WAFとは―読み方は「ワフ」、FWとの違い、防げない攻撃など。

トップ 情報処理の知識体系 テクノロジ系 技術要素 セキュリティ 情報セキュリティ対策 技術的セキュリティ対策 WAF

WAFとは、読み方は「ワフ」、Web Application Firewallの略で、 Webサイトに対するアクセス内容を監視し、攻撃とみなされるパターンを検知したときに該当アクセスを遮断する製品です。FWとの違い、防げない攻撃などまとめています。

▲記事トップへ

目次

この記事の目次です。

1. WAFとは

2. WAFとFWとの違い

3. WAFで防げない攻撃

WAFに関連したIPA情報処理試験の過去問題

もっと知識を広げるための参考

更新履歴

1. WAFとは

WAFとは、Web Application Firewallの略で、 Webサイトに対するアクセス内容を監視し、攻撃とみなされるパターンを検知したときに該当アクセスを遮断する製品です。

読み方

WAFの読み方は「ワフ」です。

2. WAFとFWとの違い

ファイアウォール（FW）はルールに基づいてアクセス制御を行う製品ですが、近年、侵入防御システム（IPS）やWebアプリケーションファイアウォール（WAF）などが登場したこともあり、 ファイアウォールの概念や範囲が拡大するとともに、その境界線があいまいになってきています。

狭義の主にネットワーク層においてルールに基づいてアクセスを行う製品を「ファイアウォール（FW）」と呼びますが、 広義では、ネットワークやホストに対する侵入や攻撃を防ぐ機能を持つもの全般を「ファイアウォール（FW）」といいます。

ですのでWAFとFWとの違いは、狭義ではネットワークとアプリケーションという防御対象の違いがあり、広義ではWAFもFWといえます。

3. WAFで防げない攻撃

WAFは、特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、不正な通信を遮断します。 WAFにおけるブラックリストは、これらの問題がある通信データパターンを定義したものです。

WAFで防げない攻撃はルールを定義していない攻撃、Webアプリケーション以外の攻撃が挙げられます。

WAFに関連したIPA情報処理試験の過去問題

以下ではWAFに関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成30年秋 問30 WAF―情報セキュリティマネジメント試験 午前
• 平成30年春 問12 WAFの説明―情報セキュリティマネジメント試験 午前
• 平成29年秋 問20 WAFの説明―情報セキュリティマネジメント試験 午前

もっと知識を広げるための参考

• 情報セキュリティ対策

  情報セキュリティ対策（英語でInformation security measures）は、人的、技術的、物理的セキュリティの側面から対策が必要です。ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。

• 情報セキュリティ

  情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

• テクノロジ系

  情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

更新履歴

• 2019/8/5 記事をUPしました。

戻る