WAF (Web Application Firewall)
「ワフ」と読む。悪意のあるハッカーからの不正な攻撃や侵入を防ぐために、Webサイト(アプリケーション)の手前に設置する強力な「防御壁」。
WAF(ワフ)とは
「Web Application Firewall(ウェブ・アプリケーション・ファイアウォール)」の略です。 Webサイトの裏側(お問い合わせフォーム、ログイン画面など)にある「アプリケーションの弱点」を狙ったハッカーからの特殊なサイバー攻撃(SQLインジェクションやクロスサイトスクリプティングなど)を**自動で検知して、遮断してくれる「専用の強力な盾(防御壁)」**です。
💡 例え話でいうと…
**「荷物の中身(アプリ通信)まで全てチェックする、超有能な空港の手荷物検査員」**です。
-
従来のファイアウォール: 「あ、君は悪いヤツじゃないね!よし通れ!(IPアドレスしか見ていないので、普通の服を着ていればハッカーも通してしまう)」
-
WAFの凄さ: 「よし通っていいぞ。……ちょっと待て!お前の持っているバッグの中のその書類の文字(パラメータ)、うちのデータベース(SQL)を不正に書き換えるための『危ない文字』が仕込まれてるな!お前はハッカーだ!逮捕!(遮断)」
このように、WAFは単純な通信の許可・不許可だけでなく、中に仕込まれた「悪いプログラムの命令文」の中身までしっかり読んで、危険だと判断した通信をシャットアウトして企業を守ってくれます。
関連する用語 (セキュリティ)
全7件を見るSQLインジェクション
お問い合わせフォームや検索窓の入力欄などに、悪意のある「データベース操作命令(SQL)」を『注入(インジェクション)』し、パスワードなどの非公開データを無理やり引き出したり消去したりするサイバー攻撃。
DDoS攻撃 (ディードス攻撃)
世界中の無数のパソコン(ウイルス感染した端末など)を乗っ取り、標的のWebサイトに一斉に超大量のアクセスを送りつけてサーバーの処理を追いつかせなくし、サイトをダウンさせるサイバー攻撃。
多要素認証 / MFA (Multi-Factor Authentication)
パスワードだけでなく、「スマホに届くSMSコード」や「指紋」など、異なる2つ以上の要素を組み合わせて本人確認を行う強力な認証方式。
ゼロトラスト (Zero Trust)
「社内ネットワークは安全である」という従来の前提を捨て、「全ての通信(誰であろうと)を信用せず、常に毎回検証する」という現代のセキュリティの考え方。
クロスサイトスクリプティング (XSS)
SNSや掲示板など、ユーザーが送信した文字がそのまま表示されるサイトに対して、ハッカーが悪意のある「JavaScript」などのプログラムを書き込み、他のユーザーに見せて実行させるサイバー攻撃手法。
SSO (シングルサインオン)
1回のログイン認証(ID/パスワード入力)だけで、連携している複数の異なるシステムやクラウドサービスをパスワードなしで利用できる仕組み。