IPA、WAFの導入ポイントをまとめた読本を公開
独立行政法人情報処理推進機構(IPA)は2月16日、Webサイト運営者がWebアプリケーションファイアウォール(WAF)を導入する際の参考となる解説資料「WAF読本」を公開した。
WAFは、Webアプリケーションの脆弱性を悪用した攻撃(SQLインジェクションなど)を遮断する技術。本来、こうした攻撃からWebサイトを保護するためには「原因を作らない実装」が望ましいのだが、IPAがかかわった事例でもコードの修正が長期化しているケースが少なくない。そこでWAF導入促進を目的に、同解説資料を編さんした。
全50ページに、KISA(Korea Internet&Security Agency)、OWASP(Open Web Application Security Project)、WASC(Web Application Security Consortium)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイントがまとめられている。
具体的に第1章では、ウェブアプリケーションへの攻撃および脆弱性対策の実情、各機関におけるWAFに関する取り組みを紹介。第2章では、WAFに関する概要を紹介。第3章では、WAFの機能と各機能の留意点を紹介。第4章では、WAFを導入する際の「事前検討」「導入」「運用」の各フェーズで検討すべきポイントを紹介。付録として、オープンソースのWAFと商用のWAFを紹介している。
関連情報
(川島 弘之)
2010/2/16 19:29
-ページの先頭へ-