“WAF”（Web Application Firewall）とは、文字通りWebサイト上のアプリケーションに特化したファイアウォールです。ユーザーからの入力を受け付けたり、リクエストに応じて動的なページを生成したりするタイプのWebサイトを不正な攻撃から守る役割を果たします。一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで解析できるのが特徴です。

Webサイト上のアプリケーション自体にセキュリティ上の問題があってもそれを無害化できる、という利便性の高さと、ISMSの実現やPCI DSSへの準拠といった企業の情報戦略面のニーズから、その導入意義が注目されています。

しかしながら、これまでのWAFソリューションにはいくつかの大きな問題点がありました。

【1】 導入費用の高さ

• 通常、百数十万円～数百万円の初期費用と、年間数十万円以上のサポート費が必要
• 規模が大きくないWebサイトには価格的な問題で導入が難しい

【2】 導入や撤去の敷居の高さ

• 導入/撤去の際に、Webサイトが提供するサービスに停止時間が生じる
• サーバやネットワークの複雑な設定変更作業が必要となり、エンジニアへの負担が大きい
• 導入コストが高く、導入/撤去作業にも時間がかかるため、短期間の利用を検討しづらい

【3】 ホワイトリスト型の防御機能

• ホワイトリスト型の防御機能を使うために高コストのチューニング作業が必要
• アプリケーションの改修が発生するたびにチューニング作業が発生
• そもそもホワイトリスト型の防御機能がうまく動作しない場合も

【4】 セキュリティエンジニア配置のコスト

• 上記の問題点をカバーし、安定したWAF運用を維持するためには、セキュリティエンジニアの確保が不可避

このような限界があることで、WAF自体のコンセプトは非常に優れたものでありながらも、実際にはそれほど普及に至らなかったというのが現状です。