IPAがまとめたWAFの解説

IPAがWAFについて纏めた「Web Application Firewall 読本」を公開しています。

情報処理推進機構：情報セキュリティ：脆弱性対策 : 「Web Application Firewall 読本」を公開

IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、ウェブサイトの脆弱性の修正作業が長期化している事例が少なくないことから、ウェブサイト運営者がWeb Application Firewall（ウェブ・アプリケーション・ファイアウォール、WAF）を導入する際の参考となる解説資料「Web Application Firewall 読本」を2010年2月16日（火）からIPAのウェブサイトで公開しました。URL： http://www.ipa.go.jp/security/vuln/waf.html

WAFは特定のパターンにマッチするリクエスト（攻撃）をアプリケーションに渡される前に破棄することによってウェブアプリケーションを保護するものですが、F/WやWAF、IPS、IDSについてはセキュリティ機器と一緒くたにされてしまっていて違いを分かっていない人も多いので、こういう資料はいいですね。

ただ、WAFはウェブアプリの脆弱性の根本を解決するものではないので、脆弱性を作り込まないための教育やソースコードレビューに加えて、診断項目に基づく定期的なウェブのセキュリティチェックについても、もちろん必要になります。

それでもWAFを入れるメリットとしては、あるセキュリティベンダーの人に話を聞いたWAFのちょっと変わった使い方として、外部の人間からウェブアプリケーションに脆弱性報告が寄せられたとき、アプリケーションの改修が即時に可能でない場合、WAFに脆弱性をつくリクエストをピンポイントでブロックするルールを加えて時間を稼ぐ事が出来るというのがあるようです。

あくまでダメージコントロールの域を出ませんが、大規模なアプリケーションを作成するときには導入を検討したいところです。