HOME >> 情報セキュリティ >> 脆弱性対策 >> 「Web Application Firewall 読本」を公開

「Web Application Firewall 読本」を公開

WAFの概要、機能の詳細、導入におけるポイント等をまとめた手引書

2010年2月16日
独立行政法人 情報処理推進機構
セキュリティセンター

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトの脆弱性の修正作業が長期化している事例が少なくないことから、ウェブサイト運営者がWeb Application Firewall(ウェブ・アプリケーション・ファイアウォール、WAF)を導入する際の参考となる解説資料「Web Application Firewall 読本」を2010年2月16日(火)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/waf.html

 Web Application Firewall(WAF)は、ウェブアプリケーション(*1)の脆弱性(*2)を悪用した攻撃などからウェブアプリケーションを保護するソフトウェア、またはハードウェアです。WAFは脆弱性を修正するといったウェブアプリケーションの実装面での根本的な対策ではなく、攻撃による影響を低減する対策となります。WAFは、WAFを導入したウェブサイト運営者が設定する検出パターンに基づいて、ウェブサイトと利用者間の通信の中身を機械的に検査します(図1)。WAFを使用することで以下の効果を期待できます。

  • 脆弱性を悪用した攻撃からウェブアプリケーションを防御する
  • 脆弱性を悪用した攻撃を検出する
  • 複数のウェブアプリケーションへの攻撃をまとめて防御する

図1.WAFの動作概要図

図1.WAFの動作概要図

 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*3)やOWASP(*4)、WASC(*5)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。

 近年、SQLインジェクション攻撃(*6)などウェブサイトを狙った攻撃が継続(*7)しています。既に作り込んでしまったウェブサイトの脆弱性については、「原因を作らない実装」へ修正する根本的解決が必要です。しかし、IPAが届出(*8)を受けたウェブサイトの脆弱性に関しては、IPAがそれぞれのウェブサイト運営者へ脆弱性対策実施を促していますが、脆弱性の修正が長期化している事例が少なくありません(*9)。このため、IPAでは、ウェブサイトを保護する運用面での方策の一つであるWAFの導入促進を目的として本解説資料の編さんを実施しました。

 韓国ではKISAが、WAFの普及に取り組んでおり、ウェブサイトのセキュリティ対策として効果を挙げている事例もあります。また、クレジット業界における国際的なセキュリティ基準PCI-DSS(*10)では、2008年7月から「定期的なアプリケーションコードの見直し」または「WAFの導入」のどちらかが必須要件となりました。また、ISO/IEC 15408(*11)に基づいて評価・認証されたWAFが中小企業等基盤強化税制の対象になることが検討される(*12)など注目を集めています。

 本資料が、WAFの検討や導入の一助となることを期待します。

「Web Application Firewall 読本」各章の内容:
 第1章では、「WAFによるウェブアプリケーションの脆弱性対策」として、ウェブアプリケーションへの攻撃および脆弱性対策の実情、各機関におけるWAFに関する取り組みを紹介しています。
 第2章では、「WAFの概要」として、WAFに関する概要をまとめています。この章では、WAFとはどのようなものであるかを解説しています。
 第3章では、「WAFの詳細」として、WAFの機能をまとめています。この章では、WAFにはどのような機能があり、その機能にどのような留意点があるかを解説しています。
 第4章では、「WAF導入におけるポイント」として、WAFを導入する際の「事前検討」・「導入」・「運用」の各フェーズにおける検討すべきポイントをまとめています。
 付録では、オープンソースソフトウェアのWAF、および商用製品のWAFを紹介しています。

 本資料(全50ページ)は、次のURLよりダウンロードの上、ご参照ください。 http://www.ipa.go.jp/security/vuln/waf.html

参考情報

 内閣官房をはじめとして、関係省庁及び政府関係機関では2010年2月を「情報セキュリティ月間」として、情報セキュリティに関する普及啓発活動を官民連携の下に行っています。IPAはこの活動に協力しています。
http://www.ipa.go.jp/security/event/2009/security-month.html

謝辞

本資料の作成には次の方々にもご協力いただきました。

  • (独)産業技術総合研究所 情報セキュリティ研究センター
  • (株)ジェイピー・セキュア
  • (株)日立製作所

脚注

(*1)ウェブサイトで稼動するシステムです。一般に、Java, PHP, Perlなどの言語を利用して開発され、サイトを訪れた利用者に対して動的なページの提供を実現しています。

(*2)ウェブアプリケーション等におけるセキュリティ上の弱点。コンピュータ不正アクセスやコンピュータウイルス等により、この弱点が攻撃されることで、そのウェブアプリケーションの本来の機能や性能を損なう原因となり得るもの。また、個人情報等が適切なアクセス制御の下に管理されていないなど、ウェブサイト運営者の不適切な運用により、ウェブアプリケーションのセキュリティが維持できなくなっている状態も含まれます。

(*3)Korea Internet & Security Agency。韓国において情報セキュリティの促進を担う政府機関「韓国インターネット振興院」。

(*4)Open Web Application Security Project。
http://www.owasp.org/

(*5)Web Application Security Consortium。
http://www.webappsec.org/

(*6)SQLインジェクションとは、データベースと連携したウェブアプリケーションに、データベースへの命令文の組み立て方法に問題があるとき、データベースを不正に操作されてしまう問題です。これにより、ウェブサイトから重要情報が漏洩したり、ウェブサイトの情報が書き換えられたりといった被害を受ける場合があります。詳細は「知っていますか?脆弱性(ぜいじゃくせい)」を参照下さい。
http://www.ipa.go.jp/security/vuln/vuln_contents/sql.html

(*7)ウェブサイトを狙った攻撃に関する注意喚起。
http://www.ipa.go.jp/security/vuln/documents/2009/200908_attack.html
ソフトウェア等の脆弱性関連情報に関する届出状況の2.3節「ウェブサイトを狙った攻撃に関する注意喚起」。
http://www.ipa.go.jp/security/vuln/report/vuln2009q4.html#L23

(*8)IPAセキュリティセンターでは、経済産業省の告示に基づき、脆弱性情報に関する届出を受け付けています。「脆弱性関連情報の届出」を参照下さい。
http://www.ipa.go.jp/security/vuln/report/index.html

(*9)ソフトウェア等の脆弱性関連情報に関する届出状況の2.2節「ウェブサイトの脆弱性で90日以上対策が未完了のものは551件」。
http://www.ipa.go.jp/security/vuln/report/vuln2009q4.html#L22

(*10)Payment Card Industry Data Security Standard。
https://www.pcisecuritystandards.org/

(*11)ITセキュリティ評価及び認証制度(JISEC)。
http://www.ipa.go.jp/security/jisec/index.html

(*12)平成22年度税制改正要望の結果概要。
http://www.soumu.go.jp/main_content/000048760.pdf

本件に関するお問い合わせ先

IPA セキュリティセンター 大森/勝海
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:電話番号:03-5978-7501までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部広報グループ 横山/大海
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:電話番号:03-5978-7501までお問い合わせください。

更新履歴

2010年2月16日
掲載。