「WAFとRASPの違い:Web防御の二本柱を理解する」
🌐 はじめに
Webアプリケーションを守るためのセキュリティ技術は日々進化しています。その中でもよく比較されるのが WAF(Web Application Firewall) と RASP(Runtime Application Self-Protection) です。どちらも「アプリを守る」点では同じですが、守る仕組みとアプローチが大きく異なります。本記事では、両者の位置づけと役割の違い、導入メリット、併用戦略まで整理します。
🛡️ WAFとRASPの誕生背景
WAFの背景
-
2000年代初頭、SQLインジェクションやXSSが猛威を振るい、従来のファイアウォールでは防げなかった。
-
ネットワークの外側でWebトラフィックを監視・遮断する仕組みとして登場。
RASPの背景
-
2010年代、ゼロデイ攻撃やビジネスロジック攻撃など、WAFだけでは防ぎきれない攻撃が増加。
-
アプリケーションの「内部」で実行時に監視・防御する仕組みとして登場。
WAFは「外側の防御壁」、RASPは「内側の自己防御」と捉えると理解しやすいです。
⚙️ WAFの仕組み
-
配置場所:アプリの外側(ゲートウェイやリバースプロキシ)。
-
防御方法:HTTPリクエスト/レスポンスを解析し、不正パターンをブロック。
-
強み:既知の攻撃に対して迅速にルールを適用できる(仮想パッチ)。
⚙️ RASPの仕組み
-
配置場所:アプリケーション内部(ライブラリやエージェントとして組み込む)。
-
防御方法:実際の実行コンテキストを監視し、不審な処理を検出・遮断。
-
強み:アプリが「実際に攻撃されているかどうか」を判断できる。誤検知が少ない。
🔍 WAFとRASPの比較
| 項目 | WAF | RASP |
|---|---|---|
| 配置場所 | ネットワーク境界 | アプリ内部 |
| 主な対象 | HTTPリクエスト/レスポンス | アプリの実行コンテキスト |
| 強み | 導入容易、既知攻撃に即応 | ゼロデイ/論理攻撃に強い |
| 弱み | 誤検知・未知攻撃に弱い | サーバリソース負荷、導入難易度 |
| 導入例 | AWS WAF, Cloudflare WAF | Contrast Security, Imperva RASP |
WAFは「家の門番」、RASPは「家の中にいるボディガード」と例えると直感的に理解できます。
💡 併用のメリット
-
WAF:外部からの攻撃を広く防御(入口対策)。
-
RASP:内部に侵入された攻撃を検知・阻止(出口対策)。
-
両者を組み合わせることで、 多層防御(Defense in Depth) を実現。
⚠️ 注意点と課題
-
WAFもRASPも「万能」ではない。セキュアコーディングや脆弱性診断は必須。
-
RASPはアプリに組み込むため、導入コストやパフォーマンスへの影響が課題になりやすい。
-
WAFは誤検知による業務影響を避けるため、ルールチューニングが欠かせない。
「WAF導入済みだから大丈夫」「RASPがあるから安心」といった単独依存は危険です。
🚀 まとめ
-
WAF:外部からの攻撃を幅広くカバーし、導入も容易。
-
RASP:内部で実行時に攻撃を検知し、精度の高い防御を実現。
-
最適解:両者を補完的に使い、多層的なセキュリティ体制を構築すること。