すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:WAF とは

    ドキュメントセンター

    Web Application Firewall:WAF とは

    最終更新日:Oct 24, 2025

    Web Application Firewall (WAF) は、悪意のあるサービストラフィックを特定してブロックすることで Web サイトとアプリケーションを保護し、一般的な Web 攻撃から防御します。WAF はトラフィックをフィルタリングおよびスクラブし、正当で安全なリクエストのみをサーバーに転送します。このプロセスにより、悪意のあるリクエストによる Web サイトの運用の妨害を防ぎ、ビジネスの安定性とデータセキュリティを確保します。

    ユースケース

    WAF は、Web サーバーが Alibaba Cloud または他の環境にデプロイされているかどうかにかかわらず、すべてのユーザー向けに設計されています。金融サービス、e コマース、O2O、Internet+、ゲーム、政府、保険など、さまざまな業界で広く使用されています。Alibaba Cloud WAF は、Web サイトおよび Web アプリケーションの HTTP/HTTPS トラフィックを保護し、広範囲の Web 攻撃から防御して、ビジネスを安全かつ安定に保ちます。

    コアセキュリティ機能

    Web アプリケーション攻撃からの保護

    • 一般的な脅威からの保護: OWASP Top 10 で定義されている一般的な攻撃 (SQL インジェクション、クロスサイトスクリプティング (XSS)、Web シェルのアップロード、バックドア、コマンドインジェクション、不正な HTTP リクエスト、クロスサイトリクエストフォージェリ (CSRF)、コアファイルへの不正アクセス、パストラバーサルなど) から保護します。

    • Web サイトのクローキング: 攻撃者からオリジンサーバーの IP アドレスを隠し、攻撃者が WAF をバイパスしてオリジンサーバーを直接攻撃するのを防ぎます。

    • 仮想パッチとゼロデイ保護: 公式のセキュリティパッチが利用可能になる前に保護ルールを迅速に更新することで、ゼロデイ脆弱性を含むリスクの高い脆弱性に対して、タイムリーで効果的な仮想パッチを提供します。

    • 柔軟な検出モード: 新しいアプリケーションの場合、検出モードを有効にすると、保護ルールをトリガーする疑わしいアクティビティをブロックせずにアラートをログに記録できます。これにより、潜在的な誤検知を特定して分析できます。

    • ディープインスペクション技術:

      • データ形式の解析: ヘッダーフィールド、フォームデータ、マルチパート、JSON、XML など、一般的な HTTP プロトコルデータ形式を完全に解析します。

      • 一般的なエンコーディングタイプのデコード: URL、JavaScript Unicode、HEX、HTML エンティティ、Java シリアライゼーション、PHP シリアライゼーション、Base64、UTF-7、UTF-8、および混合ネストエンコーディングをサポートします。

      • データの前処理: 空白の正規化、コメントの削除、特殊文字の処理などのメカニズムを使用して、よりクリーンなデータを検出エンジンに提供し、誤検知を減らします。

    HTTP フラッド攻撃保護

    • 多次元的な攻撃の識別:

      • 個々のソース IP のアクセスレートを制御します。

      • リダイレクトチャレンジや人間/ボットチェックなどのメソッドを通じて訪問者の ID を検証します。

      • 応答コードの統計、URL リクエストの分布、異常な Referer および User-Agent ヘッダーなどの信号を組み合わせて、攻撃をインテリジェントに識別します。

    • ビッグデータ脅威インテリジェンス: Alibaba Cloud のビッグデータセキュリティ機能を活用して脅威インテリジェンスと信頼できるアクセスモデルを構築し、悪意のあるトラフィックを迅速に識別します。

    詳細なアクセスの制御

    • カスタム保護ポリシー: 使いやすいコンソールを提供し、IP アドレス、URL、Referer、User-Agent などの一般的な HTTP フィールドを使用して、強力で詳細なアクセスの制御ポリシーを構成します。

    • シナリオベースの保護: ホットリンクの防止や Web サイトのバックエンド保護などの保護シナリオをサポートします。

    • 階層化された包括的な保護: Web 攻撃保護や HTTP フラッド攻撃保護などの他のセキュリティモジュールと統合して、信頼できるトラフィックと悪意のあるトラフィックを簡単に区別できる多層防御システムを構築します。

    ボット管理

    • ボットのトラフィック分析レポート: ボットのトラフィックを悪意のあるもの、疑わしいもの、または良好なものに分類し、トラフィックの傾向と危険なクライアント情報をレポートで表示します。

    • 包括的なクロスプラットフォーム保護: Web ページ、H5、ネイティブアプリ (iOS、Android、HarmonyOS)、およびミニプログラム (WeChat、Alipay) 全体で完全なボット保護を提供します。

    • エンドツーエンドの完全なライフサイクル保護: リクエストのライフサイクル全体で多次元的なボット検出メソッドを使用し、100 を超えるブラウザプローブ機能、7,000 を超えるクライアントの指紋タイプ、100 万を超える悪意のあるボットの脅威インテリジェンス署名、および 6 つの高度なボット検出アルゴリズムをカバーします。

    API セキュリティ

    • すぐに使える保護: ワンクリックで検出を有効にします。パッシブなトラフィック分析に基づいて、API の完全なライフサイクル管理をサポートし、サービスを中断することなく機密データのフローを監視します。

    • リスクの発見: API の脆弱性を検出し、不正な機密データの漏洩や内部 API の公開などの問題を特定し、修正の提案を提供します。

    • 脅威の検出: クロスセッションの双方向トラフィック分析を通じて、データスクレイピングやブルートフォース攻撃などの API 乱用行為を特定します。また、応答アクションのために WAF との統合もサポートします。

    AI アプリケーション保護

    • プロンプトインジェクション検出: 生成 AI を標的とするインジェクション攻撃から防御します。脱獄、ロールプレイング誘導、システムプロンプト操作などの敵対的な動作を正確に特定し、AI システムを保護します。

    • コンテンツコンプライアンス検出: リクエストと応答の両方のコンテンツのコンプライアンスチェックをサポートし、すべてのやり取りがセキュリティおよび規制要件に準拠していることを保証します。

    • リアルタイムの保護と応答: ブロック、コンテンツの置き換え、取り消しなどの保護アクションを組み合わせて、異常な動作を即座に停止し、応答コンテンツを自動的に変更して、ビジネス運用を保護します。

    簡単な管理と信頼性の高いアーキテクチャ

    簡単なデプロイメントと O&M

    • 迅速なデプロイメント: ハードウェアやソフトウェアをインストールしたり、ルーティング構成を変更したりすることなく、5 分以内に WAF をデプロイしてアクティブ化します。

    • 攻撃イベント管理: セキュリティレポートとログを使用して、攻撃イベント、トラフィックパターン、攻撃規模を一元的に管理および分析します。

    信頼性と拡張性の高いアーキテクチャ

    • クラスター化されたデプロイメント: クラスタアーキテクチャを使用して単一障害点を排除し、単一のサーバー障害やメンテナンスイベントがサービス全体の可用性に影響を与えないようにします。

    • ロードバランシング: 複数の組み込みロードバランシング戦略を使用して、パフォーマンス専有型で可用性の高いトラフィック処理を保証します。

    • 自動スケーリング: 実際のトラフィック量に基づいてクラスター内のサーバー数を増減させ、弾力性のあるサービス容量を提供できます。

    実績のある専門知識とインテリジェントな防御

    • 10 年以上のネットワークセキュリティ経験

      • Alibaba Group 内での 10 年以上のサイバーセキュリティの実践に基づいて構築されており、Taobao、Tmall、Alipay などの高同時実行性および高セキュリティのシナリオをサポートできます。

      • 専門のセキュリティチームが OWASP Top 10 などの既知の脆弱性から防御し、新たに開示されたセキュリティ脆弱性に継続的に対応します。

    • ビッグデータとインテリジェンスによる推進

      • 毎日数億件の攻撃から防御します。世界をリードする IP 脅威インテリジェンスライブラリを活用し、複数の業界やシナリオをカバーする膨大な攻撃シグネチャのリポジトリを蓄積しており、主流の攻撃パターン、動作、ペイロードを深く認識できます。

      • ビッグデータ分析と機械学習を使用して攻撃検出モデルを継続的に反復し、脅威の識別をより正確かつ包括的にします。

    詳細については、「Web Application Firewall 製品ページ」をご参照ください。

    WAF の使用方法

    如何使用WAF

    詳細については、「WAF 3.0 の使用を開始する」をご参照ください。

    RASP と WAF の関係

    Runtime Application Self-Protection (RASP) は、アプリケーション内に統合されたセキュリティメカニズムです。アプリケーションの実行中にリアルタイムで攻撃を検出してブロックすることで、自己保護を提供します。詳細については、「アプリケーション保護への接続」をご参照ください。

    RASP と WAF は、さまざまなセキュリティシナリオに適した補完的なテクノロジーです。RASP は、ゼロデイエクスプロイトや暗号化されたトラフィック内の攻撃など、アプリケーションレイヤーの脅威に対する防御に効果的です。WAF は、ネットワークレイヤーのアクセスの制御、地域ブロック、HTTP フラッド攻撃保護、ボット攻撃の処理に優れています。包括的な保護のために、RASP と WAF の両方をデプロイして、アプリ内防御と境界防御を組み合わせた二重層のセキュリティシステムを構築することをお勧めします。

    コンプライアンス認証

    WAF は、ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、MLPS Level 3、SOC 1/2/3、C5、HK Financial、OSPAR、PCI DSS など、複数の国際規格および認証に準拠しています。