Web Application Firewall

Web Application Firewall（略称:WAF、ワフ）とはウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティの一種^[1]。WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。WAFを使用することで、以下の効果が期待できる^[1]。

脆弱性を悪用した攻撃からウェブアプリケーションを防御する。
脆弱性を悪用した攻撃を検出する。
複数のウェブアプリケーションへの攻撃をまとめて防御する。

検出パターンにクレジットカードの番号や個人番号といった特徴のある個人情報のパターンを設定することで、そういった個人情報が悪意のある人に送信されてしまうことを防ぐといった使い方もできる^[1]。

セキュリティ対策としては、ウェブアプリケーションの実装面での根本的な対策ではなく、あくまでも攻撃による影響を低減する運用面での対策となる^[1]。

ウェブアプリケーションそのものに脆弱性を作り込まないために対策も各種あるが、現実的にはウェブアプリケーションの脆弱性を悪用した攻撃は後を絶たない。また、脆弱性が発見された場合においても、ウェブサイト運営者側の事情から即時に脆弱性を修正できないという実情もある。このため、ウェブアプリケーションが攻撃の被害にあわないためのセキュリティ対策の一つとして、WAFの使用が有効だと考えられている^[1]。

WAFを導入する主なケースとして、レンタルサーバ提供ベンダーや、複数のグループ企業を束ねている大手企業など、直接自分で管理していないウェブアプリケーションを保護したい場合、他社が開発したウェブアプリケーションを利用しているなど自分では脆弱性を防ぐことができない場合、事業継続の観点からウェブアプリケーションを停止できず脆弱性を行ったりパッチを当てたりできない場合等があり^[2]、根本対策のコストよりもWAFの導入・運用のコストのほうが安い場合にWAFを導入する^[2]。

PCI-DSSでは、定期的なアプリケーションコードの見直しかWAFの導入のいずれかを行わなければならないと定められている^[3]。

^ ^a ^b ^c ^d ^e 引用エラー: 無効な <ref> タグです。「ipa」という名前の注釈に対するテキストが指定されていません
^ ^a ^b IPA 2011 Web Application Firewall 読本改訂第２版 pp.14-15, 33
^ IPA 2011 Web Application Firewall 読本改訂第２版 p8

[ipa-1] 引用エラー: 無効な <ref> タグです。「ipa」という名前の注釈に対するテキストが指定されていません

[:0-2] IPA 2011 Web Application Firewall 読本改訂第２版 pp.14-15, 33

[3] IPA 2011 Web Application Firewall 読本改訂第２版 p8

[1]

[2]

[3]

Web Application Firewall

From Wikipedia, the free encyclopedia · View on Wikipedia