Webアプリケーションの環境的問題を解決するためには,低レイヤーの保護から始めるのはいうまでもない。だが,それだけでは不十分である。レイヤー7,すなわちアプリケーション層のリスクを軽減するためには,そのレイヤーを理解し,強化機能,防御機能が提供する必要がある。そこに位置づけられるのが,WAF(Web Application Firewall)である。WAFは,論理的にはブラウザとWebサーバーの間に置かれるため,Webサーバーが受け取るHTTPリクエストをWAFが逆向きのプロキシとして受け取り,取捨選択を行なうという原理だ。 数多くのアプライアンスが既に市場に出回っている。Apacheの中にビルトインできるモジュールmod_securityは,オープンソースのWAFだということができる。それぞれで詳細な機能は異なるが,基本的には,リクエストの選別と,出力のフィルタリングにおける効果を期待で