クラウド型WAFとは?仕組みや防げる攻撃などを徹底解説!|ブログ|アイテック阪急阪神ITインフラ・クラウドソリューション                                      

コラム

2026-02-24

クラウド型WAFとは?仕組みや防げる攻撃などを徹底解説!

クラウド型WAFとは?仕組みや防げる攻撃などを徹底解説!クラウド型WAFとは?仕組みや防げる攻撃などを徹底解説!

目次

増大するセキュリティの脅威に対抗するには?

近年、さまざまな要因により、Webサイトへのセキュリティ脅威はかつてないほど高まっています。

本記事では、数あるセキュリティ対策の中でも基本的な対策であるクラウド型WAF(Web Application Firewall)について解説をします。

クラウド型WAFとは?

クラウド型WAFを一言でいえば、Webアプリケーションに対する外部からの攻撃を防御する仕組みです。不正アクセスやサイバー攻撃を防ぐ仕組みであるファイアウォールの一つで、Webサーバに導入する場合や、専用機器を設置して導入する場合などがありますが、中でもSaaS形式で導入されるものが、クラウド型のWAFです。

WAFはファイアウォールの中でもWebアプリケーションに特化してセキュリティを堅牢にします。なお、ファイアウォールとはもともと火事の際に延焼を防ぐための防火壁を意味し、ITの世界ではそこから転じて外部からの攻撃から防御するネットワーク機器のことを指します。ネットワーク構成図などではレンガの壁のイラストで表現されることが多いです。

インターネット攻撃の種類

WAFの仕組み

では、WAFはどのような仕組みを用いているのでしょうか。メーカーによって細かな違いはありますが、基本的に「シグネチャ」と呼ばれるファイルと照合して正常なアクセスかそうでないかを判断します。「シグネチャ」とは既知の不正アクセスのパターンや通信の手法、さらにはウィルスの特徴などをまとめたものです。これに一致するアクセスがあった場合、通信を遮断します(ブラックリスト方式)。「シグネチャ」を用いた方式には「ブラックリスト方式」のほか、「ホワイトリスト方式」の2種類があります。以下それぞれの形式について簡単に整理します。

1.ブラックリスト方式

ブラックリスト方式とは、シグネチャに一致する通信を拒否することによって、不正アクセスを防止する手法です。弱点として、シグネチャで定義されていない未知の攻撃に対応できないという点があります。そのため、シグネチャの定期的なアップデートを必要とします。よく、ウィルス対策ソフトは定期的なアップデートが必要と言われますが、WAFも同様で、アップデートを実施しないと新たに発見された脆弱性に対応できません。

2.ホワイトリスト方式

上記とは逆の仕組みで、ホワイトリスト方式とは、あらかじめ「安全な対象」をリストへ定義し、対象外となるアプリケーションやプログラムの実行をさせないことでサイバー攻撃を防ぐ手法のことを言います。この方式だと、Webアプリケーションに合わせて柔軟に定義できるほか、未知の攻撃も防げるというメリットがあります。ただし、定義にはWAF側の細かな設定項目への理解に加え、自社で運用する場合にはWebアプリケーションやセキュリティに関する知識が必要です。最近はAIなどを利用して運用を支援する製品も増えており、従前よりも導入・運用のハードルは下がっていますが、それでもユーザーには多くの高いスキルが求められます。

WAFの種類とは?

クラウド型WAFを含めた、ファイアウォールには、主な提供形態として、SaaS型・アプライアンス型・ソフトウェア型・IaaSが提供するWAFサービスの4つに分類することができます。

SaaS型(クラウド型 WAFの主流)

インターネットを経由してクラウドサービスを受ける形態で、専用機器が不要であること、導入までの期間が短いことから、IaaS提供のサービスと同じく短期間に導入可能で、導入費用が割安になる傾向にあります。主に通信量や監視対象となるURLの数によって費用が決まります。既に確立されたサービスを利用するため、企業内のネットワーク構成を変更する必要がありません。一方、SaaS型のデメリットとしては、サービス提供者側で起こるシステム障害やネットワーク障害などの影響を受けることが挙げられます。

アプライアンス型

各組織のネットワーク内にWAFの専用機器を設置、もしくは仮想ハイパーバイザー上に仮想アプライアンスとして設置します。Webサーバからは独立して動作するため、Webサーバ側に負荷は掛かりません。またWAFの性能アップや設定変更なども、Webサーバ(アプリケーション)への影響は比較的少なく、柔軟に行うことが可能です。主に従来からのオンプレミス型システムやWAFそのものに細かいチューニングが必要な場合に選択されます。

ソフトウェア型

保護対象となるWebサーバにWAFのソフトウェアを導入します。アプライアンスと比較すると、専用の機器を利用しないため、比較的低コストで導入できるケースが多く、ネットワーク環境の構成変更も不要な点が特長です。

IaaSが提供するWAFサービス(クラウドベンダーが独自で提供しているクラウド型 WAF)

AWSなどのクラウドのサービスの一つとして提供され、当該クラウド上のシステムを保護するために利用されます。例えば、AWSが提供するサービスであるAWS WAFの場合、初期費用なく、ほんの数分でAmazon CloudFrontやApplication Load Balancer、Amazon API Gatewayに導入することが可能です。これらに導入することで脆弱性を狙ったリクエストをブロックし、アプリケーションとその背後にあるデータを保護します。クラウド上のシステム保護には、仮想アプライアンスを当該インスタンス上に導入する形式でも可能ですが、クラウドが提供するサービスはクラウド内の他のサービスとシームレスに連携することが可能です。他方、クラウドサービスに関する十分な理解が必要となるため、ハードルそのものが低いとは言えない側面もあります。

WAFで防ぐことのできる攻撃

では、WAFでどのような脅威を防ぐことができるのでしょうか。代表的なものを3つご紹介します。

1.SQLインジェクション

ユーザーからの入力値を元に、データベース処理言語であるSQLを悪用する方法です。Webアプリケーションの入力画面で不適切なSQL文を入力し、アプリケーション側で想定していないSQL文を挿入することでデータベースを不正に操作します。例として、お問い合わせフォームなどから不正なSQL文を入力されるケースがあります。

正常な処理
SQLインジェクション攻撃

2.OSコマンドインジェクション

SQLインジェクションと同じように、OSに誤動作を起こさせる攻撃です。入力値に任意のOSコマンドを埋め込むことでサーバに対する破壊・乗っ取りを行います。

3.DDoS攻撃

標的のサーバに複数のコンピュータから大量の処理負荷を与え、機能停止に追い込みます。

DDoS攻撃の表

その他には、Webアプリケーションに罠を仕掛けて悪意のあるページに誘導し、そこから不正なスクリプトをユーザーに実行させる「クロスサイトスクリプティング」やサーバのメモリ領域内のバッファの許容範囲を超えるデータを送りつける「バッファーオーバーフロー」などがあります。

いずれも企業の情報システムに深刻な影響を与えるものであるため、脆弱性が明らかとなった場合、対象のアプリケーションの早急な改修が必要になります。しかし多くの場合、運用中のWebアプリケーションの改修をすぐに行うことは難しく、多大な手間と費用、時間を要します。WAFを導入している場合、脆弱性に対して短時間で対応することができるため、アプリケーションの改修の範囲が必要最低限で済み、継続的なシグネチャのアップデートによりセキュリティが保たれた状態とすることが可能です。

WAFの運用コスト

次に、このWAFのコスト面について見ていきます。WAFそのもののコストは初期コスト、運用コスト(運用にかかる人的コストを含む)の大きく2つから構成されます。

1.初期コスト

機器やソフトウェアの購入費用および導入費用の2つからなり、専用機器を導入する場合にはここに費用の大部分が掛かります。クラウド型のWAFを導入する場合にはサブスクリプションとして提供されている場合が多いため、ハードウェアと比較すると初期コストを抑えられるケースが多いです。

2.運用コスト

機器の保守費やサブスクリプションの月額費用などがこちらに入ります。また、機器の保守や運用を行うためのエンジニアの人件費も運用コストに含まれます。WAFは常に最新のシグネチャを適用しないとセキュリティ強度が下がり、脆弱性を内在することとなってしまいます。また、Webアプリケーションやセキュリティに詳しい技術者が定期的にチューニングを行う必要があり、自社で全てを賄おうとすると、運用コストが高額になるケースもあります。クラウド型WAFの場合、保守や運用はベンダー側で実施されるため、運用負担および社内の人件費は抑えられる傾向にあります。

クラウド型 WAFは、導入のしやすさとコストパフォーマンスの高さから、現代のセキュリティ対策の主流となっています。

まとめ

当記事では、WAFの仕組みや分類から、WAFによって防げる攻撃の種類や運用にかかる費用に至るまでWAFとは何か?について解説をしました。導入するWAFの種類にもよりますが、概してセキュリティ分野においては導入や運用に際して、相応の費用と人材、手間を要することになります。それが難しい場合、アウトソーシングするという選択肢もあります。アイテック阪急阪神はネットワーク事業者として、弊社で扱っているクラウド型WAF「攻撃遮断くん」ホスト型WAF「SiteGuard Server Edition」の導入・運用についてはもちろん、さまざまなセキュリティ対策に関するご相談を承ります。セキュリティについて課題をお持ちの方はアイテック阪急阪神にご相談ください。

関連資料をダウンロード

セキュリティソリューションご紹介資料

Web改ざん対策、不正アクセス対策、脆弱性診断など、アイテック阪急阪神が取り扱うセキュリティを強化するさまざまなサービスの紹介資料です。

資料イメージ

よくある質問

Q1 クラウド型WAFとは何ですか?

クラウド型WAFとは、Webアプリケーションに対する外部からの攻撃を防御する仕組みであるWAFを、クラウドサービス(主にSaaS形式)として提供する形態のことです。専用機器が不要で導入までの期間が短く、運用負担をベンダー側に任せられるため、セキュリティ対策の主流となっています。

Q2 「ブラックリスト方式」と「ホワイトリスト方式」の違いは何ですか?

ブラックリスト方式は、既知の不正パターン(シグネチャ)と照合して通信を遮断します。未知の攻撃には対応できないため、定期的なアップデートが不可欠です。 ホワイトリスト方式は、あらかじめ定義した「安全な対象」以外をすべて拒否します。未知の攻撃も防げますが、高度な設定スキルが求められます。

Q3 クラウド型WAFと他の種類のWAFの違いは何ですか?

SaaS型やIaaSが提供するWAFサービスなどの、クラウド型WAFはインターネット経由で利用するため、専用機器の設置やネットワーク構成の変更が不要で、導入が簡単です。また保守や運用までベンダーに任せられる点が特徴です。アプライアンス型は専用機器をネットワーク内に設置し、Webサーバへの影響が少なく柔軟な運用が特徴です。ソフトウェア型はWebサーバに直接ソフトウェアを導入します。低コストでネットワーク変更不要な点が特長ですが、保守や運用は自社で賄う必要があります。

Q4 クラウド型WAFのメリットは何ですか?

クラウド型WAFのメリットは、専用機器が不要で導入までの期間が短く、初期費用を抑えられる点です。また、保守や運用(シグネチャの更新など)はベンダー側で行われるため、社内の人的コストや負担を大幅に軽減できます。通信量や監視対象URL数に応じた費用体系が多く、コストパフォーマンスが高く、導入のしやすさが特徴です。

Q5 クラウド型WAFのデメリットはありますか?

クラウド型WAFのデメリットとしてはサービス提供者側のシステム障害やネットワーク障害の影響を受ける可能性があります。導入・運用の手軽さがメリットですが、サービス提供者の影響を完全に避けられない点が挙げられます。

Q6 クラウド型WAFで防げる攻撃は何ですか?

クラウド型WAFはWebアプリケーションに特化した防御を行うため、SQLインジェクション、OSコマンドインジェクション、クロスサイトスクリプティング、バッファーオーバーフロー、DDoS攻撃などの攻撃を防ぐことができます。

Q7 WAFの導入・運用にはどのようなコストがかかりますか?

コストは大きく分けて2種類あります。
初期コスト:機器・ソフトウェアの購入費や導入費です。クラウド型はハードウェア型に比べ初期コストを抑えられます。
運用コスト:月額費用や保守費のほか、チューニングを行うエンジニアの人件費が含まれます。自社運用が難しい場合は、アウトソーシングを検討するのも一つの手段です。

フォームでのお問い合わせ

ITインフラ・クラウド運用サービスの概要やコストを知りたい、
自社に最適なプランを知りたいなど、
お気軽にご相談ください。

お問い合わせ

資料ダウンロード

サービス概要資料、ホワイトペーパー、構成例など、弊社のマネージドサービスに関連する資料をダウンロードすることができます。

ダウンロード資料一覧