GMOサイバーセキュリティ byイエラエ株式会社

WAFとファイアウォールの違いは?それぞれの役割や重要性について解説

更新日:2025.08.26
WAF
WAFとファイアウォールの違いは?それぞれの役割や重要性について解説

インターネットに公開したWebシステムを守るには、「外からの侵入を防ぐ壁」と「中のアプリを細かく見張る仕組み」の両方が必要です。前者がファイアウォール、後者がWAF(Web Application Firewall)の役割です。それぞれ名前は似ていますが、見ている場所も止められる攻撃もまったく違います。
本記事では、ファイアウォールとWAFの基本や違いや、どちらをどう組み合わせればよいかといった実務の観点で解説します。

目次

  1. ファイアウォールの役割
    1. ファイアウォールで防御できる攻撃は?
    2. どうやって導入する?
  2. WAFの役割
    1. WAFで防御できる攻撃は?
    2. どうやって導入する?
    3. WAF運用に手が回らずお困りの方へ WAFエイド
  3. ファイアウォールとWAFの比較ポイント
    1. 防御対象が違う
    2. 検査方式が違う
    3. チューニングと運用負荷が違う
    4. ログと可視化が違う
  4. 両者を組み合わせ、継続的なルール更新と調整が必要

ファイアウォールの役割

ファイアウォール(Firewall)は、社内外を行き来する通信を「通す/止める」で制御する装置・機能です。
現実世界において郵便を配達する際に、封筒に住所や切手を貼るように、ネットワークでのメッセージのやり取りにおいても様々な決まりがあり、そのまとまりを『OSI参照モデル』と言います。7つのレイヤで決まりがありますが、ファイアウォールは主にレイヤ3(IP)とレイヤ4(TCP/UDP)を扱い、住所や玄関口にあたる「IPアドレス」「ポート番号」「通信の向き」を手がかりに判断します。
基本の仕組みは二つで、1つ目はパケットフィルタリングです。通信の条件(例:送信元IPアドレスや宛先ポート)に合致すれば通し、合致しなければブロックします。第二にステートフルインスペクションです。これは会話の状態(セッション)を記憶し、外からの不正な一方通行を遮断します。

近年はアプリ識別やURLカテゴリ制御、アンチウイルス連携などを搭載する次世代型ファイアウォールも普及していますが、原則は「ネットワーク層の交通整理役」です。ファイアウォールは、必要最小限の通信を許可することが基本思想です。

ファイアウォールで防御できる攻撃は?

ファイアウォールが得意なのは、ネットワークの入口段階で判別できる脅威です。
たとえばポートスキャン(開いている玄関口の探索)について、既知のスキャン元IPアドレスであれば遮断できます。
このように、通信を許可していない宛先やプロトコル(通信形式)を閉じることで、外部からの不正アクセスや内部からの情報持ち出しの経路を塞げます。IPアドレスの位置情報を基に特定地域からのアクセスを一括で拒否する(ジオブロック)ことも可能です。
つまりファイアウォールは「入り口管理」と「交通量の制御」に強い装置です。 監査目的で外向き通信の制御を厳格化しておくと、万一の端末侵害時にも横展開を抑えやすくなります。

どうやって導入する?

導入形態は大きく三つです。

  • オンプレ機器型:外部と内部ネットワークの境界に設置し、細かな許可・ブロックポリシーと高いスループットを確保できます。
  • UTM(統合脅威管理型):通信のやり取りだけでなく、ウイルス対策などの機能を束ね、支社や小規模拠点で運用を簡素化します。
  • クラウド型FW:クラウド上の仮想ネットワーク境界やインターネット出口で集中管理が可能です。

いずれも設計の勘所は「最小許可(デフォルト拒否)」「業務に必要な通信だけを開ける」「変更は申請・記録」。まずは“どのシステムがどこへ通信するか”を棚卸しし、不要な穴を閉じることが初手です。運用では定期棚卸しと変更管理を徹底し、例外は期限付きで付与します。

WAFの役割

Webアプリは、URLやフォーム、Cookieなどに載って届く“文字列”を処理します。攻撃者はそこに悪意のコードや命令を紛れ込ませ、アプリやデータベースを思いどおりに操作しようとします。つまり、許可された通信方式(プロトコル)の中に、攻撃を仕込みます。
このような攻撃を防御することがWAF(Web Application Firewall)の守備範囲です。WAFはレイヤ7(アプリ層)でHTTP/HTTPSのリクエストとレスポンスを精査し、リクエスト行やヘッダー、ボディ、Cookie、JSON/XMLの中身まで確認します。手紙で言うと、封筒の中身の文章まで読み、有害か有害でないかを判断します。検査手法は大きく三つです

  • シグネチャ型:
    既知の攻撃パターンに合致するかで判定します。
  • ポジティブ(ホワイトリスト)型:
    許可した形式・文字種・長さに当てはまらなければ遮断します。
  • 学習型/行動分析:
    通常の振る舞いから外れる異常を見つけます。

ファイアウォールが「封鎖すべき道かどうか」を見るのに対し、WAFは「届いた荷物の中身が安全か」を確かめます。

WAFで防御できる攻撃は?

WAFで防御できる攻撃の典型的な例はSQLインジェクション(DB操作文を混入させ、情報閲覧や改ざんを狙う)、XSS(クロスサイトスクリプティング:悪意のスクリプトを閲覧者のブラウザで実行させ、Cookie窃取やなりすましを誘発する)、CSRF(クロスサイトリクエストフォージェリ:正規ユーザーの権限で意図しない操作を実行させる)などです。

他にもサーバーの操作を行おうとするコマンドインジェクションや、パストラバーサルなど、新たな手口にもルールや異常検知で追随できます。
また、ログイン試行のレート制限やボット対策と組み合わせることで、ログインのための認証情報詐取を狙うリスト型攻撃の成功率も下げられます。重要なのは、アプリ仕様に沿って“許可すべき正しいリクエスト”を定義し、防御を段階的に厳格化することです。

どうやって導入する?

WAFの提供形態は多様ですが、代表的な導入形態を見ていきましょう。

  • アプライアンス/仮想アプライアンス:
    データセンターに機器を設置したり、仮想的なサーバーを構築したりといった例です。自社で細かく制御でき、レイテンシ影響を最小化しやすい一方、保守運用の負荷が高めです。
  • クラウドWAF:
    SaaSのような形で利用する形式です。スケールと最新ルールの適用が容易で、ボット対策やDDoS緩和と一体提供されることもあります。
  • CDN統合型:
    パブリッククラウド(AWSなど)のCDN(世界中に配置された動画やファイルの配信サーバー)に紐づく形で提供される形式です。世界各地でWAFを効かせ、遅延の少ない保護を両立します。

WAFの導入時は、正しい通信を誤ってブロックしてしまう誤検知を警戒する必要があります。したがって導入手順は、
①可視化(検知のみ)→②限定ブロック(特定ルール)→③本番ブロック(段階的拡大)
という“段階投入”で安全に着実に進めるのが鉄則です。
誤検知時の例外化手順、ルール更新の責任分担、脆弱性診断との連携を運用設計に落とし込みましょう。可能なら開発環境などで学習させたルールを本番へ昇格し、不具合が生じればすぐに戻す態勢を整えるなど、影響範囲を制御すると安全です。

関連記事:AWS WAFの誤検知はなぜ発生する?要因や解消方法を解説

WAF運用に手が回らずお困りの方へ WAFエイド

WAFエイド

・WAFの最適な設定ができているか分からない
・WAF運用に手間がかかっている
等のお悩みはありませんか?WAFエイドによる自動運用と専門家の知見で解決します。

無料資料ダウンロード

ファイアウォールとWAFの比較ポイント

防御対象が違う

ファイアウォールはネットワークの入口を守ります。許可された宛先・ポート・プロトコルだけを通し、不審な接続や大量トラフィックを制御します。
手紙のやり取りで言うと、不正な宛先や切手の不備などをブロックする形です。

WAFはWebアプリに対する通信の中身も検査します。正規の入口から入ってくるリクエストの中身を点検し、危険なリクエストや不正な操作を止めます。
手紙で言うと封筒の中身を確認し、有害な内容を検出して遮断する、と考えると分かりやすいでしょう。

攻撃の多様化により、侵入防止だけでは被害を防ぎ切れません。たとえばVPN越しの正規ユーザーやボット、サプライチェーン経由の攻撃は“正規の経路”を通ります。だからこそ、ファイアウォールで通行路を健全化しつつ、WAFでアプリの手続きの正しさを担保する、二層の守りが欠かせません。

検査方式が違う

ファイアウォールはヘッダーやセッション情報、SYN/ACKといった接続の握手、IPやポート、フラグ、トラフィックレートなど“通信の枠”を検査します。中身(ボディ)の字句までは解析しません。
一方WAFはHTTPメソッド、パス、クエリ、ヘッダー、Cookie、ボディのパラメータなど“通信の中身”を詳細に解析します。さらに暗号化通信を行うTLSなどの場合も製品によっては暗号化から復号した後の内容を検査でき、CDNやリバースプロキシと連携してヘッダー改ざんや不正な再送も抑止可能です。

チューニングと運用負荷が違う

ファイアウォールのポリシーは比較的安定し、変更頻度は低めです。新しい通信方式がリリースされることが少ないように、1度最小の通信を許可するとそれ以降は変更しないことも多いです。
一方、WAFはアプリの仕様変更や新機能追加、新たな攻撃手法の出現に応じて例外やルール調整が発生します。また、誤検知(正しいリクエストを遮断)や過検知(検知はするが遮断しない)との向き合い方が重要で、まずは検知モードでログを収集し、影響の少ない範囲からブロック化するのが定石です。

運用体制としては、週次でブロックしたログの確認、ルール分類(ボット/注入/ファイル等)、変更管理を徹底するほか、定期的に実施する脆弱性診断やペネトレーションテストからのフィードバック取り込みを行うと、セキュリティとしては十分です。

ログと可視化が違う

ファイアウォールの主役はフローログやトラフィック統計です。誰が・どこへ・どれくらい通信したか、どのポリシーで拒否されたかを把握できます。
異常トラフィックの早期検知や通信経路の棚卸しに適します。WAFはアプリリクエストの詳細ログが鍵で、どのURLに対してどの攻撃が行われ、どのルールでブロックしたかがわかります。可視化では“攻撃の種類×URL×ユーザー影響”でドリルダウンできると原因究明が早まります。保持期間とマスキング方針も決めておくと安心です。

両者を組み合わせ、継続的なルール更新と調整が必要

ファイアウォールとWAFは役割が異なるため、併用することで初めて多層防御が実現します。
ファイアウォールで不要な通信経路を閉じ、最小限の出入口を確保することが第一歩です。その上で、WAFで許可した通信の中身を精査し、アプリ層の攻撃を遮断します。さらに、定期的な脆弱性診断やペネトレーションテストを実施し、そこで得られた知見をルールに反映することで、防御精度を高められます。
「ファイアウォールで交通整理 → WAFで内容検査 → 診断結果で継続的に改善」というサイクルを回すことが、安全なシステム運用の具体的な実践方法です。

WAFの自動運用サービスWAFエイドの詳細はこちら

監修:GMOサイバーセキュリティ byイエラエ 編集部

企業の情報セキュリティ担当者や開発者向けに、サイバーセキュリティに関する情報を発信しています。

シェア
X FaceBook

関連記事

WebアプリにはWAFと脆弱性診断どちらも必要?役割の違いや重要性を解説
AWS WAFの誤検知はなぜ発生する?要因や解消方法を解説
WAFとは?セキュリティ対策の必要性や仕組みを解説
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード
脆弱性診断(セキュリティ診断)・ペネトレーションテスト
セキュリティインシデント対応支援
セキュリティ訓練/資格取得
イエラエアカデミー
脆弱性管理/セキュリティ対策ツール
サイバー攻撃防御・分析 SOC
セキュリティコンサルティング
アプリケーション開発
用語解説