Azure Application Gateway 上の Azure Web アプリケーション ファイアウォールとはWhat is Azure Web Application Firewall on Azure Application Gateway?

Azure Application Gateway 上の Azure Web アプリケーション ファイアウォール (WAF) は、一般的な脆弱性やその悪用から Web アプリケーションを一元的に保護します。Azure Web Application Firewall (WAF) on Azure Application Gateway provides centralized protection of your web applications from common exploits and vulnerabilities. Web アプリケーションが、一般的な既知の脆弱性を悪用した悪意のある攻撃の標的になるケースが増えています。Web applications are increasingly targeted by malicious attacks that exploit commonly known vulnerabilities. よくある攻撃の例として、SQL インジェクションやクロスサイト スクリプティングが挙げられます。SQL injection and cross-site scripting are among the most common attacks.

Application Gateway 上の WAF は、OWASP (Open Web Application Security Project) のコア ルール セット (CRS) 3.1、3.0 または 2.2.9 に基づいています。WAF on Application Gateway is based on Core Rule Set (CRS) 3.1, 3.0, or 2.2.9 from the Open Web Application Security Project (OWASP). WAF は、追加構成を必要とすることなく、新たな脆弱性に対する保護を含めるために自動的に更新します。The WAF automatically updates to include protection against new vulnerabilities, with no additional configuration needed.

次に示す WAF の機能はすべて WAF ポリシー内に存在します。All of the WAF features listed below exist inside of a WAF Policy. 複数のポリシーを作成して、Application Gateway、個々のリスナー、または Application Gateway のパスベースのルーティング規則に関連付けることができます。You can create multiple policies, and they can be associated with an Application Gateway, to individual listeners, or to path-based routing rules on an Application Gateway. これにより、必要に応じて、Application Gateway の後ろにあるサイトごとに個別のポリシーを設定できます。This way, you can have separate policies for each site behind your Application Gateway if needed. WAF ポリシーの詳細については、「WAF ポリシーの作成」を参照してください。For more information on WAF Policies, see Create a WAF Policy.


URI ごとの WAF ポリシーはパブリック プレビュー段階です。Per-URI WAF Policies are in Public Preview. つまり、この機能には、Microsoft の追加使用条件が適用されます。That means this feature is subject to Microsoft's Supplemental Terms of Use. 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Application Gateway の WAF の図

Application Gateway は、アプリケーション配信コントローラー (ADC) として機能します。Application Gateway operates as an application delivery controller (ADC). これにより、トランスポート層セキュリティ (TLS) (以前は Secure Sockets Layer (SSL) と呼ばれていました) 終端、Cookie ベースのセッション アフィニティ、ラウンドロビンの負荷分散、コンテンツベースのルーティング、複数の Web サイトをホストする機能、セキュリティ強化機能が提供されます。It offers Transport Layer Security (TLS), previously known as Secure Sockets Layer (SSL), termination, cookie-based session affinity, round-robin load distribution, content-based routing, ability to host multiple websites, and security enhancements.

Application Gateway によるセキュリティの強化には、TLS ポリシーの管理、エンド ツー エンド TLS のサポートが含まれます。Application Gateway security enhancements include TLS policy management and end-to-end TLS support. アプリケーション セキュリティは、WAF を Application Gateway に統合することによって強化されています。Application security is strengthened by WAF integration into Application Gateway. この組み合わせにより、Web アプリケーションが一般的な脆弱性から保護されます。The combination protects your web applications against common vulnerabilities. また、管理するための構成を、1 か所で簡単に設定できます。And it provides an easy-to-configure central location to manage.


このセクションでは、Application Gateway 上の WAF によって得られる主なメリットについて説明します。This section describes the core benefits that WAF on Application Gateway provides.


  • バックエンド コードを変更しなくても、Web アプリケーションを Web の脆弱性および攻撃から保護できます。Protect your web applications from web vulnerabilities and attacks without modification to back-end code.

  • 同時に複数の Web アプリケーションを保護できます。Protect multiple web applications at the same time. Application Gateway のインスタンスは、Web アプリケーション ファイアウォールによって保護されている最大 40 個の Web サイトをホストできます。An instance of Application Gateway can host up to 40 websites that are protected by a web application firewall.

  • 同じ WAF の内側にある各種サイト用にカスタム WAF ポリシーを作成できます。Create custom WAF policies for different sites behind the same WAF

  • IP 評判のルールセットを使用して、悪意のあるボットから Web アプリケーションを保護できます (プレビュー)。Protect your web applications from malicious bots with the IP Reputation ruleset (preview)


  • リアルタイムの WAF ログを使用して、Web アプリケーションに対する攻撃を監視できます。Monitor attacks against your web applications by using a real-time WAF log. このログは Azure Monitor と統合されているため、WAF のアラートを追跡し、傾向を簡単に監視できます。The log is integrated with Azure Monitor to track WAF alerts and easily monitor trends.

  • Application Gateway の WAF は Azure Security Center と統合されています。The Application Gateway WAF is integrated with Azure Security Center. Security Center は、すべての Azure リソースのセキュリティ状態を一元的に表示します。Security Center provides a central view of the security state of all your Azure resources.


  • ご使用のアプリケーションの要件に合わせて WAF の規則と規則グループをカスタマイズし、誤検出を排除できます。Customize WAF rules and rule groups to suit your application requirements and eliminate false positives.

  • WAF の内側にある各サイトに WAF ポリシーを関連付けて、サイト固有の構成を許可することができます。Associate a WAF Policy for each site behind your WAF to allow for site-specific configuration

  • アプリケーションのニーズに合わせてカスタム ルールを作成することができます。Create custom rules to suit the needs of your application


  • SQL インジェクションからの保護。SQL-injection protection.
  • クロスサイト スクリプティングからの保護。Cross-site scripting protection.
  • その他の一般的な Web 攻撃からの保護 (コマンド インジェクション、HTTP 要求スマグリング、HTTP レスポンス スプリッティング、リモート ファイル インクルードなど)。Protection against other common web attacks, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion.
  • HTTP プロトコル違反に対する保護。Protection against HTTP protocol violations.
  • HTTP プロトコル異常に対する保護 (ホスト ユーザー エージェントと承認ヘッダーが見つからない場合など)。Protection against HTTP protocol anomalies, such as missing host user-agent and accept headers.
  • クローラーおよびスキャナーに対する保護。Protection against crawlers and scanners.
  • 一般的なアプリケーション構成ミスの検出 (Apache や IIS など)。Detection of common application misconfigurations (for example, Apache and IIS).
  • 下限と上限を指定した、構成可能な要求サイズ制限。Configurable request size limits with lower and upper bounds.
  • 除外リストを使用すると、WAF の評価から特定の要求属性を省略できます。Exclusion lists let you omit certain request attributes from a WAF evaluation. 一般的な例として、認証フィールドまたはパスワード フィールドにおいて使用される、Active Directory で挿入されたトークンが挙げられます。A common example is Active Directory-inserted tokens that are used for authentication or password fields.
  • 特定のアプリケーションのニーズに合わせてカスタム ルールを作成することができます。Create custom rules to suit the specific needs of your applications.
  • トラフィックを geo フィルタリングすることで、特定の国/地域を対象に、アプリケーションへのアクセスを許可したりブロックしたりできます。Geo-filter traffic to allow or block certain countries/regions from gaining access to your applications. (プレビュー)(preview)
  • ボット軽減策ルールセットを使用してアプリケーションをボットから保護できます。Protect your applications from bots with the bot mitigation ruleset. (プレビュー)(preview)
  • 要求本文で JSON と XML を検査するInspect JSON and XML in the request body

WAF のポリシーと規則WAF policy and rules

Application Gateway 上で Web アプリケーション ファイアウォールを有効にするには、WAF ポリシーを作成する必要があります。To enable a Web Application Firewall on Application Gateway, you must create a WAF policy. このポリシーには、すべてのマネージド規則、カスタム規則、除外、そしてファイル アップロード制限などのその他のカスタマイズが含まれます。This policy is where all of the managed rules, custom rules, exclusions, and other customizations such as file upload limit exist.

保護のために、WAF ポリシーを構成して、そのポリシーを 1 つまたは複数のアプリケーション ゲートウェイに関連付けることができます。You can configure a WAF policy and associate that policy to one or more application gateways for protection. WAF ポリシーは、2 種類のセキュリティ規則で構成されます。A WAF policy consists of two types of security rules:

  • 作成したカスタム規則Custom rules that you create

  • Azure で管理される事前に構成された一連の規則のコレクションであるマネージド規則セットManaged rule sets that are a collection of Azure-managed pre-configured set of rules

両方ともある場合、マネージド規則セットの規則が処理される前に、カスタム規則が処理されます。When both are present, custom rules are processed before processing the rules in a managed rule set. 規則は、一致条件、優先順位、およびアクションで構成されます。A rule is made of a match condition, a priority, and an action. サポートされているアクションの種類は次のとおりです: ALLOW、BLOCK、および LOG。Action types supported are: ALLOW, BLOCK, and LOG. マネージド規則とカスタム規則を組み合わせることで、特定のアプリケーション保護要件を満たす完全にカスタマイズされたポリシーを作成することができます。You can create a fully customized policy that meets your specific application protection requirements by combining managed and custom rules.

ポリシー内の規則は、優先順位に従って処理されます。Rules within a policy are processed in a priority order. 優先順位は、規則の処理順序を定義する一意の整数です。Priority is a unique integer that defines the order of rules to process. 整数値が小さいほど高い優先順位を表し、大きい整数値の規則より前に評価されます。Smaller integer value denotes a higher priority and those rules are evaluated before rules with a higher integer value. 規則が一致すると、規則で定義されている対応するアクションが要求に対して適用されます。Once a rule is matched, the corresponding action that was defined in the rule is applied to the request. このような一致が処理された後、優先順位の低い規則はそれ以上処理されません。Once such a match is processed, rules with lower priorities aren't processed further.

Application Gateway を使用して配信する Web アプリケーションには、グローバル レベル、サイトごとのレベル、または URI ごとのレベルで、WAF ポリシーを関連付けることができます。A web application delivered by Application Gateway can have a WAF policy associated to it at the global level, at a per-site level, or at a per-URI level.

コア ルール セットCore rule sets

Application Gateway でサポートされている 3 つのルール セット:CRS 3.1、CRS 3.0、および CRS 2.2.9。Application Gateway supports three rule sets: CRS 3.1, CRS 3.0, and CRS 2.2.9. これらの規則は、悪意のあるアクティビティから Web アプリケーションを保護します。These rules protect your web applications from malicious activity.

詳細については、「Web アプリケーション ファイアウォール CRS の規則グループと規則」を参照してください。For more information, see Web application firewall CRS rule groups and rules.

カスタム規則Custom rules

Application Gateway はカスタム ルールもサポートしています。Application Gateway also supports custom rules. カスタム規則を使用すると、WAF を通過する要求ごとに評価される独自の規則を作成できます。With custom rules, you can create your own rules, which are evaluated for each request that passes through WAF. これらの規則は、マネージド規則セット内の他の規則よりも高い優先度を持ちます。These rules hold a higher priority than the rest of the rules in the managed rule sets. 一連の条件が満たされた場合、許可またはブロックするためのアクションが実行されます。If a set of conditions is met, an action is taken to allow or block.

カスタム規則のパブリック プレビューで Geomatch 演算子が利用できるようになりました。The geomatch operator is now available in public preview for custom rules. 詳細については、Geomatch カスタム規則に関する記事を参照してください。Please see geomatch custom rules for more information.


カスタム規則用の Geomatch 演算子は、現在パブリック プレビュー段階であり、プレビュー サービス レベル アグリーメントで提供されています。The geomatch operator for custom rules is currently in public preview and is provided with a preview service level agreement. 特定の機能はサポート対象ではなく、機能が制限されることがあります。Certain features may not be supported or may have constrained capabilities. 詳しくは、「Microsoft Azure プレビューの追加使用条件」をご覧ください。See the Supplemental Terms of Use for Microsoft Azure Previews for details.

カスタム規則の詳細については、Application Gateway のカスタム規則に関する記事を参照してください。For more information on custom rules, see Custom Rules for Application Gateway.

ボット軽減策 (プレビュー)Bot Mitigation (preview)

マネージド ボット保護ルール セットを WAF に対して有効にして、マネージド ルール セットと共に、既知の悪意のある IP アドレスからの要求をブロックしたり、ログに記録したりすることができます。A managed Bot protection rule set can be enabled for your WAF to block or log requests from known malicious IP addresses, alongside the managed ruleset. この IP アドレスのソースは、Microsoft の脅威インテリジェンス フィードです。The IP addresses are sourced from the Microsoft Threat Intelligence feed. インテリジェント セキュリティ グラフは、Microsoft の脅威インテリジェンスを動作させる機能です。Azure Security Center を含む複数のサービスによって使用されます。Intelligent Security Graph powers Microsoft threat intelligence and is used by multiple services including Azure Security Center.


ボット保護規則セットは、現在パブリック プレビュー段階であり、プレビュー サービス レベル アグリーメントで提供されます。Bot protection rule set is currently in public preview and is provided with a preview service level agreement. 特定の機能はサポート対象ではなく、機能が制限されることがあります。Certain features may not be supported or may have constrained capabilities. 詳しくは、「Microsoft Azure プレビューの追加使用条件」をご覧ください。See the Supplemental Terms of Use for Microsoft Azure Previews for details.

ボット保護が有効になっている場合、悪意のあるボットのクライアント IP に一致する着信要求はファイアウォール ログに記録されます。詳細については、以下を参照してください。If Bot Protection is enabled, incoming requests that match Malicious Bot's client IPs are logged in the Firewall log, see more information below. WAF ログにはストレージ アカウント、イベント ハブ、またはログ分析からアクセスできます。You may access WAF logs from storage account, event hub, or log analytics.

WAF のモードWAF modes

Application Gateway の WAF は、次の 2 つのモードで実行するように構成できます。The Application Gateway WAF can be configured to run in the following two modes:

  • 検出モード:すべての脅威アラートを監視してログに記録します。Detection mode: Monitors and logs all threat alerts. [診断] セクションで Application Gateway の診断ログの記録をオンにしてください。You turn on logging diagnostics for Application Gateway in the Diagnostics section. また、必ず WAF のログを選択してオンにしてください。You must also make sure that the WAF log is selected and turned on. Web アプリケーション ファイアウォールは、検出モードで動作しているときに受信要求をブロックしません。Web application firewall doesn't block incoming requests when it's operating in Detection mode.
  • 防止モード:規則で検出された侵入や攻撃をブロックします。Prevention mode: Blocks intrusions and attacks that the rules detect. 攻撃者に "403 不正アクセス" の例外が送信され、接続が終了します。The attacker receives a "403 unauthorized access" exception, and the connection is closed. 防止モードでは、このような攻撃を WAF ログに記録します。Prevention mode records such attacks in the WAF logs.


新しくデプロイされる WAF は、運用環境で短期間、検出モードで実行することをお勧めします。It is recommended that you run a newly deployed WAF in Detection mode for a short period of time in a production environment. こうすると、防止モードに移行する前に、ファイアウォール ログを取得し、例外や カスタム ルールを更新することができます。This provides the opportunity to obtain firewall logs and update any exceptions or custom rules prior to transition to Prevention mode. これは、予期しないブロックされたトラフィックの発生を減らすのに役立ちます。This can help reduce the occurrence of unexpected blocked traffic.

異常スコアリング モードAnomaly Scoring mode

OWASP には、トラフィックをブロックするかどうかを決定するための 2 つのモードがあります。従来モードと異常スコアリング モードです。OWASP has two modes for deciding whether to block traffic: Traditional mode and Anomaly Scoring mode.

従来モードでは、いずれかの規則に一致するトラフィックが、他の規則の一致とは無関係に考慮されます。In Traditional mode, traffic that matches any rule is considered independently of any other rule matches. このモードは簡単に理解できます。This mode is easy to understand. しかし、特定の要求に一致する規則の数に関する情報が不足することが制限事項です。But the lack of information about how many rules match a specific request is a limitation. そのため、異常スコアリング モードが導入されました。So, Anomaly Scoring mode was introduced. OWASP 3.x ではこれが既定です。It's the default for OWASP 3.x.

異常スコアリング モードでは、ファイアウォールが防止モードの場合、いずれかの規則に一致するトラフィックがすぐにブロックされることはありません。In Anomaly Scoring mode, traffic that matches any rule isn't immediately blocked when the firewall is in Prevention mode. 規則には特定の重大度があります。 [重大][エラー][警告] 、または [通知] です。Rules have a certain severity: Critical, Error, Warning, or Notice. その重大度は、異常スコアと呼ばれる要求の数値に影響します。That severity affects a numeric value for the request, which is called the Anomaly Score. たとえば、1つの [警告] 規則の一致によって、スコアに 3 が与えられます。For example, one Warning rule match contributes 3 to the score. 1つの [重大] 規則の一致では 5 が与えられます。One Critical rule match contributes 5.

重大度Severity Value
CriticalCritical 55
エラーError 44
警告Warning 33
注意事項Notice 22

異常スコアでトラフィックがブロックされるしきい値は 5 です。There's a threshold of 5 for the Anomaly Score to block traffic. そのため、防止モードであっても、Application Gateway の WAF が要求をブロックするには、 [重大] 規則の一致が 1 つあるだけで十分です。So, a single Critical rule match is enough for the Application Gateway WAF to block a request, even in Prevention mode. しかし、1 つの [警告] 規則の一致では、異常スコアは 3 増加するだけで、その一致だけではトラフィックをブロックするには不十分です。But one Warning rule match only increases the Anomaly Score by 3, which isn't enough by itself to block the traffic.


WAF の規則がトラフィックと一致したときにログに記録されるメッセージには、アクション値 "ブロック" が含まれます。The message that's logged when a WAF rule matches traffic includes the action value "Blocked." ただし、トラフィックは、実際には 5 以上の異常スコアに対してのみブロックされます。But the traffic is actually only blocked for an Anomaly Score of 5 or higher.

WAF の監視WAF monitoring

Application Gateway の正常性を監視することは重要です。Monitoring the health of your application gateway is important. WAF と、それが保護するアプリケーションの正常性の監視は、Azure Security Center、Azure Monitor、および Azure Monitor ログとの統合によってサポートされます。Monitoring the health of your WAF and the applications that it protects are supported by integration with Azure Security Center, Azure Monitor, and Azure Monitor logs.

Application Gateway の WAF 診断の図

Azure MonitorAzure Monitor

Application Gateway のログは、Azure Monitor と統合されます。Application Gateway logs are integrated with Azure Monitor. そのため、WAF のアラートやログなどの診断情報を追跡できます。This allows you to track diagnostic information, including WAF alerts and logs. この機能には、ポータルの Application Gateway リソースの [診断] タブからアクセスするか、またはAzure Monitor から直接アクセスできます。You can access this capability on the Diagnostics tab in the Application Gateway resource in the portal or directly through Azure Monitor. ログの有効化の詳細については、Application Gateway の診断に関する記事を参照してください。To learn more about enabling logs, see Application Gateway diagnostics.

Azure Security CenterAzure Security Center

Security Center は、脅威の防御、検出、対応を可能にする機能です。Security Center helps you prevent, detect, and respond to threats. Azure リソースのセキュリティに対する可視性と制御を強化します。It provides increased visibility into and control over the security of your Azure resources. Application Gateway は Security Center と統合されていますApplication Gateway is integrated with Security Center. Security Center では、環境をスキャンして、保護されていない Web アプリケーションを検出します。Security Center scans your environment to detect unprotected web applications. これらの脆弱なリソースを保護するために、Application Gateway の WAF が推奨されます。It can recommend Application Gateway WAF to protect these vulnerable resources. Security Center から直接ファイアウォールを作成します。You create the firewalls directly from Security Center. これらの WAF インスタンスは Security Center と統合されます。These WAF instances are integrated with Security Center. それらによって、アラートおよび正常性情報がレポートとして Security Center に送信されます。They send alerts and health information to Security Center for reporting.

Security Center の概要ウィンドウ

Azure SentinelAzure Sentinel

Microsoft Azure Sentinel は、スケーラブルでクラウドネイティブ型のセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。Microsoft Azure Sentinel is a scalable, cloud-native, security information event management (SIEM) and security orchestration automated response (SOAR) solution. Azure Sentinel は、高度なセキュリティ分析と脅威インテリジェンスを企業全体で実現し、アラートの検出、脅威の可視性、予防的な捜索、および脅威への対応のための 1 つのソリューションを提供します。Azure Sentinel delivers intelligent security analytics and threat intelligence across the enterprise, providing a single solution for alert detection, threat visibility, proactive hunting, and threat response.

組み込みの Azure WAF ファイアウォール イベント ブックを使用すると、WAF 上のセキュリティ イベントの概要を把握できます。With the built-in Azure WAF firewall events workbook, you can get an overview of the security events on your WAF. これにはイベントや一致したルール、ブロックされたルールなど、ファイアウォールのログに記録されるあらゆる情報が含まれます。This includes events, matched and blocked rules, and everything else that gets logged in the firewall logs. 以下のログを参照してください。See more on logging below.

Azure WAF ファイアウォール イベント ブック

WAF の Azure Monitor ブックAzure Monitor Workbook for WAF

このブックを使用すると、複数のフィルター可能なパネルでセキュリティ関連の WAF イベントをカスタムで可視化することができます。This workbook enables custom visualization of security-relevant WAF events across several filterable panels. Application Gateway、Front Door、CDN などのすべての WAF の種類と連携でき、WAF の種類や特定の WAF インスタンスに基づいてフィルター処理できます。It works with all WAF types, including Application Gateway, Front Door, and CDN, and can be filtered based on WAF type or a specific WAF instance. ARM テンプレートまたはギャラリー テンプレートを使用してインポートします。Import via ARM Template or Gallery Template. このブックをデプロイするには、WAF ブックに関するページを参照してください。To deploy this workbook, see WAF Workbook.


Application Gateway の WAF は、検出した各脅威について詳細なレポートを提供します。Application Gateway WAF provides detailed reporting on each threat that it detects. ログ記録は Azure 診断ログに統合されています。Logging is integrated with Azure Diagnostics logs. アラートは json 形式で記録されます。Alerts are recorded in the .json format. これらのログは、Azure Monitor ログと統合できます。These logs can be integrated with Azure Monitor logs.

Application Gateway の診断ログ ウィンドウ

  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      "hostname": "",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "

Application Gateway の WAF SKU の価格Application Gateway WAF SKU pricing

価格モデルは、WAF_v1 SKU と WAF_v2 SKU で異なります。The pricing models are different for the WAF_v1 and WAF_v2 SKUs. 詳細については、Application Gateway の価格に関するページを参照してください。Please see the Application Gateway pricing page to learn more.

新機能What's new

Azure Web アプリケーション ファイアウォールの新機能については、「Azure の更新情報」を参照してください。To learn what's new with Azure Web Application Firewall, see Azure updates.

次のステップNext steps