WAF(Webアプリケーションファイヤーウォール)とは、Webアプリケーションに対する攻撃を防ぐセキュリティ対策のひとつ。
まず、ファイアウォールとは、コンピューターネットワークに対して外部からの攻撃を防ぐセキュリティシステムのこと。また、Webアプリケーションはホームページと考えられます。
ホームページに対してはいろいろな攻撃が仕掛けられることが想定できます。それら特有の攻撃があった際には、検知して防御するシステムのことです。
攻撃とは例えば下記のようなものが挙げられるでしょう。
- SQLインジェクション:ウェブサイトの入力フォームなどに「悪意あるSQL」を仕込んでデータベースを不正に操作する攻撃。
- クロスサイトスクリプティング:ウェブサイトの掲示板やコメント欄などに悪意あるスクリプト(JavaScriptなど)を埋め込んで、訪問者のブラウザで勝手に実行させる攻撃。クッキー情報を盗まれたり、偽サイトに飛ばしたりする。
とはいえ、Webアプリケーションファイアウォールも万能ではありません。設定があまいと防げないこともあるし、アプリケーション(サイト)自体の脆弱性を突かれてしまうと防ぎきれないこともある。
また、誤検知や過剰ブロックも問題視されるケースもある。
コメント