Webサイト(Webアプリケーション)への攻撃を検知し遮断するセキュリティ製品のこと。「Web Application Firewall(Webアプリケーションファイアウォール)」の略。Webサイトに送られてくるデータを逐一チェックし、攻撃だと判断するとそのデータを遮断する。

 攻撃かどうかの判断方法には、「ブラックリスト方式」と「ホワイトリスト方式」がある。ブラックリスト方式では、「SQLインジェクション」や「クロスサイトスクリプティング」などの攻撃のパターンをシグネチャ(ブラックリスト)として用意し、それに該当するデータを不正な通信として検知する。

 ホワイトリスト方式では、通常の通信をホワイトリストとして定義しておき、該当しない通信は不正だと判断する。ホワイトリスト方式の方がセキュリティ強度が高そうだが、「通常の通信」の定義が難しいため、運用に手間がかかる。このため現在では、ブラックリスト方式が主流になっている。

 WAFの提供形態としては、「ハードウエア(アプライアンス)型」「ソフトウエア型」「SaaS(ソフトウエア・アズ・ア・サービス)型」の3種類がある。従来は、WAFというとハードウエア型を指すことが多かったが、最近ではソフトウエア型やSaaS型の導入事例が増えている。特に、SaaS型は導入や運用が容易なため、引き合いが多いという。

 WAFの多くは、2013年から2014年にかけて猛威を振るった「リスト型攻撃(リスト型アカウントハッキング、パスワードリスト攻撃)」を検知する機能も備える。例えば、特定のIPアドレスから短時間に大量のアクセスがあった場合には、攻撃の可能性があるとして警告を出したり、通信を遮断したりする。「2段階認証」や「キャプチャ」といったセキュリティ機能を備えるWAFもある。