HOME情報セキュリティ情報セキュリティ対策脆弱性対策Web Application Firewall 読本

本文を印刷する

情報セキュリティ

Web Application Firewall 読本

WAFの概要、機能の詳細、導入におけるポイント等をまとめた手引書

 2019年3月28日に、「Web Application Firewall 読本」の補足資料として、「Web Application Firewallの導入に向けた検討項目」を公開しました。 こちらは、WAFの導入を検討されている方、既に導入済みで運用を見直したい方向けに、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、 運用の際にどのような体制が必要かを解説しております。

概要

「Web Application Firewall 読本」

 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*1)やOWASP(*2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。

 第1章では、「WAFによるウェブアプリケーションの脆弱性対策」として、ウェブアプリケーションへの攻撃および脆弱性対策の実情、各機関におけるWAFに関する取り組みを紹介しています。

 第2章では、「WAFの概要」として、WAFに関する概要をまとめています。この章では、WAFとはどのようなものであるかを解説しています。

 第3章では、「WAFの詳細」として、WAFの機能をまとめています。この章では、WAFにはどのような機能があり、その機能にどのような留意点があるかを解説しています。

 第4章では、「WAF導入におけるポイント」として、WAFを導入する際の「導入判断」・「導入」・「運用」の各フェーズにおける検討すべきポイントをまとめています。

 第5章では、「IPAにおけるWAF導入・運用事例」として、IPAにおけるオープンソースWAF「ModSecurity」の導入および運用事例をまとめています。

 付録では、オープンソースソフトウェアのWAF、および商用製品のWAFを紹介しています。


「Web Application Firewallの導入に向けた検討項目」

 「Web Application Firewallの導入に向けた検討項目」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、運用の際にどのような体制が必要かを解説した資料です。

 第1章では、「WAFの製品・サービスについて」として、WAFにはどのような製品・サービスが存在するか、大別して3つの種類を紹介しています。

 第2章では、「製品・サービスの選択基準」として、3つの種類のWAFをどのような観点で選択すべきかについて、3つの観点から解説しています。

 第3章では、「製品・サービスの選択例」として、具体的な選択基準を示した表を紹介しています。

 第4章では、「WAFについて誤解されていること」として、WAFの利用を考えられている方が誤解していたり、WAFが適切に攻撃を検知するために必要な運用について解説しています。

資料のダウンロード

「Web Application Firewall 読本」 「Web Application Firewallの導入に向けた検討項目」

参考情報

謝辞

 「Web Application Firewall 読本」の作成には次の方々にもご協力いただきました。

  • (株)Imperva Japan.
  • NECシステムテクノロジー(株)
  • エヌ・ティ・ティ・データ・セキュリティ(株)
  • (株)ジェイピー・セキュア
  • (株)セキュアスカイ・テクノロジー
  • (株)ソリトンシステムズ
  • (株)ネットファイア
  • (株)日立情報システムズ
  • マクニカネットワークス(株)
    (9社、五十音順)

 「Web Application Firewallの導入に向けた検討項目」の作成には次の方にご協力いただきました。

  • (株)ジェイピー・セキュア
 

脚注

(*1)Korea Internet & Security Agency。韓国において情報セキュリティの促進を担う政府機関「韓国インターネット振興院」。

(*2)Open Web Application Security Project。
http://www.owasp.org/

(*3)Web Application Security Consortium。
http://www.webappsec.org/

本件に関するお問い合わせ先

IPA セキュリティセンター 熊谷/板橋
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:電話番号:03-5978-7501までお問い合わせください。

更新履歴

2019年3月28日
「Web Application Firewallの導入に向けた検討項目」を掲載。
2011年12月28日
ダウンロード資料(英語版含む)を第2版第3刷へ更新。
2011年5月12日
ダウンロード資料を第2版第2刷へ更新。
2011年2月28日
改訂第2版を掲載。
2011年2月22日
英語版を掲載。
2010年10月8日
ダウンロード資料を第3刷へ更新。
2010年5月12日
ダウンロード資料を第2刷へ更新。
2010年2月16日
掲載。