WAF・ファイアウォール・IDS/IPSは、いずれもサイバー攻撃を防ぐセキュリティ製品ですが、守備範囲が異なります。それぞれが対応できない攻撃を補い合う関係にあるため、多層的に組み合わせて導入することが重要です。
- WAF(Web Application Firewall)
HTTP/HTTPS通信の中身を解析し、Webアプリケーション層を狙ったSQLインジェクションやクロスサイトスクリプティングなどの攻撃を検知・遮断します。 - ファイアウォール
IPアドレスやポート番号など通信の送信元・送信先の情報をもとにアクセスを制限し、ネットワーク層への不正な侵入を防ぎます。ただし通信の中身は確認しないため、正常な通信に偽装した攻撃には対応できません。 - IDS/IPS(不正侵入検知・防止システム)
攻撃パターンのルールをもとに通信内容をチェックし、OSやミドルウェアを狙ったDDoS攻撃やバッファオーバーフローなどを検知・遮断します。ただしWebアプリケーション固有の複雑な攻撃には対応しきれません。
3製品はネットワーク層・OS/ミドルウェア層・アプリケーション層とそれぞれ異なる場所を防御するため、単独導入ではカバーできない攻撃が残ります。
詳しい違いについては「WAFとは|Webアプリケーションを狙う攻撃を防御する壁」をご覧ください。
