情報処理推進機構セキュリティセンター(IPA/ISEC)は2010年2月16日、「Web Application Firewall」(WAF)の特徴や導入方法などを解説したWebサイト運営者向け参考資料「Web Application Firewall読本」を公開した。IPAのWebサイトからダウンロードできる。
WAFは、Webアプリケーションの脆弱性を悪用した攻撃などからWebアプリケーションを保護するソフトウェアまたはハードウェア。脆弱性修正のような実装面での根本的な対策ではないが、Webサイトの脆弱性修正作業が長期化する事例が増えていることから、攻撃の影響を低減する運用面での対策の一つとして注目されている。
「読本」では、KISA(韓国インターネット振興院)、OWASP(Open Web Application Security Project)、WASC(Web Application Security Consortium)などのセキュリティ機関の取り組み、「WAFとはどのようなものであるか」の解説、機能とその留意点の解説、導入する際の「事前検討」・「導入」・「運用」の各フェーズで検討すべきポイントを収録した。
また付録として、オープンソースソフトウェアのWAF「ModSecurity」「WebKnight」と、商用製品のWAFを紹介した。PDF形式で、50ページ。
Web Application Firewall読本
http://www.ipa.go.jp/security/vuln/waf.html