HOMEIPAについて新着情報プレス発表 「Web Application Firewall(WAF)読本 改訂第2版」を公開

本文を印刷する

IPAについて

プレス発表 「Web Application Firewall(WAF)読本 改訂第2版」を公開

2011年2月28日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、2011年2月28日、WAFの導入・運用における要点を拡充し、実例を紹介した「Web Application Firewall(WAF)読本 改訂第2版」をIPAのウェブサイトにて公開しました。
URL: http://www.ipa.go.jp/security/vuln/waf.html

概要

 IPAはウェブサイトの運用面での脆弱性対策の一つとしてWeb Application Firewall(ウェブ・アプリケーション・ファイアウォール、WAF)が有効と考えています。
 しかし、IPAが企業に被害状況調査(*1)をおこなったところ、WAFを「導入済み」と回答した企業は全体の25.8%に留まるなど、WAFの導入が進んでいない状況が明らかになりました。この背景には、「WAFの導入に関する情報が少なく、WAFの導入における費用や工数がわからないため、他のセキュリティ施策と費用対効果を比較できない」という運営者の課題があることがわかりました(*2)
 そこでIPAでは、WAFベンダー9社の協力のもと、WAFの導入におけるポイントを具体化し、IPAにおけるWAFの導入事例を追加した「Web Application Firewall(WAF)読本 改訂第2版」を編さんしました。
 改訂第2版では、ウェブサイト運営者がWAFの導入を検討する際に必要な情報に加えて、WAFの導入・運用の具体的な流れ、導入する際の検討内容や注意事項を理解できるよう、IPAにおけるオープンソースソフトウェアWAF導入の経験(*3) を踏まえ、「WAF導入におけるポイント」にある3つの大きな工程をさらに10項目の工程に細分化して要点をまとめ、この要点に沿った導入の実例を紹介するなど、46ページの加筆を行いました。
 IPAとしては、本書が広くウェブサイト運営者に閲読され、運用面での脆弱性対策の一つとしてWAFの導入が進むことを期待します。
 本資料(全96ページ)は、次のURLよりダウンロードできます。
 http://www.ipa.go.jp/security/vuln/waf.html

「改訂第2版」の主な改訂内容

1. 「WAF導入におけるポイント」を具体化

 「4章.WAF導入におけるポイント」を導入から運用までの流れに沿って具体化しました。「導入判断」、「導入」、「運用」という3つの工程を10個の項目に細分化し、要点をまとめました。

2. 「IPAにおけるWAF導入・運用事例」を新たに追加

 IPAがオープンソースソフトウェアのWAF「ModSecurity」を導入し、運用した経緯を「5章. IPAにおけるWAF導入・運用事例」として新たに加筆しました。

3. その他

 根本的な脆弱性対策と比べてWAFの導入が有効な状況を整理し、拡充しました。

脚注

(*1)「2009年 国内における情報セキュリティ事象被害状況調査」 p.30 図3.2-12が該当します。
   http://www.ipa.go.jp/security/fy21/reports/isec-survey/index.html

(*2)IPAがウェブサイト運営者にヒアリングをおこなった結果、明らかになりました。

(*3)IPAでは、「JVN iPedia」( http://jvndb.jvn.jp )にオープンソースソフトウェアのWAF「ModSecurity」を導入しました。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA セキュリティセンター 大森/勝海/甲斐根
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail:電話番号:03-5978-7527までお問い合わせください。

報道関係からの問い合わせ先

IPA 戦略企画部広報グループ 横山/大海
Tel: 03-5978-7503 Fax: 03-5978-7510
E-mail:電話番号:03-5978-7503までお問い合わせください。