コロナ渦でリモートワークが普及した事で、
以前よりセキュリティー対策を気にされている方も多いのではないでしょうか？

弊社でもより快適にリモートワークを行えるよう、
社内外で環境の整備をおこなっておりますが、先日お客様とやり取りする際に、
以下のような事を尋ねられました。

「WAF(ワフ)とFW(ファイヤウォール)って何が違うの？」

どちらもセキュリティー対策には欠かせない仕組みですが、
違いを説明してみてと言われると意外と難しいかもしれません。

今回は、そんなWAFとFWの違いについてまとめてみたいと思います。

FW(ファイヤウォール)とは？

FWはFirewallの略称で、悪意のあるアクセスや攻撃から
サーバーや社内ネットワークを守るための仕組みです。

FWはインターネットと社内ネットワーク・サーバーなどの間に配置されており、
ネットワークに入ってくる通信・出ていく通信を常に監視します。

特定のポート(HTTPやFTP、SSHなど)や、特定のIPアドレスからの通信を、
許可・拒否する設定を予め行っておき、そのルールに沿ってアクセスを許可・拒否します。

ECなどのWebサイトの設定例としては、以下のような設定があげられます。

・不特定多数の人がWebブラウザでアクセスするHTTP・HTTPS通信は、全て許可しておく
・SSHやFTPなどWebサイトのメンテナンスに利用する通信は、特定のIPアドレスからの通信以外は拒否

WAF(ワフ)とは？

WAFはWeb Application Firewallの略称で、「ワフ」と呼びます。

Web ApplicationのFirewallなので、
守る対象がPHPやRubyなどで作られたWebアプリケーションとなります。

Webアプリは不特定多数の人がアクセスする可能性があるため、
悪意のあるアクセスからの様々な攻撃に対して、考慮する必要があります。

WAFは様々な攻撃のうち代表的な攻撃を検知して、
未然に防いでくれる仕組みです。

WAFが防いでくれる代表的な攻撃としてSQLインジェクションというものがあります。

この攻撃は問い合わせフォームなどのユーザーが文字を入力可能なフォームに、
データーベースを操作するプログラム(SQL)を入力して、誤作動させる攻撃方法です。




この攻撃が成功してしまうと、問い合わせフォームからデータベースが操作出来てしまうため、
顧客情報が流出してしまったり、大切なデータが削除されてしまい、Webアプリケーションが破壊されてしまう可能性があります。

そんな恐ろしいSQLインジェクションを対策出来ていない場合でも、
WAFを有効にしておけば、攻撃を防ぐことが出来ます。

その他にもWAFを有効にしておくと、ディレクトリートラバーサルや、XSS（クロスサイトスクリプティング）など、
様々な攻撃からWebアプリを守ってくれます。

FWとWAFの違い

FWとWAFの違いは守る対象が異なることです。

WAFはWebアプリを攻撃から守る仕組みなので、HTTP・HTTPS通信のみが守る対象となります。
Webアプリの性質上、不特定多数のユーザーからアクセスを想定する必要があるため、
様々な攻撃を防ぐよう仕組みとなっております。

それに対して、FWはWebアプリに限らず、社内ネットワークやサーバーなどを
悪意のあるアクセスや攻撃から守る仕組みです。
そのため、どのパターン(HTTP・HTTPS通信のみではなくFTPやSSH、特定のIPアドレスからのアクセスなど)でアクセスを許可・拒否するかを事前設定しておく必要があります。

弊社ではECサイトやコーポレートサイトなどのWebアプリを制作する場合、
レンタルサーバーをご案内する事が多いですが、WAFはどのレンタルサーバーでも標準でご利用いただける場合がほとんどです。
それに対して、FWは利用できない・もしくはオプションで契約する必要がある場合が多い印象です。

まとめ

FWとWAFの違いについてまとめてみましたが、いかがでしたでしょうか？
同じファイアウォールですが、WAFはウェブアプリ、FWはサーバーやネットワーク全体を守っているという事だけでも、覚えて頂けますと幸いです。