WAF入門｜仕組み・防御範囲・特徴をやさしく解説

WAFとは？WAFの定義と基本役割

WAF（読み方：ワフ、Web Application Firewall）とは、Webサイトやアプリケーションに届く悪意のある通信をリアルタイムに検知・遮断し、不正アクセスや改ざんから守るアプリケーション層に特化したセキュリティ対策です。

ファイアウォールがIPアドレスやポート番号を基準にトラフィックを制御するのに対し、WAFはアプリケーション層（OSI参照モデルのL7）で通信の中身を詳細に解析します。SQLインジェクションやクロスサイトスクリプティング（XSS）など、Webアプリケーション特有の攻撃に特化した防御が最大の特長です。

なぜ今、WAFが必要なのか

情報処理推進機構（IPA）が公表した2024年度調査^※1によると、サイバー攻撃を受けた企業の被害状況として以下が報告されています。

・22.9%が「Webサイトのサービス停止、または機能が低下させられた」
・20.3%が「業務サーバのサービス停止、または機能が低下させられた」

また、19.8%が「取引先やグループ会社等を経由して侵入」と報告されており、サイバー攻撃がサプライチェーン全体に影響を及ぼしている実態が明らかになっています。

こうした被害の多くは、SQLインジェクションやXSSといったWebアプリケーション層を狙った攻撃が起因となっています。Webアプリケーション層への攻撃は従来のファイアウォールでは検知・防御できず、アプリケーション層に特化したWAFの導入が必要です。企業規模を問わずWebサイトを運営するすべての組織にとって、WAFの導入は不可欠なセキュリティ対策であり、業界によっては企業間取引においてWAFの導入がセキュリティ要件として規定されているケースもあります。

※1：出典：独立行政法人情報処理推進機構　「2024年度中小企業等実態調査結果」

WAFで対応できる主要なサイバー攻撃

WAFは、アプリケーション層を狙ったサイバー攻撃を防ぐことができます。ここでは、WAFで防御可能な代表的な4つの攻撃手法をご紹介します。

SQLインジェクション

SQLインジェクションとは、Webサイトの入力欄（検索窓やお問い合わせフォーム）に悪意あるSQLコードを挿入し、データベースに不正アクセスする攻撃手法です。会員情報・クレジットカード情報の窃取や、データの改ざん・削除といった深刻な被害が発生します。

WAFはリクエストパラメータの中に「’ OR 1=1–」などのSQL構文が含まれていないかをシグネチャで照合し、一致した場合にブロックします。

クロスサイトスクリプティング（XSS）

XSS攻撃は、悪意のあるJavaScriptコードをWebページに埋め込み、ユーザーのブラウザ上で実行させる手法です。セッションCookieの奪取（セッションハイジャック）や偽サイトへの誘導などを目的に行われます。

WAFはリクエストやレスポンスの中に「<script>」タグや「javascript:」などの不正スクリプトが含まれていないかを検知・ブロックします。

DDoS攻撃

DDoS（読み方：ディードス、Distributed Denial of Service attack）は、短時間に大量のHTTP/HTTPSリクエストを送りつけ、サーバのCPUやバックエンドのリソースを枯渇させてサービス停止に追い込む攻撃です。

WAFはL7（アプリケーション層）のDDoS攻撃に対して、アクセス頻度の制限（レートリミット）や不審なユーザーエージェントのブロックによって対処できます。ただし、すべてのWAFサービスがDDoS攻撃に対応しているわけではないため、導入前に確認が必要です。

ブルートフォースアタック

ブルートフォースアタックとは、ログインページに対して総当たりでIDとパスワードの組み合わせを次々に試みる強引な突破手法です。WAFは短時間に大量のログイン試行が行われた場合、それを不審なアクセスとして検知・ブロックすることで防御します。

OSコマンドインジェクション

WAFはリクエストに含まれる「;」「|」「&&」などのコマンド区切り文字や、ls・cat・rmといったOSコマンド特有のキーワードをシグネチャで検知し、不正なコマンド実行を未然にブロックします。

Cookie改ざん

Cookie改ざんとは、ブラウザに保存されたCookie内のセッションIDや権限情報を書き換え、他人へのなりすましや不正な権限昇格を狙う攻撃です。WAFはHTTPヘッダ内のCookie値を検査し、想定外のフォーマットや不正な文字列を含むリクエストを検知・遮断することで、こうした改ざんによる被害を防ぎます。

WAFの仕組み

WAFはWebサーバの前段でHTTP/HTTPSの通信を受け取り、リクエストの内容を分析して攻撃かどうかを判断します。

シグネチャとルール管理の基本

WAFの中核を担うのが「シグネチャ」と「ルール管理」システムです。シグネチャとは、既知の攻撃パターンを検出するための定義セットです。WAFは受信したHTTP/HTTPSリクエストをこのシグネチャと照合し、許可すべきか・ブロックすべきかを判断します。

効果的なWAF運用には、シグネチャを最新の状態に保ち、適応範囲や例外を整理する適切なルール管理が不可欠です。最新の脅威に対応するには、シグネチャを常に最新の状態に保つ必要があります。クラウド型WAFでは、このシグネチャ更新が自動化されており、運用の負担を大幅に軽減できる点がメリットです。

ブロックリスト方式（ブラックリスト、ネガティブセキュリティモデル）

あらかじめ登録された既知の悪意あるリクエストパターンと照合し、一致する通信をブロックする方式です。新しい攻撃手法への対応にはシグネチャの更新が必要ですが、幅広い攻撃に対して効率的に防御できるため、多くのWAFサービスで採用されています。

アローリスト方式（ホワイトリスト、ポジティブセキュリティモデル）

正規のリクエストパターンのみを許可し、それ以外の通信はすべてブロックする方式です。未知の攻撃にも対応できる高いセキュリティレベルを実現できますが、正規のリクエストまで誤ってブロックしてしまう「誤検知（フォルスポジティブ）」のリスクがあります。定期的なチューニングが必要です。

振る舞い検知（アノマリー検知）方式

通常の通信パターンから大きく外れた異常な振る舞いを機械的に検知する方式です。シグネチャに登録されていない未知の攻撃にも対応できる点が強みですが、誤検知が発生しやすいため定期的なチューニングが必要です。近年はAI・機械学習を活用した振る舞い検知機能を搭載したWAF製品も増えており、精度の向上が期待されています。

WAFの必要性と多層防御構成

SQLインジェクションやXSSをはじめとするWebアプリケーションを狙った攻撃は、従来のファイアウォールやIDS/IPSでは十分に防ぐことができません。これらのツールはネットワーク層やOSミドルウェア層の保護を主目的としており、アプリケーション層（L7）で発生する攻撃、特にWebアプリ固有のロジックを突く攻撃への対応は限定的だからです。Webサービスを安全に運用するうえで、アプリケーション層に特化したWAFの導入が不可欠な理由はここにあります。

インターネット上のWebサービスは、大きく分けて「ネットワーク層」「OSミドルウェア層」「アプリケーション層」の3つの主要な階層で構成されており、各層に専用のセキュリティ対策を講じる多層防御の構築が重要です。以下では、各セキュリティ対策の役割とWAFとの違いを整理します。

ファイアウォール（FW）

従来型のファイアウォールはネットワーク層（L3〜L4）で動作し、IPアドレスやポート番号に基づいて通信を制御・遮断します。そのため、SQLインジェクションやXSSなどWebアプリケーション上で発生する攻撃を防ぐことはできません。WAFはファイアウォールの補完的な役割を担います。

IDS / IPS

IDS（不正侵入検知システム）はネットワークトラフィックを監視し、不審な挙動を検出してアラートを発します。IPS(不正侵入防御システム)は検知に加えて自動遮断まで行い、OSやミドルウェアの既知脆弱性を狙う攻撃の防御に強みを持ちます。ただしWebアプリケーション固有のロジックを突く攻撃への対応は限定的であるため、この領域はWAFが補完します。

WAF（Web Application Firewall）

WAFはアプリケーション層で動作し、アプリケーションへの通信の中身を一つひとつ詳細にチェックします。SQLインジェクションやクロスサイトスクリプティング（XSS）など、Webアプリケーションの脆弱性を狙ったサイバー攻撃を検知・遮断します。

CDN（Content Delivery Network）

CDNは、Webサイトやアプリケーションのコンテンツを各地のエッジサーバにキャッシュし、ユーザーに最も近い拠点から効率的に配信する仕組みです。本来はセキュリティサービスではありませんが、副次的にDDoS攻撃を緩和しサーバダウンを回避する効果が期待できます。ただし、CDN単体ではアプリケーション層の攻撃（SQLインジェクションなど）を防ぐことはできません。

*：アプリケーション層は限定的

ゼロトラスト時代のWAFの位置づけ

かつては「社内ネットワーク=安全」という境界防御が前提でした。しかし、リモートワークやクラウドサービスの利用が一般化した今、その前提は崩れています。

新たなセキュリティモデル「ゼロトラスト」は「never trust, always verify(決して信用せず、常に検証せよ)」を基本原則とし、ユーザー・デバイス・通信のすべてを前提なく検証します。ゼロトラストはID認証、デバイス認証、ネットワーク制御など複数の要素から構成されますが、WAFはそのうちアプリケーション層の入口を担うコンポーネントとして位置づけられ、Webアプリへの通信リクエストを個別に検証する役割を果たします。攻撃手法が多様化・高度化する中で、WAFの重要性はますます高まっています。

WAFの種類と選び方、費用、メリットやデメリットを解説

企業の規模やシステム構成、求められる運用体制によって最適なWAFの種類は大きく変わります。アプライアンス型・ホスト型（ソフトウェア型）・クラウド型それぞれの特徴を整理します。

クラウド型WAF

クラウド型WAFはベンダーが提供するクラウド上のWAFに、DNSやプロキシの設定変更などでトラフィックを経由させる形態です。

メリット：ハードウェア購入が不要で初期費用を抑えられる。シグネチャ更新やサーバ運用はベンダー側が担当するため、自社の運用工数を大幅に削減できる。専任のセキュリティ人材がいない企業でも高度な防御が可能。

デメリット：WAFサービスによって防げる攻撃の種類や機能に差があるため、導入前に導入実績や信頼性の高いサービスをしっかり確認して選定することが望ましい。

アプライアンス型WAF

専用ハードウェアを自社のデータセンターやサーバールームに設置するタイプです。

メリット：大規模なトラフィックをさばく能力が高く、詳細なカスタマイズが可能。レイテンシも低い。

デメリット：初期費用や保守費用が高く、設置・設定・運用に専門知識が必要。大企業や金融機関など、高いセキュリティ要件と運用体制を持つ組織向け。

ホスト型（ソフトウェア型）WAF

既存のWebサーバやOS上にWAFソフトウェアをインストールして利用する形態です。

メリット：他の型と比べて低コストで、柔軟な設定が可能。Apache・NginxなどのWebサーバソフトウェアと直接連携できる。

デメリット：インストールや設定・チューニングには技術力が必要。複数のWebサーバを運用している場合は各サーバごとにWAFを設置する必要があり、コストが増大する可能性がある。

WAFの料金・費用相場

WAFの費用は導入形態や機能範囲によって大きく異なります。自社の予算や要件と照らし合わせながら比較しましょう。

クラウド型WAFの費用

• エントリープラン：月額1万円〜3万円程度。小規模サイト向けで基本的な攻撃をカバー。
• スタンダードプラン：月額3万円〜10万円程度。中規模サービス向けで高度な検知機能を搭載。
• エンタープライズプラン：月額10万円以上〜個別見積もり。大規模・高トラフィック環境向け。

「攻撃遮断くん」は月額1万円から導入可能で、契約するプランとトラフィック量に応じた料金体系を採用。スモールスタートから始められる設計になっています。

アプライアンス型WAFの費用

機器購入費として100万円〜数百万円の初期費用が発生するのが一般的です。さらに年間の保守サポート費用が必要となります。専任の運用担当者の人件費も含めると、総保有コスト（TCO）はクラウド型と比べて高くなる傾向があります。

ソフトウェア型WAFの費用

オープンソース型は無償で導入できますが、設定・チューニング・運用に専門エンジニアの知識・工数が必要です。商用ソフトウェア型は年間ライセンスとして数十万円〜数百万円程度かかることが多く、サーバコストも別途発生します。

費用対効果の考え方

WAFの導入コストを検討する際は、単純な月額費用だけでなく、情報漏えいが発生した場合のインシデント対応費用・賠償リスク・ブランド毀損といった潜在的なコストと比較することが重要です。特に近年は、サイバー攻撃の自動化・無差別化が進み、公開されているWebサイトは規模を問わず日常的にスキャン・攻撃の対象となっています。そのため、個人情報や決済情報を扱うサイトはもちろん、BtoBサイトや業務アプリケーションにおいても、WAFは基本的なセキュリティ対策の一つとして位置づけられています。

経済産業省も2026年度末の運用開始に向け、企業のセキュリティ対策レベルを可視化する「SCS評価制度」の整備を進めており、今後は対策状況が取引判断にも影響していく可能性があります。導入時はコストだけでなく、インシデント発生時の影響や社会的な評価動向も踏まえて判断するとよいでしょう。

WAF運用で注意すべき課題

WAFの効果を最大限発揮するためには導入後の運用が不可欠です。一方で、専任のセキュリティ人材の確保や、日々進化するサイバー攻撃手法のキャッチアップ、シグネチャの更新などの課題が存在します。

シグネチャ更新と誤検知防止

WAF運用における最大の課題の一つが「シグネチャ更新と誤検知のバランス」です。セキュリティを強化するために厳格なルールを設定すると、正規のアクセスまで遮断してしまう「誤検知（フォルスポジティブ）」が増加する傾向があります。

このような運用上の課題から、シグネチャの適切なチューニングをベンダーに任せることができるクラウド型WAFが近年注目を集めています。

WAF選びの7つのチェックポイント

WAFを選ぶ際は以下の観点から比較検討することが重要です。

• 対応する攻撃の種類：OWASP Top 10への対応状況を確認する
• 誤検知・過検知への対処：正常な通信をブロックしないためにチューニングができるか
• 運用の負荷：シグネチャ更新・ログ分析・アラート対応を自社でどこまで担えるか
• 可用性・レイテンシへの影響：WAFが通信経路に入ることによるパフォーマンス低下の有無
• SSL証明書の自動更新：WAFがSSL終端を担う場合、証明書の自動更新に対応しているか
• サポート体制：日本語対応のサポートや導入支援があるか
• コスト：初期費用・月額費用・スケール時の料金体系

売上シェアNo.1※ クラウド型WAF「攻撃遮断くん」が選ばれる5つの理由

攻撃遮断くんは月額1万円から導入でき、累計導入サイト20,000以上の実績を持つクラウド型WAFです。導入コストや運用負荷が少ないため、攻撃遮断くんは企業規模問わず多種多様な企業が導入しています。

① あらゆるWebシステムに対応

レンタルサーバ、オンプレミス環境、クラウド環境など様々なサーバ環境に導入可能。環境によって導入時に必要な要件が異なりますのでお気軽にお問い合わせください。

② 月額10,000円〜利用可能

1サイト10,000円から導入でき、運用費用を抑えてWebサイトのセキュリティ対策が可能です。小規模のサイトや業務アプリケーションなどトラフィックが少ないサイトにもご利用いただきやすい価格設定です。

③ 確かな導入実績と上場企業が運営する信頼性

攻撃遮断くんは累計導入サイト数20,000以上、業種・業界を問わず幅広く利用されており、国内クラウドWAF市場で売上シェアNo.1*の実績。東京証券取引所グロース市場に上場している株式会社サイバーセキュリティクラウドが開発・提供しています。

④ 24時間365日、日本語対応の手厚いサポート

導入後も安心のサポート体制を構築しています。専任のサポートチームが対応するため、専門知識がなくとも効果的なWAFの運用が可能です。

⑤ 最短1日から導入可能

攻撃遮断くんは最短即日から導入可能です。サイト公開が差し迫っているような状況でも即時ご利用いただけます。

出典：デロイト トーマツ ミック経済研究所「外部脅威対策ソリューション市場の現状と将来展望　2024年度」