対象試験と出題頻度
WAF(Web Application Firewall)は、ITパスポートから応用情報技術者まで幅広く出題される超重要キーワードです。
特にセキュリティ分野では「ファイアウォール」「IDS/IPS」との違いを問われることが多いため、それぞれの役割をしっかり区別しておく必要があります。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(超重要)絶対に覚える必要あり
用語の定義
WAF(Web Application Firewall)とは、一言で言うと「Webアプリケーションへの悪意ある通信を検知・遮断する専用の防御システム」のことです。
イメージとしては、「レストランの入り口に立つ、不審な客だけを見分けて追い返す警備員」のようなものです。普通のファイアウォールが「招待状(IPアドレスやポート番号)を持っているかどうか」だけをチェックする門番だとすれば、WAFは「招待状を持っていても、挙動が怪しい人は入れない」という、より厳しいチェックを行う専門の警備員です。
情報処理試験を勉強していると、「ファイアウォールとWAFって何が違うの?」と混乱しがちです。結論から言えば、ファイアウォールは「ネットワーク層」、WAFは「アプリケーション層」を守るもの。この違いを押さえれば、試験問題の大半は解けます。
📊 ファイアウォール・IDS/IPS・WAFの違い
| 項目 | ファイアウォール | IDS/IPS | WAF |
|---|---|---|---|
| 監視対象 | IPアドレス、ポート番号 | ネットワーク通信全般 | HTTP/HTTPS通信の中身 |
| OSI参照モデル | ネットワーク層〜トランスポート層(L3〜L4) | ネットワーク層〜アプリケーション層 | アプリケーション層(L7) |
| 防げる攻撃 | 不正なポートへのアクセス | DoS攻撃、マルウェア通信など | SQLインジェクション、XSSなど |
| 例え | 招待状の有無を確認する門番 | 不審な動きを監視する警備カメラ | 持ち物検査をする警備員 |
解説
WAF(Web Application Firewall)は、WebサーバやWebアプリケーションを狙った攻撃から守るために、HTTP/HTTPS通信の中身を詳しく検査して、悪意のあるリクエストを遮断するセキュリティ製品です。
「ファイアウォールがあれば安心では?」と思うかもしれませんが、実はそうでもありません。従来のファイアウォールは「どのIPアドレスから、どのポート番号への通信か」をチェックするだけ。正規のポート(80番や443番)を通る通信であれば、その中身が攻撃コードであっても素通りしてしまいます。
そこで登場するのがWAFです。WAFはHTTP/HTTPS通信の「中身」まで検査し、SQLインジェクションやクロスサイトスクリプティング(XSS)といった、Webアプリケーション特有の攻撃パターンを検知・遮断します。
WAFが防ぐ主な攻撃
WAFは、OWASP Top 10に代表されるWebアプリケーションの脆弱性を突く攻撃に対して有効です。具体的には、SQLインジェクション(データベースを不正操作する攻撃)、クロスサイトスクリプティング/XSS(悪意あるスクリプトを実行させる攻撃)、クロスサイトリクエストフォージェリ/CSRF(利用者に意図しない操作をさせる攻撃)、ディレクトリトラバーサル(非公開ファイルに不正アクセスする攻撃)、OSコマンドインジェクション(サーバ上で不正なコマンドを実行する攻撃)などがあります。
💡 WAFはなぜ必要なのか?
現代のWebサービスは、ユーザー登録、ログイン、検索、決済など、さまざまな機能を持っています。これらの機能は便利である反面、攻撃者にとっては「入り口」でもあります。
入力フォームに悪意あるコードを仕込んで送信すれば、データベースの情報を盗み出したり、他のユーザーのセッションを乗っ取ったりできてしまう可能性があります。WAFは、こうした「正規の入り口から入ってくる悪意ある通信」を見破る最後の砦なのです。
WAFの検知方式
WAFの検知方式は主に2種類あります。
1つ目はシグネチャベース(ブラックリスト方式)です。既知の攻撃パターンをデータベース化し、それに一致する通信を遮断します。例えば「’ OR ‘1’=’1」のようなSQLインジェクションの典型的なパターンを登録しておき、これに合致するリクエストをブロックします。導入が比較的容易ですが、未知の攻撃パターンには対応できないという弱点があります。
2つ目はホワイトリスト方式です。正常な通信パターンだけを許可し、それ以外はすべて遮断します。未知の攻撃にも対応できますが、正常な通信を誤って遮断してしまう(フォルスポジティブ)リスクがあり、チューニングに手間がかかります。
実際の製品では、両方の方式を組み合わせて使用することが一般的です。
WAFの導入形態
WAFには、アプライアンス型(専用機器を設置)、ソフトウェア型(Webサーバにインストール)、クラウド型(SaaSとして利用)の3つの導入形態があります。
近年はクラウド型WAFの普及が進んでおり、AWS WAF、Azure WAF、Cloudflareなどのサービスが広く利用されています。クラウド型は初期費用を抑えられ、運用の手間も少ないため、中小企業でも導入しやすいというメリットがあります。
⚠️ WAFだけでは守れない
WAFは強力な防御手段ですが、万能ではありません。WAFはあくまで「入り口での検問」であり、アプリケーション自体の脆弱性を修正するわけではないからです。WAFを導入していても、セキュアコーディング、脆弱性診断、パッチ適用といった基本的な対策は引き続き必要です。WAFは「多層防御(Defense in Depth)」の一つの層として位置づけるのが正しい考え方です。
試験ではこう出る!
WAFは、ITパスポートから応用情報技術者まで、すべての試験区分で出題される超頻出キーワードです。特に「ファイアウォール」「IDS/IPS」との違いを問う問題が定番なので、それぞれの守備範囲を明確に区別しておきましょう。
【試験で狙われるポイント】
- WAFは「Webアプリケーション層(HTTP/HTTPS)」を守る
- SQLインジェクション、XSSなどの攻撃を防ぐ
- ファイアウォール(L3/L4)との違いを明確に
- IDS/IPSとの役割の違いも整理しておく
- クラウドWAFの普及(AWS WAFなど)も最新の傾向
試験問題で「Webアプリケーションに対する攻撃を検知・遮断する」や「SQLインジェクションやXSSからWebサーバを保護する」といった記述があれば、それは「WAF」に関する記述です。
試験ではここまで押さえておけばOKです。WAFの細かい製品名や設定方法までは問われないので、「何を守るのか」「どんな攻撃に有効か」という基本を確実に覚えましょう。
📊 セキュリティ対策の守備範囲(試験対策)
| 対策 | 主な防御対象 |
|---|---|
| ファイアウォール | 不正なIPアドレス・ポートからのアクセス |
| IDS(侵入検知システム) | 不正な通信パターンの検知(通知のみ) |
| IPS(侵入防止システム) | 不正な通信パターンの検知と遮断 |
| WAF | Webアプリケーションへの攻撃(SQLi、XSSなど) |
| UTM | 上記を統合した多機能セキュリティ |
📝 IPA試験での出題ポイント
「WAFはWebアプリケーションを守る」「ファイアウォールはネットワーク層を守る」という基本の違いを押さえておけば、選択肢で迷うことはありません。
また、SQLインジェクションやXSSの対策として「WAF」が登場する問題も多いので、攻撃手法とセットで覚えておくと得点に直結します。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. WAF(Web Application Firewall)に関する説明として、最も適切なものはどれでしょうか?
- A. IPアドレスやポート番号に基づいて、不正なネットワーク通信を遮断するシステム
- B. HTTP/HTTPS通信の内容を検査し、SQLインジェクションやXSSなどの攻撃からWebアプリケーションを保護するシステム
- C. ネットワーク上の通信を監視し、不正な通信パターンを検知してアラートを発するシステム
正解と解説を見る
正解:B
解説:
WAF(Web Application Firewall)は、Webアプリケーションに対する攻撃を防ぐために、HTTP/HTTPS通信の内容を詳しく検査し、SQLインジェクションやクロスサイトスクリプティング(XSS)などの悪意あるリクエストを検知・遮断するセキュリティシステムです。従来のファイアウォールがネットワーク層(IPアドレスやポート番号)を守るのに対し、WAFはアプリケーション層を守る点が最大の特徴です。
選択肢Aは「ファイアウォール」の説明です。選択肢Cは「IDS(侵入検知システム)」の説明であり、いずれもWAFとは異なります。
