IPAはウェブサイトの運用面での脆弱性対策の一つとしてWeb Application Firewall（ウェブ・アプリケーション・ファイアウォール、WAF）が有効と考えています。
　しかし、IPAが企業に被害状況調査^(*1)をおこなったところ、WAFを「導入済み」と回答した企業は全体の25.8%に留まるなど、WAFの導入が進んでいない状況が明らかになりました。この背景には、「WAFの導入に関する情報が少なく、WAFの導入における費用や工数がわからないため、他のセキュリティ施策と費用対効果を比較できない」という運営者の課題があることがわかりました^(*2)。
　そこでIPAでは、WAFベンダー9社の協力のもと、WAFの導入におけるポイントを具体化し、IPAにおけるWAFの導入事例を追加した「Web Application Firewall（WAF）読本 改訂第2版」を編さんしました。
　改訂第2版では、ウェブサイト運営者がWAFの導入を検討する際に必要な情報に加えて、WAFの導入・運用の具体的な流れ、導入する際の検討内容や注意事項を理解できるよう、IPAにおけるオープンソースソフトウェアWAF導入の経験^(*3) を踏まえ、「WAF導入におけるポイント」にある3つの大きな工程をさらに10項目の工程に細分化して要点をまとめ、この要点に沿った導入の実例を紹介するなど、46ページの加筆を行いました。
　IPAとしては、本書が広くウェブサイト運営者に閲読され、運用面での脆弱性対策の一つとしてWAFの導入が進むことを期待します。
　本資料（全96ページ）は、次のURLよりダウンロードできます。
　http://www.ipa.go.jp/security/vuln/waf.html

　「4章.WAF導入におけるポイント」を導入から運用までの流れに沿って具体化しました。「導入判断」、「導入」、「運用」という3つの工程を10個の項目に細分化し、要点をまとめました。

　IPAがオープンソースソフトウェアのWAF「ModSecurity」を導入し、運用した経緯を「5章. IPAにおけるWAF導入・運用事例」として新たに加筆しました。

　根本的な脆弱性対策と比べてWAFの導入が有効な状況を整理し、拡充しました。

(*1)「2009年 国内における情報セキュリティ事象被害状況調査」 p.30 図3.2-12が該当します。
　　　http://www.ipa.go.jp/security/fy21/reports/isec-survey/index.html

(*2)IPAがウェブサイト運営者にヒアリングをおこなった結果、明らかになりました。

(*3)IPAでは、「JVN iPedia」（ http://jvndb.jvn.jp ）にオープンソースソフトウェアのWAF「ModSecurity」を導入しました。

• プレスリリース全文 (PDFファイル 113KB)
• 別紙資料 (PDFファイル 126KB)

IPA セキュリティセンター　大森／勝海／甲斐根
Tel: 03-5978-7527　Fax: 03-5978-7518
E-mail:

IPA 戦略企画部広報グループ　横山／大海
Tel: 03-5978-7503　Fax: 03-5978-7510
E-mail: