Webアプリケーションファイアウォール(WAF)とファイアウォール

ファイアウォールとWebアプリケーションファイアウォール(WAF)は、企業のセキュリティアーキテクチャの一般的なセキュリティ要素です。 どちらも、ネットワークトラフィックを検査およびフィルタリングすることで、一般的な攻撃から組織を保護します。 しかし、その共通点にもかかわらず、2 つのソリューションは異なる目的を対象としています。 従来のファイアウォールとWAFの違いを理解することは、サイバーセキュリティソリューションがビジネスニーズを満たし、企業が潜在的なサイバー攻撃から適切に保護されるようにするために不可欠です。

詳細はこちら 無償評価版

ファイアウォールとは?

従来のネットワーク ファイアウォール は、ネットワーク境界を越えようとする悪意のあるトラフィックを検査およびフィルタリングすることにより、ネットワーク境界を定義および保護するセキュリティソリューションです。

最も単純なファイアウォールは、ネットワークパケットのヘッダーを検査し、IPアドレスとポート番号に基づいて許可または拒否します。 次世代ファイアウォール(NGFW)などのより高度なファイアウォールも、ネットワークパケットのペイロードを検査し、さまざまなセキュリティ機能を組み込んで、埋め込まれたマルウェア、データ流出、その他の脅威を特定します。

これらのNGFW機能は、数年前よりも巧妙で洗練された最新のサイバー攻撃から組織を保護するために不可欠です。

What is a Web Application Firewall (WAF)?

Webアプリケーションファイアウォール(WAF)は、WebアプリケーションとAPIを保護するために設計された特定のタイプのファイアウォールです。すべてのタイプのネットワークトラフィックに対する包括的な保護を提供するのではなく、脆弱な企業のWebアプリケーションを標的とした悪用の試みを特定してブロックすることに重点を置いています。

WAFは、OSIモデル(レイヤー7)のアプリケーションレイヤー攻撃を特定してブロックすることに特化しています。 これには、WebアプリケーションとAPIへのHTTPSリクエストを検査して、SQLインジェクションや同様のWebアプリケーションのセキュリティ脅威の兆候を探ることが含まれます。 SQL は、データベースの作成およびデータベースとの通信のための標準言語です。

SQLインジェクションは、悪意のあるSQLコードを使用してバックエンドデータベースを操作し、データを盗む一般的なサイバーセキュリティ攻撃ベクトルです。 この情報には、次のものが含まれます。

  • 機密性の高い企業データ
  • ユーザーリスト、銀行口座
  • PII(個人を特定できる情報)

WAFとファイアウォール:主な違い

WAFは特定の種類のファイアウォールです。ただし、ファイアウォールという用語は通常、WAFとは異なるものを指すために使用されます。

従来のファイアウォールとWAFの主な違いは次のとおりです。

  • 保護範囲: WAFは、組織のWebアプリケーションを攻撃から保護するために設計された、焦点を絞ったソリューションです。 対照的に、NGFWまたは同様のファイアウォールは、Webトラフィックやアプリケーショントラフィック、その他のさまざまな形式のネットワークトラフィックなど、ネットワーク境界を通過するすべての着信トラフィックを監視することを目的としています。
  • OSIレイヤー: WAFはレイヤー7セキュリティソリューションであり、悪意のあるリクエストを検査して、SQLインジェクションや同様のWebアプリケーション攻撃の兆候がないか確認します。 NGFWはレイヤー7でも動作でき、アプリケーションの認識ときめ細かなアクセス制御を提供しますが、従来のファイアウォールは主にOSIモデルのレイヤー3と4で動作し、IPアドレスとTCP/UDP ポートを監視します。
  • 主な焦点: WAFはエクスプロイト検出を目的としており、脆弱なWebアプリケーションを悪用する試みを探します。 対照的に、ファイアウォールは未承認のIPアドレスとプロトコルをブロックし、ネットワークトラフィック内の悪意のあるコンテンツやデータ流出を探します。

それぞれを使用するケース

WAFとファイアウォールはどちらも、ネットワークトラフィックを監視およびフィルタリングするように設計されています。 ただし、これらは異なるユースケースを対象としています。 WAFは、組織のWebアプリケーションとAPIを攻撃から保護するためだけに設計されています。 これらは、オンプレミスとクラウドの両方で、公開されているWebアプリの前にデプロイする必要があります。

ファイアウォールは、ネットワークトラフィック内の悪意のあるコンテンツやデータ流出の試みを特定してフィルタリングすることにより、ネットワーク境界を保護するように設計された一般的なネットワークセキュリティソリューションです。 ファイアウォールは、ネットワーク・セグメンテーションを実装するために、ネットワーク境界または企業ネットワーク内部に展開されます。

補完的なセキュリティ

WAFはファイアウォールの一種ですが、この2つのソリューションは、非常に異なるサービスを提供するように設計されています。

WAFはWebアプリケーションに特化したセキュリティレイヤーを提供し、ファイアウォールは汎用のネットワークセキュリティとトラフィックフィルタリングを提供します。 競合するソリューションではなく、WAFやNGFWなどのファイアウォールを補完的なセキュリティツールと見なす必要があります。 NGFW は、組織のネットワーク境界またはセグメント境界を潜在的な脅威から保護することを目的としています。

WAFは、Webアプリケーションが悪用から保護され、データ侵害やその他のセキュリティインシデントの原因にならないようにするのに役立ちます。

チェック・ポイント CloudGuard WAF and Quantum NGFW

WAFとNGFWは、ほとんどの組織のセキュリティアーキテクチャの重要な部分です。 WAFはWebアプリケーションを攻撃から保護し、NGFWはインバウンドの脅威やデータ流出の試みから企業ネットワークを保護します。 両方に適したソリューションを選択することは、組織を攻撃から保護するために不可欠です。

チェック・ポイントは、企業のWAFとNGFWの両方に対応するソリューションを提供しています。 CloudGuard WAFと他のWAFソリューションとの比較については、2024年のGigaOm Radar Report for Application and API Security(AAS)をご覧ください。その後、無料のデモにサインアップして、CloudGuard WAFの機能をご自身でお確かめください。 チェック・ポイントは、数分でセットアップできる WAF-as-a-Service も提供しており、DDoS保護も提供します。 WAFの機能の詳細については、 無料のデモをご覧ください。

NGFWをお探しの組織向けに、チェック・ポイントは、業界をリードする脅威対策機能を備えた 駆動のNGFWであるQuantum Force を提供しています。AIQuantum Forceがサイバー脅威に対する組織の保護をどのように強化できるかについては、 無料のデモで詳しくご紹介します。

スタート

CloudGuard WAF

AASのGigaOmレーダーレポート

CloudGuard Network Security

CloudGuardスイート

関連トピック

アプリケーション・セキュリティ(AppSec)

ランタイムアプリケーションセルフプロテクション(RASP)とは何ですか?

クラウド ワークロードのセキュリティ

Webアプリケーション & API Protection (WAAP)