ScanNetSecurity - WAF導入の手引き

●WAFってなに？ WAFとは、Web Application Firewallの略称である。 Webアプリの普及と高機能化に伴って、それらをターゲットとする攻撃は年々増加の傾向にあるが、従来型のネットワークファイアウォールでは、サービスを行っていないポートへの外部からの接続をブロックするといった、低いレベルでの対策しか行えない。 Webアプリの脆弱性を狙った攻撃を正確に検知し防御するためには、アプリケーション層における通信内容を理解し、その妥当性を判断できる仕組みが必要なのである。 また、クレジットカード情報取り扱いのセキュリティ標準であるPCIDSSの要件6.6にも、WAFの設置もしくはアプリケーションのコードレビューの実施が明記されており、2008年7月から必須要件となるため、今後のWebアプリのセキュリティを語る上で欠かせない存在になりつつある。 ●最近の攻撃傾

[ysenda]

『WAFってなに？』

[TAKESAKO]

【【WAF独特の機能として出力内容のクローキングがある。これはWebサーバから出力されるHTMLの中身を解析しクレジット番号や個人情報にあたる情報が含まれていた場合これをマスキングあるいは除去してしまう機能】

[ockeghem]

『実は前述のSQLインジェクション攻撃は、WAFでなくとも、IDS/IPSを用いることで対策可能である』<然り。そしてWAFでは十分でない。このあたりがWAFのイマイチなところで、そのうちまとめたい「WAFがイマイチな×個の理由」