「WAF」関連の最新 ニュース・レビュー・解説 記事 まとめ

WAF vs. RASP【後編】
Webを守るなら「WAF」と「RASP」どちらを選ぶ？　仕組みからコストまで徹底比較
WAFとRASPはそれぞれ異なる仕組みでWebアプリケーションへの脅威を防ぐ。両者はどのように使い分ければいいのか。コストや運用も踏まえて比較する。（2025/6/4）

WAF vs. RASP【前編】
Webを守る「WAF」と「RASP」の仕組みとは？　両者の違いは？
Webアプリケーションの利用が広がる中で、セキュリティ対策も重要となっている。Webを守るツールである「WAF」と「RASP」はどのような仕組みで動くのか。（2025/5/28）

セキュリティニュースアラート：
AI駆動型WAFに弱点　悪意のある命令文で検出回避を狙う手法を研究者が指摘
セキュリティ研究者がAI駆動型WAFの回避手法とその脆弱性を解説した。悪意のある命令文をAIに入力することで、WAFを誤認識させられるという。（2025/5/22）

IIJ谷脇新社長、IIJmioの春商戦に「手応えを感じている」　既存キャリアが提供できないサービスにも注力
IIJが5月13日、2024年度の決算を発表した。今回は谷脇康彦氏が2025年4月1日に代表取締役社長執行役員 Co-CEO & COOに就任してから初の決算会見となる。谷脇氏は「これまでの基本的な経営方針は維持するが、ただし、そこにとどまっていたら成長が見込めないので、新しい領域のビジネスを作っていきたい」と話す。（2025/5/13）

EGセキュアソリューションズがセキュリティレポートを発表：
攻撃者が真正面から狙う「あのファイル」　Web管理者が今すぐ確認すべき設定とは
EGセキュアソリューションズは「SiteGuard セキュリティレポート（2025.1Q）」を発表した。それによると、特定の攻撃手法が突出して増加傾向にあり、特に教育機関で被害が出ていることが分かった。（2025/5/7）

いつ大きな損失につながってもおかしくない：
PR：増え続けるWebサイト、運用負荷増、DDoS攻撃、セキュリティ対策……面倒なインフラの課題を解決し、WordPressサイト運用保守を効率化するための現実解
Webサイト構築にWordPressを利用している企業は多い。しかし運用保守に当たってさまざまな課題がある。少ない負担で効率良く、安全で安定したWebサイトの運用保守を実現する方法とは。（2025/4/25）

セキュリティニュースアラート：
「Active! mail」に深刻度9.8の脆弱性　悪用によって複数の日本企業に影響
クオリティアのWebメールシステム「Active! mail」に深刻な脆弱性が見つかった。CVSS v3.0のスコア値は9.8で、深刻度「緊急」（Critical）と評価されている。同脆弱性の影響によって複数の日本企業で障害が発生している。（2025/4/24）

DevSecOpsを考えているなら：
PR：なぜクラウドセキュリティは「包括的でシンプル」にすべきなのか　開発、運用、セキュリティの連携を強める秘策
マルチクラウドやハイブリッドクラウドが当たり前になりつつある今、システムの複雑化と、保護対象の広範化がセキュリティ対策を難しくしている。DevOpsやDevSecOpsにおけるセキュリティ課題の解決策を探っていこう。（2025/4/16）

“際限のない、いたちごっこ”に終止符：
PR：「欲しいときに、欲しいものを安心して買える」Webサイトを実現　セブン＆アイグループのbot対策の裏側
不正アクセス、DDoS攻撃や悪性botなど、WebサイトやWebアプリケーションは日夜攻撃にさらされている。こうした攻撃を防いで適切なサービスを顧客に提供するにはどのような対策が必要なのか。セブン＆アイグループのIT戦略を支える取り組みから学ぶ。（2025/3/28）

＠IT Network Live Week 2025 冬：
暗号資産やスポットワークにも参入　メルカリが構築するプロダクトセキュリティの中身
スポットワークや暗号資産など、事業の幅を急速に広げるメルカリ。こうした機動的な事業展開を支えるのは、包括的で強固なプロダクトセキュリティだ。ゲーミフィケーションも取り入れた同社の取り組みにつき、責任者が語った。（2025/3/25）

プロキシファイアウォールを徹底解説【前編】
いまさら聞けない「プロキシファイアウォール」とは何か
プロキシとファイアウォールの機能を組み合わせたプロキシファイアウォールはネットワークとセキュリティの両面で重要な役割を果たす。プロキシファイアウォールの用途とは。（2025/3/7）

EGセキュアソリューションズがセキュリティレポートを発表：
攻撃の半数以上が“あの手口”　2024年に「急増して急減したサイバー攻撃」の実態とは
EGセキュアソリューションズは「SiteGuard セキュリティレポート（2024.4Q）」を発表した。攻撃種別で最も多かったのはバッファーオーバーフローだったが、急増と急減という独特の動きを見せている。背景には何があるのか。（2025/2/10）

日本企業を狙う、相次ぐDDoS攻撃に国が注意喚起　今すぐ始めるべき対策とは？
内閣サイバーセキュリティセンターは、2024年12月〜25年1月にかけてDDoS攻撃が相次いでいることを受け、各事業者に注意を呼びかけた。（2025/2/4）

セキュリティソリューション：
SansanがCloudflareの複数製品を導入　運用コストを90％削減
Sansanはセキュリティの標準化及び運用コストの削減のために「Cloudflare WAF」と「Bot Management」「Advanced DDoS Protection」を導入した。運用コストを約90％削減できたという。（2025/1/22）

「CNAPP」はどう役に立つのか：
PR：複雑なままで守れるのか？　クラウドアプリの開発から運用までのプロセスを保護することで見える「クラウドセキュリティ強化」の新たな地平
クラウドが普及した今、クラウドネイティブなIT環境の守り方を本気で考える必要に迫られている。保護対象が広範化、複雑化する中、クラウドアプリケーションの開発から運用までを包括的に保護するセキュリティ技術「CNAPP」とはどういうものなのか。（2025/1/15）

IoTセキュリティ：
クラウドネイティブな組込ソフトウェア開発の在り方とは？
MONOistはオンラインセミナー「開発変革セミナー 2024 秋〜製造業特別DAY 組み込みセキュリティ〜」を開催。本稿では「クラウドネイティブな組込ソフトウェア開発とMLSecOpsへの進化」と題して日本クラウドセキュリティアライアンス（CSA）代表理事の笹原英司氏が行った基調講演の一部を紹介する。（2024/12/27）

セキュリティニュースアラート：
AkamaiやCloudflareなど主要なWAFをバイパスする脆弱性が見つかる
Zafran SecurityはFortune 100企業の40％に影響を及ぼすWAFバイパスの脆弱性を発見した。不適切なWAF構成によりWebアプリケーションが深刻なセキュリティリスクにさらされる可能性がある。（2024/12/13）

「Oisix.com」に不正ログイン10万件　WAF導入も、パスワードリスト攻撃防げず
「Oisix.com」がパスワードリスト型攻撃による不正ログインを受け、9万7533件の個人情報が閲覧された可能性。。（2024/11/27）

AWS WAFの設定ミスや不正送金のシナリオで、現場で通じる対応力も審査：
長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
2024年も7月4〜6日に、サイバー犯罪に関する白浜シンポジウムと並行し、第19回情報危機管理コンテストの決勝戦が開催された。約20年、人材を輩出してきたコンテストは、どのような思いの下で進化し続けたのか。今後はどうなっていくのか。（2024/11/12）

GMO-IGのプライベートSOCリーダーが語る、外部SOCとの上手な付き合い方
内製SOCと外部SOCの業務の切り分けで悩む企業は多い。GMOインターネットグループのプライベートSOCとイエラエのSOCのリーダーが、協力関係を築くまでの道のりを語った。（2024/10/24）

2024年第3四半期で最も多かった攻撃は？：
セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増　EGセキュアソリューションズ
EGセキュアソリューションズは「SiteGuard セキュリティレポート（2024.3Q）」を発表した。2024年第3四半期における「攻撃種別」「月別」「接続元（国別）」の3つの観点での攻撃傾向および特に注目すべき2つの攻撃手法について詳しく解説している。（2024/10/29）

NaaSとAPIセキュリティが鍵に：
PR：「AI」と「API」でセキュリティリスクが急増、企業が対策せざるを得ない理由
マルチクラウドが当たり前となり、生成AIに注目が集まる今、APIの重要性が高まっている。アプリケーションがマイクロサービスに変わったことでAPI通信が激増している。また、生成AIアプリケーションの構築や利用はほぼ必ずAPIを経由する。こうした変化の中で、企業はネットワークやセキュリティの在り方をどう変えていけるのか。（2024/10/22）

架空事例で学ぶクラウドエンジニアのお仕事（2）：
クラウドインフラの要件定義と設計を実際にやってみよう
クラウドインフラの要件定義と設計では、実際には何をやればいいのでしょうか。今回はこれについて解説します。また、実際に架空Webサービス「My-Stack Circle」の要件定義と設計を進めていきます。（2024/9/24）

ネットワークを作る8つのデバイス【前編】
いまさら聞けない「アクセスポイント」「ブリッジ」「ゲートウェイ」とは
企業のネットワークは、複数のネットワークデバイスによって作られる。企業のネットワークを構成するのに欠かせないネットワークデバイスを基礎から紹介する。（2024/9/12）

担当者は“アラート疲れ”：
PR：ランサムウェア感染や情報漏えい……止まらないセキュリティインシデント　解決の鍵は？
攻撃に備え、多くの企業はセキュリティ製品の導入などの対策を進めている。にもかかわらず、被害は減るどころか増加しているようにも見える。一体何が原因なのか、そして解決の糸口とは。（2024/9/18）

PR：ランサムウェアの被害報告が続々　「感染経路」から見えてきた“効果的な対策”　専門家に聞いた
（2024/9/2）

アプリケーションセキュリティ調査2024年版：
Cloudflare、概念実証コード公開後22分でCVEが悪用される攻撃を確認、DDoS攻撃で狙われる業界は？
Cloudflareは、アプリケーションセキュリティに関する調査レポート「Application Security report」の2024年版を公開した。（2024/7/31）

クラウド型WAFで検出した攻撃アクセスの傾向を分析：
2024年第2四半期に最も検出された攻撃手法とは？　EGセキュアソリューションズがレポートを公開
EGセキュアソリューションズは、「SiteGuard セキュリティレポート（2024.2Q）」を発表した。2024年上半期の攻撃アクセスの検出数は、2024年2月をピークに、同年4月にかけて一時的に減少したものの、同年6月には再び増加していた。（2024/7/31）

Copilot for SecurityでMicrosoftのセキュリティ製品はどう進化するか？
2024年4月にリリースされた生成AIを使ったセキュリティサービス「Microsoft Copilot for Security」に続々と新たな機能が追加されている。従来のMicrosoftのセキュリティ製品にこれを組み込むことでどのようなメリットがあるのか。担当者がデモを披露した。（2024/6/5）

セキュリティニュースアラート：
弥生がセキュリティ強化に向けてAkamaiのWAF製品などを導入
会計ソフトを提供する弥生は、AkamaiのWebアプリケーションファイアウォール製品やDDoS対策などを導入し、セキュリティ対策を強化したと発表した。（2024/6/5）

セキュリティニュースアラート：
WAFの限界はどこにある？　Assetnoteが「WAF回避」による攻撃テクニックを紹介
AssetnoteはWebアプリケーションファイアウォール（WAF）を回避するためのシンプルなテクニックを発表した。（2024/5/31）

「AWSコスト削減 天下一武道会」レポート：
エンジニアらが明かすAWSコスト削減術　「月額約6万ドル削減」の裏側
クラウドを活用してサービスが成長すれば、クラウドインフラのコストも増え続けることになる。2024年2月に開催された「第1回 AWSコスト削減 天下一武道会」では、AWSコスト削減をテーマに、エンジニアらが登壇。AWSのコスト削減にどう取り組んでいるのか、コスト削減プロジェクトの進め方を解説した。（2024/4/25）

そのSaaS本当に安全ですか？：
SaaSベンダーはどこまでランサムウェア対策をしているのか？　実態調査から見えたちょっと心配な現状
導入しているSaaSはランサムウェア対策をきちんと施しているでしょうか。実態調査からSaaSのセキュリティ対策状況を明らかにします。（2024/3/28）

セキュリティソリューション：
GMOインターネットグループがCloudflare WAFを導入　その決め手は？
GMOインターネットグループはCloudflare Web Application Firewall（WAF）を導入した。事業拡大の中で、WebサイトやAPI、エンドポイント、データセンターを保護するための効率的かつコスト効率の高い方法を探していたという。（2024/3/13）

セキュリティソリューション：
Cloudflare、大規模言語モデルを保護する新たなファイアウォールを開発
Cloudflareは大規模言語モデルを悪用から保護するための「Firewall for AI」を開発していると発表した。今後数カ月以内にβ版を提供する予定だ（2024/3/7）

セキュリティニュースアラート：
API攻撃が本格化の兆し　Impervaのレポートから判明した最新攻撃動向
Impervaは「The State of API Security in 2024」を発表した。API攻撃が前年比で大幅に増加し、ビジネスロジックやアカウント乗っ取り攻撃が活発なことが明らかになった。（2024/3/5）

これで分かる「DevSecOps」の課題と解決【第4回】
知らないと損する「RASP」とは？　「Webアプリの脆弱性対策＝WAF」はもう古い
Webアプリケーションの脆弱性対策として、広く利用されている「WAF」。実はWAFは、幾つかの問題を抱えている。それらの課題を解消した新たな手段である「RASP」の特徴とは。（2024/2/19）

「見えないWeb攻撃」──情報漏えい対策の盲点：
「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威
APIが個人情報や機密情報の窃取や、アカウントの乗っ取りなどサイバー攻撃の格好の標的になっている。その傾向や対策、落とし穴をAkamai Technologiesの中西一博氏が解説。（2024/1/11）

セキュリティニュースアラート：
サイバー攻撃はなぜ日本を狙うのか？　2023年第3四半期の調査データと原因予測を発表
サイバーセキュリティクラウドは2023年第3四半期のサイバー攻撃データを分析したレポートを発表した。オーストラリアからの攻撃が急増している。（2023/12/6）

PR：手離れがいいAWSセキュリティ対策　「WAF」運用のポイントは？
（2023/11/30）

AWS活用で「PCI DSS 4.0」に準拠　6つの観点でクラウドセキュリティを解説：
決済サービスだからこそクラウドをフル活用――PAY.JPがクラウドネイティブを推進する理由
オンライン決済サービス「PAY.JP」では、システム基盤の見直しやPCI DSS準拠といった取り組みを継続的に進め、高いセキュリティ水準の維持に取り組んできた。PAYで代表取締役CEOの高野兼一氏が、クラウドネイティブな取り組みをどう進めているのか、解説した。（2023/11/2）

人材不足でもできるAWS環境のセキュリティ強化
AWS WAFの自動運用でセキュリティ対策を“任せっきり”にする方法とは？
AWS環境（AWSがホスティングするインフラ）のセキュリティ強化において、不正アクセスを防ぐAWS WAFは重要な役割を果たす。問題はその運用だ。適切な設定やシグネチャの更新を担えるノウハウや人材が社内に足りない場合はどうすべきか。（2023/11/2）

セキュリティニュースアラート：
CloudflareとGoogle、AWSが注意喚起　ゼロデイ脆弱性「HTTP/2 Rapid Reset」とは？
CloudflareとGoogle、AWSは共同でゼロデイ脆弱性「HTTP/2 Rapid Reset」を発表した。これはHTTP/2のストリームキャンセル機能を悪用して極度に大規模なDDoS攻撃を引き起こすもので過去最大の攻撃が観測されている。（2023/10/12）

セキュリティニュースアラート：
CloudflareのWebサイト保護メカニズムが悪用可能に　4つの対策事項は
Certitude ConsultingはCloudflareのWebサイト保護メカニズムを悪用することで、Cloudflareの保護機能をバイパスできると伝えた。（2023/10/3）

2023年第2四半期Cloudflareアプリケーションセキュリティレポート：
「Log4j」などの古い脆弱性は依然、大量に悪用されている
Cloudflareが2023年第2四半期（4〜6月）におけるインターネット全体のアプリケーションセキュリティの傾向に関するレポートを発表した。毎日平均1120億件ブロックしたサイバー脅威データを基に分析した結果分かった傾向とは。（2023/9/2）

「2段階認証を実装していたのに不正アクセス」　なぜなのか：
あの「オニギリペイ」に学ぶ、「セキュリティ要件準拠」でもインシデントが起きる理由
過去のセキュリティインシデントを教訓にセキュリティを意識する企業は増えている。だが、セキュリティ要件などを考慮して作られつつあるWebアプリケーションにも落とし穴があるという。「Cloud Native Week 2023夏」に登壇した徳丸 浩氏が解説した。（2023/9/1）

VMware Explore 2023：
VMwareがネットワーク仮想化NSXをマルチクラウド化、複数クラウドのネットワーク／セキュリティを統合する「VMware NSX+」を発表
VMwareはネットワーク仮想化のVMware NSXをSaaS化し、マルチクラウドに対応した「VMware NSX＋」を発表した。ユーザー側が自由に、セルフサービスでネットワーク／セキュリティを構成・運用できる新機能も実装した。（2023/8/28）

6つの脆弱性のリクエスト量を調査：
2022年に最も悪用された脆弱性は？　Cloudflareが分析結果を発表「Log4jの脆弱性は桁違いだった……」
Cloudflareは、CISAが公開した「2022年に最も悪用された脆弱性」を参考に、同社のWAFで検出された脆弱性に対するリクエスト量の分析結果を発表した。（2023/8/24）

新ベンダー／新製品じろじろウオッチ（10）：
エッジクラウド、ネットワーク事業を展開するGcoreが日本市場に本格参入
エッジクラウド、ネットワーク事業を展開するGcoreは東京に拠点を開設し、日本市場への本格参入を発表した。Gcoreはルクセンブルクに本社を置き、パブリッククラウドやエッジコンピューティング、コンテンツデリバリー、ホスティング、セキュリティソリューションなどを提供している。（2023/8/14）

「見えないWeb攻撃」──情報漏えい対策の盲点：
“サイバー兵器”と化すDDoSやWeb攻撃　背景にはウクライナ・東アジア情勢などの緊張
ロシアのウクライナ侵攻や徐々に緊迫度を増す東アジア情勢などの地政学的なリスクの高まりは、引き続きサイバー攻撃のアタックサーフェス（攻撃対象領域）と攻撃の手法に変化をもたらしている。改めて企業や組織が取るべき対策を具体的に示す。（2023/8/9）