「ファイアウォールとWAFってどちらも攻撃を防ぐんじゃないの?」
応用情報技術者試験でも情報セキュリティ分野で頻出ですが、
- 何を守るの?
- 防げる攻撃が違う?
- SQLインジェクションは?
- どちらがWebサイト向け?
で混乱する人がかなり多いテーマです。
この記事では、
- ファイアウォールとは?
- WAFとは?
- 違い
- 防げる攻撃
- 試験での頻出ポイント
を分かりやすく解説します!
まず結論
ファイアウォール
「ネットワーク通信を制御する仕組み」
WAF
「Webアプリケーションへの攻撃を防ぐ仕組み」
超簡単にいうと
| 製品 | 守る対象 |
|---|---|
| ファイアウォール | ネットワーク |
| WAF | Webアプリ |
ファイアウォールとは?
超頻出!
役割
通信の許可・拒否
イメージ
インターネット
↓
ファイアウォール
↓
社内ネットワーク
判断基準
- IPアドレス
- ポート番号
- プロトコル
例
80番ポート
↓
許可
不明なポート
↓
拒否
WAFとは?
超頻出!
WAF
Web Application Firewall
役割
Webアプリへの攻撃を防ぐ。
イメージ
利用者
↓
WAF
↓
Webサーバ
WAFが見るもの
重要!
HTTP/HTTPS通信の中身
例
URL
入力フォーム
Cookie
パラメータ
ファイアウォールとWAFの違い
超頻出!
| 比較 | ファイアウォール | WAF |
|---|---|---|
| 保護対象 | ネットワーク | Webアプリ |
| 確認内容 | IP・ポート | HTTP内容 |
| 配置場所 | ネットワーク境界 | Webサーバ前 |
| 主な目的 | 通信制御 | Web攻撃防御 |
SQLインジェクション
超重要!
攻撃例
‘ OR ‘1’=’1
ファイアウォール
❌防ぎにくい
なぜ?
通信自体は
80番
443番
の正常通信だから。
WAF
⭕防げる
通信内容を確認し、
不正SQL
を検出する。
防げる攻撃
超頻出!
ファイアウォール
- 不正通信
- 不要ポートアクセス
WAF
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- OSコマンドインジェクション
- パストラバーサル
イメージで理解
ファイアウォール
建物の入口警備員
WAF
持ち物検査員
なぜ両方必要?
重要!
ファイアウォールだけ
↓
Web攻撃を見抜けない
WAFだけ
↓
不要通信を制御できない
そのため
ファイアウォール
↓
WAF
↓
Webサーバ
で利用されることが多い。
応用情報で超頻出
かなり狙われる👇
- WAF
- SQLインジェクション
- XSS
- HTTP解析
- ファイアウォールとの違い
よくあるひっかけ
「SQLインジェクションはファイアウォールで防げる」
→ ❌基本的に違う!
SQLインジェクション対策は
WAF
が代表的。
1分で復習!
ファイアウォール
通信制御
WAF
Web攻撃防御
ファイアウォール
IP・ポート確認
WAF
HTTP内容確認
超重要
SQLインジェクション対策=WAF
練習問題
問題
SQLインジェクション攻撃への対策として最も適切なものはどれか。
ア
WAF
イ
NAT
ウ
DHCP
エ
ルータ
解答
正解:ア
解説
WAFはHTTP通信の内容を解析し、SQLインジェクションなどのWebアプリケーション攻撃を防御します。
まとめ
ファイアウォールとは
「ネットワークの門番」
WAFとは
「Webアプリの門番」
超重要
- ファイアウォール=通信制御
- WAF=Web攻撃対策
- SQLインジェクション
- XSS
- HTTP解析
まずは、
「ファイアウォール=入口警備員」
「WAF=持ち物検査員」
このイメージを持つとかなり理解しやすくなります!
知識に自信ができた方は、今度は自身のキャリアアップに向けて準備してみませんか?
未経験から、ITエンジニアへ。
「IT業界に興味はあるけれど、自分にできるか不安」「何から始めればいいのか分からない」そんな方のために、Tech GO は未経験からのIT転職を専門的にサポートします。求人を紹介するだけではなく、あなたの強みを整理し、応募準備から入社後の成…
manabi1029.com
2026.05.10
まずは無料でキャリア相談
コメント