正解

③CMSやフレームワークなどの脆弱性対策にも効果を発揮する

Apache Struts2やWordPressなどの緊急性の高い脆弱性に対して、WAFのルールが更新されることで、バージョンアップを実施するよりも早く対策できる。
最近ではLog4jの脆弱性（Log4Shell）において、緊急的な対応としてWAFによる対策が注目された。

①WAFは、ネットワークのアクセス制御をするファイアウォールとは異なる性質のセキュリティ対策である。
②脆弱性を修正したり、無害化する効果はなく、同様にバージョンアップが不要になることはない。
④オープンソースのWAFが存在し、ModSecurityが有名。