こんにちは、東証プライム企業で情報システム部のセキュリティ担当をしている、城咲子です。CISSPと登録セキスペの資格を持ち、日々「いかにしてビジネスを止めずに、セキュリティを担保するか」を考えています。
現代のビジネスにおいて、WebサイトやWebアプリケーションは「会社の顔」であり、同時に「収益の源泉」です。しかし、それらはインターネットという公道に常に晒されており、サイバー攻撃者にとって最も狙いやすい標的でもあります。
「うちはファイアウォール(FW)を入れているから大丈夫」
もし、まだそう考えているとしたら、その認識は非常に危険かもしれません。
本記事は、WAF(Web Application Firewall)について、セキュリティ担当者の実務的な視点から徹底的に解説する記事です。
「WAFとは何か?」という基本から、FWやIPS/IDSとの決定的な違い、そしてWAF運用の本当の核心である「誤検知(フォールスポジティブ)との戦い」までを網羅します。
さらに、クラウドWAFの二大巨頭である「AWS WAF」と「Cloudflare WAF」について、他の解説サイトが決して深く書かない「料金体系の罠(AWSのWCU)」や「運用の実際」を、CISSP/情報処理安全確保支援士(登録セキスペ)である私の専門性に基づき中立的に比較分析します。
- 序章:なぜ今、WAF(Web Application Firewall)が急務なのか
- 第1章: WAFとは何か? — 防御対象と「仮想パッチ」という重要な役割
- 第2章: WAFは「門番」ではない — FW, IPS/IDSとの決定的違い
- 第3章: WAFの「検知ロジック」徹底解剖
- 第4章: WAFの導入形態 — クラウド型、ソフトウェア型、アプライアンス型
- ☁️ クラウドWAFへの「二重の重力」
- 第5章: WAF選定の実践的ポイントと中小企業(SME)の視点
- 第6章: WAF運用の核心:誤検知(フォールスポジティブ)との戦い
- 第7章: 【詳細分析】AWS WAF — 料金体系、マネージドルール、運用の「罠」
- 第8章: 【詳細分析】Cloudflare WAF — 料金プランと「統合型」という思想
- 第9章: 【補足】Azure WAFにおけるチューニングの共通課題
- 結論:自社に最適なWAF導入と運用のロードマップ
序章:なぜ今、WAF(Web Application Firewall)が急務なのか
WAF(Web Application Firewall)は、その名の通り「Webアプリケーション」を専門に守るための防御壁です。
従来のファイアウォール(FW)が、ネットワークレベル(OSI参照モデルのL3/L4)で「どのIPアドレス」から「どのポート番号」への通信を許可するか、といった「交通整理」を行うのに対し、WAFはアプリケーション層(L7)で、その通信の「中身」を詳細に検査します。
🚨 攻撃者にとって「Webアプリ」は格好の標的
今日のビジネス環境において、WAFの必要性はかつてないほど高まっています。ECサイト、インターネットバンキング、SaaSプラットフォームなど、顧客の個人情報やクレジットカード情報を扱うサービスは、攻撃者にとって「宝の山」です。
これらのアプリケーションは、インターネット経由で誰もがアクセスできるという性質上、本質的に脆弱性を抱えやすく、常に攻撃の脅威に晒されています。
特に、SQLインジェクションやクロスサイトスクリプティング(XSS)といった攻撃は、アプリケーションの設計ミスやプログラムの不備(脆弱性)を突き、データベースの情報を盗み出したり(情報漏洩)、サイト訪問者を騙してマルウェアに感染させたりします。
WAFは、これらの攻撃特有のパターン(シグネチャ)を通信の「中身」から検知し、アプリケーション本体に到達する前にブロックする、第一防衛ラインとして機能します。
第1章: WAFとは何か? — 防御対象と「仮想パッチ」という重要な役割
WAFの基本機能は、Webアプリケーションへの通信を監視・評価し、悪意のある攻撃と判断されたリクエストをリアルタイムで遮断することです。
WAFが特に焦点を当てるのは、セキュリティの世界的基準である「OWASP Top 10」で定義される、Webアプリケーションの重大な脅威です。
WAFが防御する代表的な攻撃
A03:2021-インジェクション (Injection)
- WAFが最も得意とする防御分野です。信頼できないデータを介して、意図しないコマンド(SQL文など)を実行させる攻撃を指します。
- SQLインジェクション (SQLi): 攻撃者が入力フォームに不正なSQL文(例:
' OR '1'='1' --)を挿入し、データベースを不正に操作(情報の窃取、改ざん、削除)します。WAFは、このような特徴的な攻撃パターンを検知してブロックします。 - クロスサイトスクリプティング (XSS): 攻撃者がWebページに悪意のあるスクリプト(例:
<script>alert('XSS')</script>)を埋め込み、訪問者のブラウザ上で実行させます。WAFは、<script>タグやonmouseoverといったイベントハンドラの挿入を試みるリクエストを検知します。
A01:2021-アクセス制御の不備 (Broken Access Control)
- ユーザーが本来許可されていない機能やデータ(例: 他のユーザーの個人情報ページ)にアクセスできてしまう脆弱性です。
- WAFは、URLのIDパラメータを不正に改変しようとする試み(例:
/user/123を/user/124に変更)や、管理者ページ(例:/admin)への不正アクセスパターンを検知することで、一部のアクセス制御攻撃を緩和します。
🛡️ WAFの真価:「仮想パッチ (Virtual Patching)」
WAFの非常に重要な役割の一つに「仮想パッチ(Virtual Patching)」があります。
Webアプリケーションに脆弱性が発見された場合、最も正しい対策(根本対策)は、開発者がプログラムコードを修正することです。
【ファクトに基づく考察】(城咲子の視点)
しかし、実務ではそう簡単ではありません。コード修正には「開発リソースの確保」「改修設計」「テスト」「リリース」というプロセスが必要で、数週間から数ヶ月かかることもあります。WAFは、その「修正が完了するまでの危険な空白期間」を埋める役割を果たします。脆弱性を突く攻撃パターンをネットワークの入口(WAF)でブロックすることで、アプリケーション自体を修正せずとも、即時的に攻撃から保護します。
この「時間稼ぎ」こそが、WAFが「保険」と呼ばれる所以であり、実務において不可欠とされる最大の理由です。
第2章: WAFは「門番」ではない — FW, IPS/IDSとの決定的違い
「ファイアウォール(FW)を導入しているからWAFは不要」
これは、セキュリティ担当者が経営層や開発部門から受ける、最も一般的な誤解の一つです。
WAF、ファイアウォール(FW)、IPS/IDS(不正侵入防止/検知システム)は、それぞれ守る場所が全く違う「別の警備員」であり、互いの弱点を補完し合う「多層防御」の構成要素です。
これらの最大の違いは、OSI参照モデルにおける「防御階層(レイヤー)」にあります。
ファイアウォール (FW)
- 防御階層: L3(ネットワーク層)/ L4(トランスポート層)
- 役割: 「門番」。IPアドレスやポート番号に基づき、許可された通信(例:Web用のTCP 80番/443番ポート)だけを通します。
- 限界: L7(アプリケーション層)の通信の「中身」は見ません。許可されたHTTPS(443番)通信に巧妙に隠されたSQLインジェクション攻撃は、そのまま通過させてしまいます。
IPS/IDS (不正侵入防止/検知システム)
- 防御階層: L3〜L7(広範囲)
- 役割: 「巡回する警備員」。サーバーやOS全体への不正侵入、マルウェア感染通信など、既知の攻撃シグネチャを監視します。
- 限界: Webアプリケーションのロジックを突く攻撃(例: アプリ固有のパラメータ改ざん)の検知は専門外です。
WAF (Web Application Firewall)
- 防御階層: L7(アプリケーション層)に特化
- 役割: 「手荷物検査官」。HTTP/HTTPS通信を詳細に解析し、リクエストの本文、ヘッダー、パラメータといった「中身」を検査します。
- 専門: SQLインジェクションやXSSなど、Webアプリケーションを標的とする攻撃を専門的に防御します。
以下の表で、その違いを明確に整理します。
表1: WAF vs. ファイアウォール vs. IPS/IDS 役割・防御階層比較
| 製品 | 防御階層(OSI) | 主な役割 | 防御する攻撃の例 | 例えるなら |
|---|---|---|---|---|
| WAF | L7 (アプリケーション層) | Webアプリの保護 | SQLインジェクション、XSS | 手荷物検査官 |
| FW | L3 (ネットワーク層) L4 (トランスポート層) |
ネットワークのアクセス制御 | 許可されていないポートへのアクセス | 門番 |
| IPS/IDS | L3〜L7 (広範囲) | サーバー・ネットワークへの 不正侵入対策 |
マルウェア感染通信、 OSの脆弱性を突く攻撃 |
巡回する警備員 |
【ファクトに基づく考察】(城咲子の視点)
真に安全な環境を構築するためには、これらのセキュリティ製品を組み合わせた「多層防御」が不可欠です。
- 「門番(FW)」が不審者をシャットアウトし、
- 「手荷物検査官(WAF)」が許可された訪問者(通信)の持ち物(中身)を検査し、
- 「巡回警備員(IPS)」が万が一侵入した脅威が内部で活動しないか監視する。
このように、役割の違う警備員を複数配置することで、初めて組織の資産は守られます。
第3章: WAFの「検知ロジック」徹底解剖
WAFがどのようにして攻撃を検知しているのか、その「検知ロジック」にはいくつかの種類があり、それぞれにメリットと実務上の課題が存在します。
1. シグネチャベース(従来型)
シグネチャとは、既知の攻撃パターンを登録したデータベース(辞書)のことです。WAFは、入ってくる通信をこのシグネチャと照合し、一致した場合に攻撃と判断します。
ブラックリスト型
- 「拒否する攻撃パターン」(例:典型的なSQLインジェクションの構文)をシグネチャとして登録する方式です。
- 導入が比較的容易ですが、シグネチャに登録されていない「未知の攻撃」や、パターンを少し変えた「亜種の攻撃」には対応できない弱点があります。
ホワイトリスト型
- 「許可する通信パターン」(例:「このページの、このフォームは、英数字のみを許可」)をシグネチャとして定義し、それ以外をすべて拒否する方式です。
- 非常に強固なセキュリティを実現できますが、許可する通信の定義が非常に困難です。Webアプリケーションが更新される度にホワイトリストも見直す必要があり、運用負荷が極めて高くなります。
2. スコアリング(進化型)
シグネチャの弱点(未知の攻撃)を補うために開発された検知方法です。攻撃に関連する様々な要素(例:「'」(シングルクォート)の使用」「特定の関数の呼び出し」など)を個別にスコア化(点数化)しておきます。
リクエスト全体を分析し、各要素のスコアを合計した結果が、ある一定の閾値を超えた場合に「攻撃の可能性が高い」と判断して遮断します。これにより、単一のシグネチャには一致しなくても、複数の疑わしい要素を組み合わせた「未知の攻撃」や「亜種の攻撃」にも柔軟に対応が可能になります。
3. AI(人工知能)の活用(最先端)
最新のWAFでは、AI(主に機械学習)を活用した検知が主流となりつつあります。AIは、まず「正常な通信」のパターンを大量に学習します。その上で、学習した正常パターンから逸脱する「異常な通信」を攻撃として検知します(異常検知)。
📈 検知ロジックの進化と「運用のトレードオフ」
検知ロジックの進化は、単純な精度の向上だけを意味しません。それは、「未知の脅威への対応力」と「運用の透明性(チューニングのしやすさ)」との間のトレードオフの歴史でもあります。
【ファクトに基づく考察】(城咲子の視点)
ここが実務上の非常に重要なポイントです。
シグネチャベース:
- ロジックが「シグネチャID: 942100 に一致」と単純明快です。
- そのため、誤検知(後述)が発生しても「このURLではシグネチャID: 942100を無効化する」という、原因究明とチューニングが容易です。
- しかし、未知の攻撃には弱いです。
スコアリング:
- 未知の攻撃に対応できますが、運用は複雑化します。「なぜこのリクエストは合計スコアが15点になったのか?」を運用者が理解し、適切な閾値を設定する必要があります。
AIベース:
- 未知の攻撃への対応力が最も高いとされます。
- しかし、AIが「なぜ」その通信を攻撃と判断したのか、そのロジックが「ブラックボックス化」しやすいという重大な課題を抱えています。
誤検知が発生した際、「AIが異常と判断した」以上の理由がわからず、チューニングが極めて困難になる可能性があります。
したがって、WAFを選定する際には、単に「AI搭載」という言葉に注目するのではなく、そのAIの判断ロジックがどの程度可視化され、運用者がチューニング可能な設計になっているかを評価することが極めて重要です。
第4章: WAFの導入形態 — クラウド型、ソフトウェア型、アプライアンス型
WAFは、その提供形態によって大きく3種類に分類されます。
アプライアンス型
- 専用のハードウェア機器を自社のネットワーク(データセンターなど)に設置する形態です。
- 高度なパフォーマンスとセキュリティを提供できますが、ハードウェアの購入・保守コストが高額になりがちです。
ソフトウェア型
- 既存のWebサーバーにWAFのソフトウェアをインストールする形態です。「ホスト型」とも呼ばれます。
- 低コストで導入できますが、サーバーのリソース(CPU/メモリ)を消費する点や、導入・運用に専門知識が求められる点が課題です。
クラウド型 (SaaS型)
- WAFの機能をサービス(SaaS)として利用する形態です。DNSの設定を変更するなどして、WebサイトへのトラフィックをクラウドWAF経由に誘導し、そこで検査を行います。
- 初期コストが低く、迅速な導入が可能で、料金もサブスクリプションモデル(月額課金)が一般的です。
- 最大のメリットは、シグネチャの更新やシステムのメンテナンスといった作業をすべてプロバイダー側が行うため、利用者の運用負荷が大幅に軽減される点です。
表2: WAF導入形態 徹底比較
| 導入形態 | 特徴 | コスト(初期/月額) | メリット | デメリット・運用負荷 |
|---|---|---|---|---|
| クラウド型 | サービスとして利用 | 低 / 低 | 導入が迅速、メンテ不要で運用負荷が低い | カスタマイズ性が制限される場合がある |
| ソフトウェア型 | 既存サーバーにインストール | 中 / 低 | ネットワーク構成変更不要、柔軟性が高い | サーバーリソースを消費、専門知識が必要 |
| アプライアンス型 | 専用ハードウェアを設置 | 高 / 中 | 高度なパフォーマンス、独立性が高い | 初期コスト高額、自社での保守運用が必要 |
☁️ クラウドWAFへの「二重の重力」
現在、導入形態の主流は、AWS WAFやCloudflareに代表される「クラウド型」へと急速に移行しています。これには、単なるコストメリット以上の、二重の「重力」が働いていると私は分析しています。
【ファクトに基づく考察】(城咲子の視点)
第一の重力:運用負荷の低減(属人化の排除) セキュリティ運用、特にシグネチャの更新やチューニングは「属人化」しやすい業務の典型です。私の信条は「属人性の徹底排除、チームとして行動すべし」ですが、メンテナンスフリーで利用できるクラウド型は、特定の担当者に依存しない「チームでの運用」を可能にし、運用負荷を劇的に下げます。
第二の重力:インフラのクラウドネイティブ化 多くの企業が、Webインフラ自体をAWSなどのパブリッククラウドへ移行させています。「WAF AWS」という検索需要の高さは、このトレンドの象徴です。インフラがAWS上にあるならば、その保護もAWSネイティブのWAF(AWS WAF)で完結させるのが、技術的な親和性や導入の観点から最も合理的です。
この二重の引力(運用負荷の低減とインフラのネイティブ性)が、クラウドWAFの現在の圧倒的な優位性を説明しています。
第5章: WAF選定の実践的ポイントと中小企業(SME)の視点
WAFの導入を検討する際、どの製品を選ぶべきか、以下の実践的な基準を確認することが重要です。
選定時に確認すべき主要基準
- 導入形態:
- 自社のインフラ(クラウドか、オンプレミスか)と、運用リソース(専任担当者の有無)を考慮し、最適な形態を選びます。
- 必要なセキュリティ機能:
- 自社が最も防ぎたい攻撃(SQLi, XSS, DDoSなど)に対応しているか。シグネチャの自動更新機能は必須です。
- Webサイトへの影響(レイテンシー):
- WAFはすべての通信を検査するため、その処理がWebサイトの応答速度(レイテンシー)に影響を与える可能性があります。
- 検知方式と運用負荷:
- ブラックリスト型か、ホワイトリスト型か、AI/スコアリング型か。ホワイトリスト型やAI型は強力ですが、運用負荷(チューニングの難易度)が高いことを理解し、自社の運用体制と見合っているかを評価します。
- サポート体制:
- 誤検知や障害が発生した際、迅速なサポート(特に日本語での技術サポート)が受けられるかは、安定運用のために非常に重要です。
🏢 中小企業(SME)における選定の視点
特にリソースが限られる中小企業(SME)にとっては、選定の優先順位が異なります。
【ファクトに基づく考察】(城咲子の視点)
SMEにとって最重要の選定基準は、間違いなく「運用負荷の軽減」です。専任のセキュリティ担当者を配置できないケースが多いため、プロバイダー側でシグネチャ更新やメンテナンスが行われる「クラウド型」や、手厚い日本語の運用サポート(マネージドサービス)が付属しているかが鍵となります。
また、シェアが高い人気の製品(例: AWS WAF)が、必ずしも自社のアプリケーションに合うとは限りません。多くのWAFが提供する無料トライアルを活用し、導入前に必ず自社の実際の環境でテスト(特に応答速度への影響と、誤検知の発生頻度)を行うべきです。
第6章: WAF運用の核心:誤検知(フォールスポジティブ)との戦い
WAFを導入(インストール)することは「ゴール」ではなく、運用の「スタートライン」に過ぎません。
WAFの導入・運用における最大の壁、それが「誤検知(フォールスポジティブ)」です。
誤検知(フォールスポジティブ)とは? WAFが「正常な通信」を「攻撃」と誤って判断し、ブロックしてしまう現象です。
例えば、Webアプリケーションの管理画面(CMS)が、記事の更新情報(HTMLタグを含む)をPOSTした際、WAFがその<script>タグをXSS攻撃と誤認してブロックするケースなどです。
この誤検知を放置すると、一般ユーザーがサービスを利用できなくなったり、管理者がサイトを更新できなくなったりと、深刻なビジネス機会の損失に直結します。
継続的な「チューニング」という作業
この誤検知を解消するために、「チューニング」と呼ばれる継続的な作業が不可欠です。
- 監視 (Monitoring):
- WAFがブロックした通信のログを分析し、それが本当に攻撃だったのか、それとも誤検知だったのかを特定します。
- 緩和 (Mitigation):
- 誤検知であると判断した場合、その通信を「例外」として許可するようにWAFを設定変更(チューニング)します。
セキュリティと利便性の継続的バランス調整
WAFのチューニングは、本質的に「セキュリティ強度」と「ユーザビリティ(利便性)」の継続的なバランシング作業です。
【ファクトに基づく考察】(城咲子の視点)
WAF導入直後は、多くのルールが有効になっており、セキュリティ強度は最大です。しかし、この状態では多くの誤検知が発生し、ユーザビリティが著しく低下している可能性があります。運用者は、ユーザビリティを回復させるために、ログに基づき、チューニング(除外設定)を行います。
しかし、この「除外設定」が広すぎると(例:「
/admin以下の通信は、一切WAFで検査しない」)、それがそのまま攻撃者の通り道となる新たなセキュリティホール(脆弱性)になってしまいます。優れたWAF運用とは、このトレードオフを深く理解し、ログという客観的な証拠に基づいて、「セキュリティ低下を最小限に抑えつつ、ユーザビリティを回復する」ための、最小限の除外設定を見つけ出す技術的なプロセスです。
これこそが、WAF運用の最も困難かつ重要な核心であり、セキュリティ担当者(私)の腕の見せ所でもあります。
【関連記事】中小企業のための「現実的な」WAF運用
第6章で解説した通り、WAF運用、特に「誤検知チューニング」は、専門スキルと継続的な工数を必要とします。
「専任担当者がおらず、そんなチューニング運用は現実的に不可能だ」
そうお考えの中小企業担当者様へ。Cloudflare認定パートナー(DOMO)が提供する「初期費用10万円・月額1万円〜」の完全固定費プランなら、この面倒なWAFチューニングごとプロに任せるという選択肢があります。
第7章: 【詳細分析】AWS WAF — 料金体系、マネージドルール、運用の「罠」
「WAF AWS」と検索する需要は非常に多く、AWSインフラにおけるWAFの重要性を示しています。AWS WAFは、AWSサービスとの高い親和性が最大のメリットですが、同時にその複雑な料金体系が運用上の最大の課題(罠)となります。
AWS WAFの料金体系:4層の従量課金
AWS WAFの料金体系は、一見シンプルに見えますが、実際には複数の要素が組み合わさった複雑な「従量課金制」を採用しています。
- Web ACL(ウェブアクセスコントロールリスト)料金:
- WAFルールのコンテナごとに発生する基本料金。
- $5 / Web ACL / 月
- ルール料金:
- Web ACL内に作成するカスタムルールごとに発生する基本料金。
- $1 / ルール / 月
- ウェブリクエスト料金(基本):
- WAFを通過するリクエスト数に応じた従量課金。
- $0.60 / 100万リクエスト
- マネージドルールグループの追加料金:
- サードパーティ(F5, Fortinetなど)が提供する有料ルールセットを利用する場合、上記1〜3に加えて、追加のサブスクリプション料金(例: $10/月)や、追加のリクエスト料金(例: $1.00/100万リクエスト)が発生します。
(引用元: 1. AWS WAF の料金|アマゾン ウェブ サービス)
💸 AWS WAF運用の核心:「WCU (Web ACL Capacity Unit)」の罠
AWS WAFのコストと運用を複雑にする最大の要因が「WCU (Web ACL Capacity Unit)」という概念です。
- WCU とは?
- AWS WAFのリソース使用量を示す単位です。各ルール(自作ルール、マネージドルール)には、その処理の複雑さに応じてWCUが設定されています。
- WCUの上限と「隠れコスト」
- 1つのWeb ACLには 5,000 WCU というリソース上限があります。
- さらに、1つのWeb ACLで 1,500 WCU を超過すると、追加の料金が発生します。
このWCUが、「隠れたコスト」として機能します。 AWSは、「追加料金なし」で利用できる便利なAWSマネージドルール(AMR)を多数提供しています。
Core Rule Set (CRS): OWASP Top 10など広範な脆弱性をカバーSQL Database: SQLインジェクションに特化Linux operating system: Linuxの脆弱性に対応WordPress application: WordPressの脆弱性に対応
などです。
【ファクトに基づく考察】(城咲子の視点)
ここが最大の罠です。運用者が、「無料(追加料金なし)だから」と、これらのAMRを安易に追加したとします。
- Core Rule Set (CRS): 700 WCU を消費
- SQL Database: 200 WCU を消費
- Linux operating system: 200 WCU を消費
- WordPress application: 100 WCU を消費
- Admin protection: 100 WCU を消費
この時点で、合計 1,300 WCU となり、追加料金が発生する 1,500 WCU の上限に迫っています。
つまり、AWS WAFは「基本料金+リクエスト料金+有料ルール料金+WCU超過料金」という4層のコスト構造になっており、運用者は常にWCUの消費量を監視・最適化する必要があるのです。
この複雑なリソース管理こそが、AWS WAFの最大の運用課題であり、専門家(私)から見て、安易な導入を推奨できない理由の一つです。
AWS WAFにおける誤検知のチューニング
この複雑なシステムで誤検知が発生した場合、どのようにチューニング(緩和)を行うのでしょうか。
Count(カウント)モードでの導入(ベストプラクティス)
- 新しいルールを導入する際、いきなり
Block(遮断)モードで適用してはいけません。 - まず
Count(カウント)モードで適用します。Count モードでは、ルールに一致してもブロックせず、ログを記録し「ラベル」を付与するだけです。 - これにより、本番トラフィックに影響を与えずに、どれだけの誤検知が発生するかを安全に分析できます。
- 新しいルールを導入する際、いきなり
具体的な緩和策(ラベルマッチルールの推奨)
- 最も柔軟な方法は「ラベルマッチルール」です。
- まず、マネージドルールを
Countモードで運用し、リクエストにラベル(例:awswaf:managed:core-rule-set:SQLi)を付与させます。 - その後、自作のカスタムルールで「『SQLi ラベル』が付いていて、かつ、『
/admin/updateというURIパスへのリクエスト』ではない 場合に Block する」といった、より詳細な論理ルール(除外設定)を作成します。 - これにより、マネージドルール全体を無効化するよりも遥かに安全に(最小限の除外で)誤検知を回避できます。
第8章: 【詳細分析】Cloudflare WAF — 料金プランと「統合型」という思想
AWS WAFの強力な競合となるのが、Cloudflare WAFです。この2つを比較することで、クラウドWAFの市場と特性がより明確になります。
Cloudflareのアーキテクチャ:「All-in-One」
Cloudflare WAFは、そのアーキテクチャがAWS WAFと根本的に異なります。Cloudflareは、CDNやDDoS対策を主軸とするグローバルエッジネットワークを保有しており、WAFはその統合サービス群の一つとして提供されます。
導入は、自社のドメインのDNS設定(ネームサーバー)をCloudflareに向けることで、すべてのトラフィックがCloudflareのネットワークを経由するように変更します。
料金プランの比較:ティア(階層)型
AWSの複雑な従量課金とは対照的に、Cloudflareは非常にシンプルで予測可能な「ティア(階層)型」の料金プランを採用しています。
Free ($0 / 月)
- 機能: CDN、SSL、基本的なDDoS対策。
- 重要: このプランに WAF機能は含まれていません。これは一般的に最も誤解されがちな点です。
Pro ($20 / 月 または 月額 $25)
- 機能: Freeプランの全機能に加え、WAF (Web Application Firewall)、画像最適化などが追加されます。
Business ($200 / 月 または 月額 $250)
- 機能: Proプランの全機能に加え、カスタムSSL証明書、優先サポート、より詳細な分析ツールなどが提供されます。
(引用元: 2. アプリケーションサービスのプラン|料金設定 - Cloudflare)
「All-in-One」 vs 「À la carte」:根本的な設計思想の違い
AWS WAFとCloudflare WAFの比較は、単なる機能の優劣比較ではなく、「インフラ設計思想」の比較です。
【ファクトに基づく考察】(城咲子の視点)
AWS WAF (À la carte / 部品選択型) AWS WAFは、AWSという巨大なインフラ基盤の「部品」の一つです。ALBにだけ適用し、CDN (CloudFront) は使わない、といった柔軟な構成が可能です。 この柔軟性(フレキシビリティ)が最大のメリットである一方、その代償として、WCUや複雑な料金体系を運用者が管理するという高い複雑性(コンプレキシティ)を要求されます。
Cloudflare WAF (All-in-One / 統合プラットフォーム型) Cloudflareは、月額$20 (Proプラン) で「CDN + DDoS対策 + WAF」がすべて手に入る「統合プラットフォーム」です。 非常にシンプルで、予測可能であり、管理が容易です。その代わり、柔軟性は失われます(WAFだけを利用し、CDNは他社を使う、といった構成は困難です)。
したがって、「どちらのWAFが良いか」という問いの答えは、技術的な優劣ではなく、企業の戦略的な問いによって決まります。
- 「既存のAWSアーキテクチャに、WAFというセキュリティ部品を柔軟に組み込みたい」 → AWS WAF
- 「インフラの場所を問わず、CDNやDDoS対策も含めた統合セキュリティをシンプルに導入・運用したい」 → >>Cloudflare【国内認定パートナ無料相談で聞いてみる】
【関連記事】AWS WAF vs Cloudflare 導入・コストの最終結論
Cloudflare Proプラン(月額$20)は非常に安価ですが、サポートは英語のコミュニティフォーラムが基本となり、導入支援もありません。
「AWS WAFの従量課金リスク(WCU)も嫌だが、Cloudflareのサポート体制も不安だ」
このトレードオフに悩む中小企業の担当者様へ。 Cloudflare認定パートナー(DOMO)が提供する「初期10万+月額1万〜」の固定費プランは、Cloudflareのシンプルさと、AWS WAFが抱えるコストリスクの両方を解決する「第三の選択肢」となります。
また、CloudflareはWAFだけでなく、「脱VPN(ゼロトラスト)」も月額0円から始めることができます。
第9章: 【補足】Azure WAFにおけるチューニングの共通課題
WAFの「チューニング」という運用課題は、AWS WAFに限った話ではなく、すべてのWAF製品に共通するものです。中立性を担保するため、Microsoft Azure WAFのアプローチにも補足します。
Azure WAF(Application Gateway WAF)においても、誤検知(フォールスポジティブ)への対応は運用上の主要なタスクです。その手法はAWS WAFと非常に似ています。
- 除外 (Exclusions): 最も柔軟で推奨される方法。特定のHeader、Cookie、Request Bodyの一部を、特定のルールの評価から除外します。
- カスタムルール (Custom Rules): 管理ルールよりも高い優先度でカスタムルールを作成し、信頼できるトラフィック(特定のIPやパス)を Bypass(WAF評価をスキップ)させます。
- 特定のルールの無効化 (Disable Rule): 最終手段。
ここでもプロセスは同じです。まず AzureDiagnostics ログを分析して誤検知の原因(ruleId や details_data)を特定し、その後、可能な限り影響範囲の狭い「除外」設定を適用することがベストプラクティスとなります。
結論:自社に最適なWAF導入と運用のロードマップ
WAFの導入は、Webアプリケーションセキュリティの「ゴール」ではなく、継続的な運用の「スタート」です。本記事で詳述した通り、WAFは導入して終わりではありません。その後の運用、特に避けられない「誤検知」(第6章)と向き合い、チューニングを続けるプロセスこそが、WAFの真の価値を決定づけます。
本記事の分析に基づき、セキュリティ担当者(城咲子)として、主要なクラウドWAFの選定に関する最終的な提言を行います。
📌 AWS WAF を選ぶべき企業
- インフラが既にAWSで完結しており、Application Load Balancer (ALB) や CloudFront とのネイティブな連携を最優先とする企業。
- WCU(Web ACL Capacity Unit)という複雑なリソース制限や、多層的な従量課金体系を正確に理解し、管理・最適化できる専任のクラウドエンジニアが社内に存在する企業。
- 「セキュリティ部品」として、インフラの他のコンポーネントと柔軟に組み合わせることを望む企業。
📌 Cloudflare WAF を選ぶべき企業
- インフラの場所(AWS, GCP, オンプレミス)を問わず、CDN、DDoS対策、WAFを「統合セキュリティプラットフォーム」として導入したい企業。
- 複雑な従量課金よりも、シンプルで予測可能な月額料金を好む企業。
- 専任のセキュリティ担当者を置くことが難しく、管理の容易さ(運用負荷の低減)を最優先する企業(特に中小企業(SME))。
📌 Cloudflare WAF を選ぶべき企業
1. インフラの場所(AWS, GCP, オンプレミス)を問わず、CDN、DDoS対策、WAFを「統合セキュリティプラットフォーム」として導入したい企業。
2. 複雑な従量課金よりも、シンプルで予測可能な月額料金を好む企業。
3. 専任のセキュリティ担当者を置くことが難しく、管理の容易さ(運用負荷の低減)を最優先する企業(特に中小企業(SME))。【Cloudflare導入の現実的な選択肢】
CloudflareのPro/Bizプランは、AWS WAFの従量課金リスクを回避する優れた選択肢です。 しかし、公式プランでは日本語サポートや導入・チューニング支援が不足しがちです。
そこで、Cloudflare認定パートナー(DOMO)が提供する「初期費用10万円・月額1万円〜」の完全固定費プランを推奨します。
このプランは、Cloudflareの強力な機能を、専門家による日本語の導入・チューニング支援付きで利用できるため、リソースが限られる中小企業にとって最も現実的かつ経済合理性の高い選択肢となります。
詳細は、以下の「3社比較記事」および「誤検知チューニング記事」で徹底解説しています。
最終的に、自社に最適なWAFの選定は、自社の技術リソース、予算、そして何よりも「導入後のチューニング運用にどれだけのリソースを割けるか」を冷静に評価することから始まります。
私の信条の一つに「自分が動くのではなくルールを変えて人と組織を動かす」というものがあります。WAFはまさに「ルール」そのものです。しかし、そのルール(WAF)を使いこなすための「組織(=運用リソース)」がなければ、宝の持ち腐れどころか、ビジネスを阻害する「壁」になってしまいます。
本記事が、そのための技術的な羅針盤となれば幸いです。
