ウェブアプリケーションの脆弱性を悪用した攻撃を防御するファイアウォール

ウェブアプリケーションファイアウォール（英：Web Application Firewall）は、ウェブアプリケーションに対する攻撃の防御に特化したネットワーク制御製品。英語表記の頭文字を取って「WAF」と略される。

従来のファイアウォールは、例えば企業のネットワークへの外部からの攻撃を防ぐことを目的に、OSI参照モデルにおけるネットワーク層、トランスポート層など、IPアドレスやポート番号における情報に基づいて通信を制御していた。一般的に外部に公開されていない企業ネットワークなどへの攻撃に対しては、ファイアウォールは有効であるが、ウェブサイトは外部へ公開されているものであり、そこで提供されているウェブアプリケーションを狙った攻撃を制御することはできなかった。

そこでウェブアプリケーションファイアウォールでは、より高いレイヤーで通信内容を検査し、クロスサイトスクリプティングやSQLインジェクションといった脆弱性を悪用する攻撃を防止する。

ウェブアプリケーションに対する通信を検査し、攻撃の特徴を持った通信や、通常あり得ない不自然な通信を検知して遮断する。通信の検査にあたっては、攻撃の特徴を定義したシグネチャによるブラックリスト方式や、正常な通信を定義したホワイトリスト方式などがある。

ウェブアプリケーションに脆弱性が見つかった場合、脆弱性を修正するのが根本的な対策となる。しかし、すぐに修正できない場合や動作検証に時間がかかるといった問題もあり、ウェブサイトの運営者がすぐに対応できるとは限らない。そのような場合にも、定義ファイルなどの設定により脆弱性を悪用する攻撃を遮断することができるため、有効な緩和策としても注目されている。