「WAF」関連の最新 ニュース・レビュー・解説 記事 まとめ

プロンプトインジェクションから得られた教訓
Amazon Q攻撃で「守りの緩さ」が露呈　“悪意のプロンプト”にどう備えるか
AIアシスタントサービス「Amazon Q」で発生したプロンプトインジェクション攻撃は、生成AIを業務で活用する際のリスクを浮き彫りにした。専門家は「AIが既存のセキュリティリスクを増幅する典型例」と分析する。（2025/8/29）

重要性が高まる3大クラウドのDDoS対策
AWS、Azure、GCPの「DDoS対策」徹底比較　クラウド純正から汎用製品まで
システム基盤をクラウドに移行する企業が増加する中、そのDDoS攻撃対策は喫緊の課題だ。本稿では主要3大クラウドサービスであるAWS、Azure、GCPに焦点を当て、DDoS攻撃対策サービスを解説する。（2025/8/8）

IIJmio「料金改定」「JALモバイル」が好調で純増　コンテンツ連携プランも「検討の対象に」
IIJが、2025年度第1四半期の決算を発表した。売り上げは768.2億円で前年同期比6.7％増、営業利益は60.3億円で前年同期比34.6％増となった。モバイルサービスは個人向けが好調で、IIJmioは料金改定やJALモバイルの提供が功を奏しているという。（2025/8/7）

ビジネス部門とIT部門のギャップに起因
「自社にシャドーAIはない」は危険な思い込み？　現場発AIが生む脅威の正体
AIエージェントによる“業務の代替”が現実味を帯びてきた今、ビジネス部門とIT部門の間に「シャドーAI」の新たなリスクが生じている。企業は今、そのリスクにどう向き合うべきか。（2025/8/12）

IIJに行政指導、4月発表の不正アクセス巡り　総務省
総務省は7月18日、インターネットイニシアティブ（IIJ）が4月に公表した法人向けメールセキュリティサービス「IIJセキュアMXサービス」への不正アクセス事案を巡り、同社を行政指導したと発表した。通信の保護や再発防止の徹底に加え、業界全体のセキュリティ向上に取り組むよう、IIJに求めたという。（2025/7/18）

5つの戦略と5つの技術
アプリとAPIの保護が「WAFだけ」では危険な理由と“正しい”防御策
アプリケーションやAPIを狙う攻撃が巧妙化し、WAFなどの従来の対策だけでは不十分な場面が多々生じている。アプリケーション構造の変化に伴って誕生した新たな脅威に、企業はどう立ち向かうべきか。（2025/7/14）

セキュリティニュースアラート：
FortiWebにSQLインジェクションの脆弱性　CVSS 9.6でアップデート推奨
Fortinetは、FortiWebにSQLインジェクションの深刻な脆弱性「CVE-2025-25257」が存在すると公表した。CVSSスコアは9.6で緊急と評価されており、対象バージョンにはパッチ適用が強く推奨されている。（2025/7/11）

iPhone用VPNの選定から導入までをおさらい【中編】
iPhone用「VPN」選びに迷ったらまず見ておきたい主要製品4選
VPNは、料金や機能などが異なるさまざまな製品が存在する。iPhoneを業務利用する企業が、自社の条件に合った製品を見つけるための参考にできる、主要なVPN製品4つを紹介する。（2025/7/6）

74％の企業が「APIファースト」を採用：
APIセキュリティ徹底ガイド　脅威に備えるための「13の実践ポイント」を解説
TechTargetは「APIセキュリティのベストプラクティス」に関する記事を公開した。APIセキュリティを確保するために有用な13個の施策を紹介している。（2025/7/3）

セキュリティニュースアラート：
クラウド関連のインシデントに対処できたのはわずか6％　厳しい実態が判明
チェック・ポイントは2025年版クラウドセキュリティレポートを発表した。クラウド導入が進む一方でセキュリティ対策は追い付いていない現状が明らかになった。クラウド関連のセキュリティインシデントに対処できた組織はわずか6％だったという。（2025/6/12）

WAF vs. RASP【後編】
Webを守るなら「WAF」と「RASP」どちらを選ぶ？　仕組みからコストまで徹底比較
WAFとRASPはそれぞれ異なる仕組みでWebアプリケーションへの脅威を防ぐ。両者はどのように使い分ければいいのか。コストや運用も踏まえて比較する。（2025/6/4）

WAF vs. RASP【前編】
Webを守る「WAF」と「RASP」の仕組みとは？　両者の違いは？
Webアプリケーションの利用が広がる中で、セキュリティ対策も重要となっている。Webを守るツールである「WAF」と「RASP」はどのような仕組みで動くのか。（2025/5/28）

セキュリティニュースアラート：
AI駆動型WAFに弱点　悪意のある命令文で検出回避を狙う手法を研究者が指摘
セキュリティ研究者がAI駆動型WAFの回避手法とその脆弱性を解説した。悪意のある命令文をAIに入力することで、WAFを誤認識させられるという。（2025/5/22）

IIJ谷脇新社長、IIJmioの春商戦に「手応えを感じている」　既存キャリアが提供できないサービスにも注力
IIJが5月13日、2024年度の決算を発表した。今回は谷脇康彦氏が2025年4月1日に代表取締役社長執行役員 Co-CEO & COOに就任してから初の決算会見となる。谷脇氏は「これまでの基本的な経営方針は維持するが、ただし、そこにとどまっていたら成長が見込めないので、新しい領域のビジネスを作っていきたい」と話す。（2025/5/13）

EGセキュアソリューションズがセキュリティレポートを発表：
攻撃者が真正面から狙う「あのファイル」　Web管理者が今すぐ確認すべき設定とは
EGセキュアソリューションズは「SiteGuard セキュリティレポート（2025.1Q）」を発表した。それによると、特定の攻撃手法が突出して増加傾向にあり、特に教育機関で被害が出ていることが分かった。（2025/5/7）

いつ大きな損失につながってもおかしくない：
PR：増え続けるWebサイト、運用負荷増、DDoS攻撃、セキュリティ対策……面倒なインフラの課題を解決し、WordPressサイト運用保守を効率化するための現実解
Webサイト構築にWordPressを利用している企業は多い。しかし運用保守に当たってさまざまな課題がある。少ない負担で効率良く、安全で安定したWebサイトの運用保守を実現する方法とは。（2025/4/25）

セキュリティニュースアラート：
「Active! mail」に深刻度9.8の脆弱性　悪用によって複数の日本企業に影響
クオリティアのWebメールシステム「Active! mail」に深刻な脆弱性が見つかった。CVSS v3.0のスコア値は9.8で、深刻度「緊急」（Critical）と評価されている。同脆弱性の影響によって複数の日本企業で障害が発生している。（2025/4/24）

DevSecOpsを考えているなら：
PR：なぜクラウドセキュリティは「包括的でシンプル」にすべきなのか　開発、運用、セキュリティの連携を強める秘策
マルチクラウドやハイブリッドクラウドが当たり前になりつつある今、システムの複雑化と、保護対象の広範化がセキュリティ対策を難しくしている。DevOpsやDevSecOpsにおけるセキュリティ課題の解決策を探っていこう。（2025/4/16）

“際限のない、いたちごっこ”に終止符：
PR：「欲しいときに、欲しいものを安心して買える」Webサイトを実現　セブン＆アイグループのbot対策の裏側
不正アクセス、DDoS攻撃や悪性botなど、WebサイトやWebアプリケーションは日夜攻撃にさらされている。こうした攻撃を防いで適切なサービスを顧客に提供するにはどのような対策が必要なのか。セブン＆アイグループのIT戦略を支える取り組みから学ぶ。（2025/3/28）

＠IT Network Live Week 2025 冬：
暗号資産やスポットワークにも参入　メルカリが構築するプロダクトセキュリティの中身
スポットワークや暗号資産など、事業の幅を急速に広げるメルカリ。こうした機動的な事業展開を支えるのは、包括的で強固なプロダクトセキュリティだ。ゲーミフィケーションも取り入れた同社の取り組みにつき、責任者が語った。（2025/3/25）

プロキシファイアウォールを徹底解説【前編】
いまさら聞けない「プロキシファイアウォール」とは何か
プロキシとファイアウォールの機能を組み合わせたプロキシファイアウォールはネットワークとセキュリティの両面で重要な役割を果たす。プロキシファイアウォールの用途とは。（2025/3/7）

EGセキュアソリューションズがセキュリティレポートを発表：
攻撃の半数以上が“あの手口”　2024年に「急増して急減したサイバー攻撃」の実態とは
EGセキュアソリューションズは「SiteGuard セキュリティレポート（2024.4Q）」を発表した。攻撃種別で最も多かったのはバッファーオーバーフローだったが、急増と急減という独特の動きを見せている。背景には何があるのか。（2025/2/10）

日本企業を狙う、相次ぐDDoS攻撃に国が注意喚起　今すぐ始めるべき対策とは？
内閣サイバーセキュリティセンターは、2024年12月〜25年1月にかけてDDoS攻撃が相次いでいることを受け、各事業者に注意を呼びかけた。（2025/2/4）

セキュリティソリューション：
SansanがCloudflareの複数製品を導入　運用コストを90％削減
Sansanはセキュリティの標準化及び運用コストの削減のために「Cloudflare WAF」と「Bot Management」「Advanced DDoS Protection」を導入した。運用コストを約90％削減できたという。（2025/1/22）

「CNAPP」はどう役に立つのか：
PR：複雑なままで守れるのか？　クラウドアプリの開発から運用までのプロセスを保護することで見える「クラウドセキュリティ強化」の新たな地平
クラウドが普及した今、クラウドネイティブなIT環境の守り方を本気で考える必要に迫られている。保護対象が広範化、複雑化する中、クラウドアプリケーションの開発から運用までを包括的に保護するセキュリティ技術「CNAPP」とはどういうものなのか。（2025/1/15）

IoTセキュリティ：
クラウドネイティブな組込ソフトウェア開発の在り方とは？
MONOistはオンラインセミナー「開発変革セミナー 2024 秋〜製造業特別DAY 組み込みセキュリティ〜」を開催。本稿では「クラウドネイティブな組込ソフトウェア開発とMLSecOpsへの進化」と題して日本クラウドセキュリティアライアンス（CSA）代表理事の笹原英司氏が行った基調講演の一部を紹介する。（2024/12/27）

セキュリティニュースアラート：
AkamaiやCloudflareなど主要なWAFをバイパスする脆弱性が見つかる
Zafran SecurityはFortune 100企業の40％に影響を及ぼすWAFバイパスの脆弱性を発見した。不適切なWAF構成によりWebアプリケーションが深刻なセキュリティリスクにさらされる可能性がある。（2024/12/13）

「Oisix.com」に不正ログイン10万件　WAF導入も、パスワードリスト攻撃防げず
「Oisix.com」がパスワードリスト型攻撃による不正ログインを受け、9万7533件の個人情報が閲覧された可能性。。（2024/11/27）

AWS WAFの設定ミスや不正送金のシナリオで、現場で通じる対応力も審査：
長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
2024年も7月4〜6日に、サイバー犯罪に関する白浜シンポジウムと並行し、第19回情報危機管理コンテストの決勝戦が開催された。約20年、人材を輩出してきたコンテストは、どのような思いの下で進化し続けたのか。今後はどうなっていくのか。（2024/11/12）

GMO-IGのプライベートSOCリーダーが語る、外部SOCとの上手な付き合い方
内製SOCと外部SOCの業務の切り分けで悩む企業は多い。GMOインターネットグループのプライベートSOCとイエラエのSOCのリーダーが、協力関係を築くまでの道のりを語った。（2024/10/24）

2024年第3四半期で最も多かった攻撃は？：
セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増　EGセキュアソリューションズ
EGセキュアソリューションズは「SiteGuard セキュリティレポート（2024.3Q）」を発表した。2024年第3四半期における「攻撃種別」「月別」「接続元（国別）」の3つの観点での攻撃傾向および特に注目すべき2つの攻撃手法について詳しく解説している。（2024/10/29）

NaaSとAPIセキュリティが鍵に：
PR：「AI」と「API」でセキュリティリスクが急増、企業が対策せざるを得ない理由
マルチクラウドが当たり前となり、生成AIに注目が集まる今、APIの重要性が高まっている。アプリケーションがマイクロサービスに変わったことでAPI通信が激増している。また、生成AIアプリケーションの構築や利用はほぼ必ずAPIを経由する。こうした変化の中で、企業はネットワークやセキュリティの在り方をどう変えていけるのか。（2024/10/22）

架空事例で学ぶクラウドエンジニアのお仕事（2）：
クラウドインフラの要件定義と設計を実際にやってみよう
クラウドインフラの要件定義と設計では、実際には何をやればいいのでしょうか。今回はこれについて解説します。また、実際に架空Webサービス「My-Stack Circle」の要件定義と設計を進めていきます。（2024/9/24）

ネットワークを作る8つのデバイス【前編】
いまさら聞けない「アクセスポイント」「ブリッジ」「ゲートウェイ」とは
企業のネットワークは、複数のネットワークデバイスによって作られる。企業のネットワークを構成するのに欠かせないネットワークデバイスを基礎から紹介する。（2024/9/12）

担当者は“アラート疲れ”：
PR：ランサムウェア感染や情報漏えい……止まらないセキュリティインシデント　解決の鍵は？
攻撃に備え、多くの企業はセキュリティ製品の導入などの対策を進めている。にもかかわらず、被害は減るどころか増加しているようにも見える。一体何が原因なのか、そして解決の糸口とは。（2024/9/18）

PR：ランサムウェアの被害報告が続々　「感染経路」から見えてきた“効果的な対策”　専門家に聞いた
（2024/9/2）

アプリケーションセキュリティ調査2024年版：
Cloudflare、概念実証コード公開後22分でCVEが悪用される攻撃を確認、DDoS攻撃で狙われる業界は？
Cloudflareは、アプリケーションセキュリティに関する調査レポート「Application Security report」の2024年版を公開した。（2024/7/31）

クラウド型WAFで検出した攻撃アクセスの傾向を分析：
2024年第2四半期に最も検出された攻撃手法とは？　EGセキュアソリューションズがレポートを公開
EGセキュアソリューションズは、「SiteGuard セキュリティレポート（2024.2Q）」を発表した。2024年上半期の攻撃アクセスの検出数は、2024年2月をピークに、同年4月にかけて一時的に減少したものの、同年6月には再び増加していた。（2024/7/31）

Copilot for SecurityでMicrosoftのセキュリティ製品はどう進化するか？
2024年4月にリリースされた生成AIを使ったセキュリティサービス「Microsoft Copilot for Security」に続々と新たな機能が追加されている。従来のMicrosoftのセキュリティ製品にこれを組み込むことでどのようなメリットがあるのか。担当者がデモを披露した。（2024/6/5）

セキュリティニュースアラート：
弥生がセキュリティ強化に向けてAkamaiのWAF製品などを導入
会計ソフトを提供する弥生は、AkamaiのWebアプリケーションファイアウォール製品やDDoS対策などを導入し、セキュリティ対策を強化したと発表した。（2024/6/5）

セキュリティニュースアラート：
WAFの限界はどこにある？　Assetnoteが「WAF回避」による攻撃テクニックを紹介
AssetnoteはWebアプリケーションファイアウォール（WAF）を回避するためのシンプルなテクニックを発表した。（2024/5/31）

「AWSコスト削減 天下一武道会」レポート：
エンジニアらが明かすAWSコスト削減術　「月額約6万ドル削減」の裏側
クラウドを活用してサービスが成長すれば、クラウドインフラのコストも増え続けることになる。2024年2月に開催された「第1回 AWSコスト削減 天下一武道会」では、AWSコスト削減をテーマに、エンジニアらが登壇。AWSのコスト削減にどう取り組んでいるのか、コスト削減プロジェクトの進め方を解説した。（2024/4/25）

そのSaaS本当に安全ですか？：
SaaSベンダーはどこまでランサムウェア対策をしているのか？　実態調査から見えたちょっと心配な現状
導入しているSaaSはランサムウェア対策をきちんと施しているでしょうか。実態調査からSaaSのセキュリティ対策状況を明らかにします。（2024/3/28）

セキュリティソリューション：
GMOインターネットグループがCloudflare WAFを導入　その決め手は？
GMOインターネットグループはCloudflare Web Application Firewall（WAF）を導入した。事業拡大の中で、WebサイトやAPI、エンドポイント、データセンターを保護するための効率的かつコスト効率の高い方法を探していたという。（2024/3/13）

セキュリティソリューション：
Cloudflare、大規模言語モデルを保護する新たなファイアウォールを開発
Cloudflareは大規模言語モデルを悪用から保護するための「Firewall for AI」を開発していると発表した。今後数カ月以内にβ版を提供する予定だ（2024/3/7）

セキュリティニュースアラート：
API攻撃が本格化の兆し　Impervaのレポートから判明した最新攻撃動向
Impervaは「The State of API Security in 2024」を発表した。API攻撃が前年比で大幅に増加し、ビジネスロジックやアカウント乗っ取り攻撃が活発なことが明らかになった。（2024/3/5）

これで分かる「DevSecOps」の課題と解決【第4回】
知らないと損する「RASP」とは？　「Webアプリの脆弱性対策＝WAF」はもう古い
Webアプリケーションの脆弱性対策として、広く利用されている「WAF」。実はWAFは、幾つかの問題を抱えている。それらの課題を解消した新たな手段である「RASP」の特徴とは。（2024/2/19）

「見えないWeb攻撃」──情報漏えい対策の盲点：
「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威
APIが個人情報や機密情報の窃取や、アカウントの乗っ取りなどサイバー攻撃の格好の標的になっている。その傾向や対策、落とし穴をAkamai Technologiesの中西一博氏が解説。（2024/1/11）

セキュリティニュースアラート：
サイバー攻撃はなぜ日本を狙うのか？　2023年第3四半期の調査データと原因予測を発表
サイバーセキュリティクラウドは2023年第3四半期のサイバー攻撃データを分析したレポートを発表した。オーストラリアからの攻撃が急増している。（2023/12/6）

PR：手離れがいいAWSセキュリティ対策　「WAF」運用のポイントは？
（2023/11/30）