Web Application Firewall 読本
WAFの概要、機能の詳細、導入におけるポイント等をまとめた手引書
最終更新日 2010年5月12日
独立行政法人 情報処理推進機構
セキュリティセンター
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトの脆弱性の修正作業が長期化している事例が少なくないことから、ウェブサイト運営者がWeb Application Firewall(ウェブ・アプリケーション・ファイアウォール、WAF)を導入する際の参考となる解説資料「Web Application Firewall 読本」を2010年2月16日(火)からIPAのウェブサイトで公開しました。
「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*1)やOWASP(*2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。
第1章では、「WAFによるウェブアプリケーションの脆弱性対策」として、ウェブアプリケーションへの攻撃および脆弱性対策の実情、各機関におけるWAFに関する取り組みを紹介しています。
第2章では、「WAFの概要」として、WAFに関する概要をまとめています。この章では、WAFとはどのようなものであるかを解説しています。
第3章では、「WAFの詳細」として、WAFの機能をまとめています。この章では、WAFにはどのような機能があり、その機能にどのような留意点があるかを解説しています。
第4章では、「WAF導入におけるポイント」として、WAFを導入する際の「事前検討」・「導入」・「運用」の各フェーズにおける検討すべきポイントをまとめています。
付録では、オープンソースソフトウェアのWAF、および商用製品のWAFを紹介しています。
資料のダウンロード
参考情報
謝辞
本資料の作成には次の方々にもご協力いただきました。
- (独)産業技術総合研究所 情報セキュリティ研究センター
- (株)ジェイピー・セキュア
- (株)日立製作所
脚注
(*1)Korea Internet & Security Agency。韓国において情報セキュリティの促進を担う政府機関「韓国インターネット振興院」。
(*2)Open Web Application Security Project。
http://www.owasp.org/
(*3)Web Application Security Consortium。
http://www.webappsec.org/
本件に関するお問い合わせ先
IPA セキュリティセンター 大森/勝海
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:
報道関係からのお問い合わせ先
IPA 戦略企画部広報グループ 横山/大海
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:
更新履歴
2010年5月12日 |
ダウンロード資料を第2刷へ更新。 |
|---|---|
2010年2月16日 |
掲載。 |