IPA、WAFの導入ポイントをまとめた読本を公開


 独立行政法人情報処理推進機構(IPA)は2月16日、Webサイト運営者がWebアプリケーションファイアウォール(WAF)を導入する際の参考となる解説資料「WAF読本」を公開した。

 WAFは、Webアプリケーションの脆弱性を悪用した攻撃(SQLインジェクションなど)を遮断する技術。本来、こうした攻撃からWebサイトを保護するためには「原因を作らない実装」が望ましいのだが、IPAがかかわった事例でもコードの修正が長期化しているケースが少なくない。そこでWAF導入促進を目的に、同解説資料を編さんした。

 全50ページに、KISA(Korea Internet&Security Agency)、OWASP(Open Web Application Security Project)、WASC(Web Application Security Consortium)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイントがまとめられている。

 具体的に第1章では、ウェブアプリケーションへの攻撃および脆弱性対策の実情、各機関におけるWAFに関する取り組みを紹介。第2章では、WAFに関する概要を紹介。第3章では、WAFの機能と各機能の留意点を紹介。第4章では、WAFを導入する際の「事前検討」「導入」「運用」の各フェーズで検討すべきポイントを紹介。付録として、オープンソースのWAFと商用のWAFを紹介している。


関連情報


(川島 弘之)

2010/2/16 19:29