この単語はまだご紹介していなかったようですので、最近の体験とともに、ちょっと書いてみたいと思います。文字としては Web Application Firewall(Webアプリケーションファイアーウォール)の略です。ざっと検索してみた範囲では、「ワフ」と読む人のほうが、ダブリューエーエフよりも、多そうです。
ウェブサイトは、かつて誰かが書いたものを見に行く場所でした。あらかじめ用意されたもの(HTMLファイル)を、情報が欲しい側が見るスタイルが中心でした。
その後、どんどんと時代が下り、ウェブサイト側には情報があって、見に来た人がどの情報を見たがっているかがわかった段階で、HTMLファイルを生成して表示させるスタイルに変化していきます。現在の主流はこちらです。
その際、見に来た人にまじって、悪意のあるロボットが検索窓や問い合わせフォームなどの入力可能な場所を狙い、一般的な文字列ではないもの(コード)を入力して情報を盗み出そうとする、あるいは改竄するなどの被害が出るようになってきました。これらを防ぐため、閲覧に来た人に最低限のことだけを許可するよう、目を光らせる役割がWAFにあります。
建物のセキュリティに例えますと、こんな感じです。
入館者が入り口で名前を名乗り、身分証を見せます。入れてくれるのが玄関の警備員さん(認証)だとしますと、WAFは内部で、その人と行動を共にする立場です。どこかの部屋にはいろうとする人に「それは、入館時に用があると言っていなかった部屋ですが、はいるつもりですか」と、確認のためストップをかけるお仕事。
両方の係員さんがいて、より安全と言えるのかもしれません。いないよりも両方いたほうが、それはたしかによいでしょう。ただしごく小規模なウェブサイト(管理者がひとりまたは少人数)では、入り口だけの警備員さんでもいいのかなと、迷うところではあります。
こちらのCANONのサイトが、やや専門的ではありますが、WAFについてわかりやすくまとまっています → https://cweb.canon.jp/it-sec/solution/siteguard/waf/
実はこのWAFですが、たまに厳しすぎることがあるのです。ときおりウェブサイトの管理者が正規の作業をしようとしても、ブロックすることがあります。
昨日、実はわたしは自分のウェブサイトのデザイン変更で、JavaScriptのある場所を触ろうとしたのですが、いっさい反応しない上に、場合によってはクリックしただけで403(権限がないときに出る記号)が表示されることも。なぜなのか、なぜなのかと2時間くらい悩んでしまいましたが、ようやくつい最近WAFをオンにしたことを思い出しました。以前からときおりオンにしては、不都合でいったんオフにしたりと、迷いながらオンオフをくり返していたのです。
今回も、ねんのため作業中のみオフにし、作業が終わってからオンにしました。次回また、同じことであたふたしないとよいのですが。