ラーニングセンターに戻る

Web アプリケーションファイアウォール (WAF) のベストプラクティス

Web アプリケーションファイアウォール (WAF) は、最先端の AppSec プログラムにとって重要な要素です。WAF を効果的に実装・活用するためのベストプラクティスを組織内で用意しておくと、セキュリティの維持に役立ちます。

WAF とは何か

WAF は、Web アプリケーションの保護に特化したセキュリティソリューションです。Web アプリケーションとインターネット間のシールドとして機能し、Web サービスが送受信する悪意のある HTTP/HTTPS トラフィックを検出し、ブロックしてサーバーを保護します。

WAF は多くの場合、インターネットと保護される Web アプリケーション間のリバースプロキシとして機能します。また、特定のセキュリティ要件に合わせて、インライン、クラウドベース、オンプレミスなど、さまざまな環境に WAF をデプロイすることもできます。デプロイ方法を問わず、WAF はアプリケーションサーバーに到達する前にすべての受信トラフィックを検査し、潜在的な脅威から保護するシールドを提供します。

セキュリティチームにおける WAF のベストプラクティスとは

WAF を導入・運用するセキュリティチームにとってのベストプラクティスを最も高いレベルの観点から考える場合、WAF の機能を最大限に活用し、ポリシーを微調整して最高のパフォーマンスを引き出すことに重点を置くべきです。

より具体的な WAF のベストプラクティスには、以下のようなものがあります。

WAF ポリシーを使用する

WAF は、どのトラフィックが安全であるか、あるいは悪意があるかを判断する (つまり WAF が許可またはブロックするトラフィックを決定する) のに役立つポリシーに基づいて動作します。WAF を利用する企業や個人は、自分たちの要件に従ってポリシーをカスタマイズできます。また、ポリシーは迅速かつ自動的に更新が可能です。簡単にポリシーを修正し、さまざまな種類の攻撃に素早く対応できることは、WAF のメリットのひとつです。

継続的にテストを実施し、WAF ルールを頻繁に更新する

WAF ルールとは、広範な WAF ポリシーの中にある個別のセキュリティガイドラインです。WAF ポリシーには複数の WAF ルールが含まれます。WAF ルールでは条件 (トラフィックリクエストで何を検知するか) とアクション (条件に合致した場合に何を行うか) の両方を指定できるため、if/then 文のようなものだと考えてください。WAF ソリューションにおいて、ルールは、「もし」このような状況が発生した場合、「次に」これを実行する、という内容を定義します。

WAF ルールを頻繁に更新し、必要に応じて新しいルールを追加することは常にベストプラクティスです。これにより、正規のトラフィックがブロックされること(偽陽性と呼ばれる)や、不正なトラフィックが誤って許可されること(偽陰性と呼ばれる)を防ぎます。継続的なテストは、WAF ルールを正確かつ精密に保つのに役立ちます。

ボット管理を実装する

ボット管理ルールは悪意のあるボットトラフィックをフィルタリングし、被害を防ぐのに役立ちます。

レート制限を使用する

レート制限は、Web アプリに送信されるリクエストの頻度を制限するのに役立ちます。これにより、トラフィックの全体量をコントロールし、過負荷を防ぎ、リソースを保護することができます。

OWASP トップ10を考慮する

既知の OWASP 脆弱性についてテストを行い、適切なルールとポリシーが整備されていることを確認します。

管理と監視を導入する

WAF のログを既存のツール (SIEMなど) と統合して、異常なトラフィック活動を監視し、特定された問題に対する可視性を高めます

プロファイリングとホワイトリストを使用する

WAF が持つ正常なアプリケーション動作に関するインテリジェンスを活用し、許可するトラフィックや IP のリストを作成して誤検知を防ぎます。一部の WAF ソリューションはこの分野で独自の機能を提供しており、正規のトラフィックがブロックされないような設定を簡単に実装することができます。

DevOps における WAF のベストプラクティスとは

前述のベストプラクティスでは、セキュリティチームの視点から WAF のパフォーマンスや影響を評価しました。しかし、WAF の導入が開発パイプライン内でどれほど効果的か、そしてどれほど負担になるかは開発作業に直接関わるため、開発チームへの影響も考慮する必要があります。

すべての API に WAF を使用する

WAF を使用すると、企業はアプリケーションのランタイムの状況と、ソフトウェアに影響を及ぼすリクエストや攻撃の種類についての可視性を得られます。そのため、インターネットに接続しているすべてのアプリケーションやマイクロサービスのコンテナ間、API 指向のアーキテクチャに WAF を適用するべきです。

強力な WAF ソリューションを導入しなければ、組織はアプリケーションポートフォリオを部分的にしかカバーできず、アプリケーションを標的とした脅威に対するインサイトや可視性が不十分となり、大きなセキュリティギャップが生まれます。企業は WAF のログや分析を組織全体の他のセキュリティデータと組み合わせることで、組織のリスクを詳細に把握することができます。

オブザーバビリティを強化する WAF はもはや必要不可欠であり、これにより監視ログや攻撃情報を自動化・統合してセキュリティプロセスや意思決定に活かせるようになります。

セキュリティをコードの一部にする

開発環境でセキュリティをコードとして扱うことで、開発者はデプロイの際にランタイムセキュリティの想定をアプリケーションインフラストラクチャに伝えることができます。アプリケーションに渡されるリクエストの種類を制限することで、アプリケーションインフラストラクチャのエッジで入力の前処理が可能になります。また、WAF により複雑な脆弱性への対応も簡単になり、WAF に適用可能な仮想パッチを作成できるようになるほか、修正を簡素化して開発チームの負担を軽減することもできます。

WAF への変更を継続的にテストする

前述のとおり、このステップは開発チームにとっても非常に重要です。WAF を「記録およびブロック」モードに設定している場合、変更や更新が適切にテストされないと、アプリケーションの障害を引き起こすリスクがあります。

テストを行うグループは通常、WAF をアプリケーションのコンポーネントとしてテストプロセスに統合します。アプリケーションへの変更と同様、セキュリティツールからのあらゆる潜在的な影響を、本番環境での変更の実施前に確認できるようにすることは有益です。

WAF の決定に対する賛同を得る

たとえばオンライン販売など、Web アプリケーションが自社ビジネスそのものである企業にとっては、正当かもしれない顧客をブロックすると事業の損失につながるため、WAF の調整にはさらなる工夫が必要です。

そのため、WAF にかかわる幅広い戦略と、決定の指針となる具体的な基準について、企業幹部と緊密に連携することが大切です。

適切に使用すれば、最新の WAF はより高度なインテリジェンスやセキュリティの実施およびレスポンスの迅速化、セキュリティ設定に関する施策の早期実施など、DevOps グループに多大な有用性をもたらします。WAF のデプロイにおいて、セキュリティ面と開発面の両方を考慮することは、常に重要なベストプラクティスとなります。

Fastly のソリューションが役立つ理由

WAF プロバイダーを選択する際、グローバルな保護、強力な検出能力、先進的なインフラストラクチャに対応できる統合機能を備えたプロバイダーを選択することが重要です。

Fastly の Next-Gen WAF は、最初からこれらの機能を念頭に設計されています。世界最大のグローバル・エッジ・クラウド・プラットフォームの Fastly は、世界中のユーザーと数ミリ秒以内に通信できます。

この戦略的な配置により、Fastly は従来の WAF よりも迅速にWebサイトとアプリケーションを保護できます。エンドユーザーの近くでトラフィックを検査することで、脅威が侵入できるレベルを素早く制限し、攻撃がオリジンサーバーに到達する前にブロックできます。

Fastly の Next-Gen WAF の主なメリットとして以下が挙げられます。

  • 包括的な保護 : シンプルなルールを通じて、OWASP トップ10の Web アプリケーションの脆弱性やカスタム脅威を迅速に検出してブロックします。

  • 迅速な対応 : Fastly の Next-Gen WAF は、POP のグローバルネットワークを利用し、攻撃中でも超低レイテンシの検査を実施し、優れたユーザーエクスペリエンスを実現します。

  • 柔軟な設定 : 変更の反映に長い時間待たされることなく、Fastly のユーザーフレンドリーなコンソールを介してルールや応答ページなどをカスタマイズできます。

  • リアルタイム分析 : プロアクティブな問題の特定を可能にする Fastly のダッシュボードと API により、トラフィックとセキュリティイベントに関する貴重なインサイトが得られます。

  • シームレスな統合 : Fastly の Next-Gen WAF は、CDN およびエッジ・コンピューティング・サービスと透過的に連携し、セキュリティ、パフォーマンス、デリバリー機能が統合されたソリューションを提供します。

柔軟なデプロイオプションと最先端の検出機能を備えた Fastly Next-Gen WAF は、アプリケーション、API、マイクロサービスに対して高度な保護を提供します。

Fastly Next-Gen WAFについて学んでください

詳細情報

© Fastly 2025