IPA、WAFの導入ポイントをまとめた読本を公開

　独立行政法人情報処理推進機構（IPA）は2月16日、Webサイト運営者がWebアプリケーションファイアウォール（WAF）を導入する際の参考となる解説資料「WAF読本」を公開した。

　WAFは、Webアプリケーションの脆弱性を悪用した攻撃（SQLインジェクションなど）を遮断する技術。本来、こうした攻撃からWebサイトを保護するためには「原因を作らない実装」が望ましいのだが、IPAがかかわった事例でもコードの修正が長期化しているケースが少なくない。そこでWAF導入促進を目的に、同解説資料を編さんした。

　全50ページに、KISA（Korea Internet＆Security Agency）、OWASP（Open Web Application Security Project）、WASC（Web Application Security Consortium）などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイントがまとめられている。

　具体的に第1章では、ウェブアプリケーションへの攻撃および脆弱性対策の実情、各機関におけるWAFに関する取り組みを紹介。第2章では、WAFに関する概要を紹介。第3章では、WAFの機能と各機能の留意点を紹介。第4章では、WAFを導入する際の「事前検討」「導入」「運用」の各フェーズで検討すべきポイントを紹介。付録として、オープンソースのWAFと商用のWAFを紹介している。