« 「CRYPTRECシンポジウム2010」開催 | トップページ | ネットでIT政策議論 »

2010年2月17日 (水)

「Web Application Firewall 読本」公開

IPAセキュリティセンターのHPで、「Web Application Firewall 読本」が公開されてます。

さて、まずは「Web Application Firewall(WAF)」とは、

Web Application Firewall(WAF)は、ウェブアプリケーションの脆弱性を悪用した攻撃などからウェブアプリケーションを保護するソフトウェア、またはハードウェアです。WAFは脆弱性を修正するといったウェブアプリケーションの実装面での根本的な対策ではなく、攻撃による影響を低減する対策となります。WAFは、WAFを導入したウェブサイト運営者が設定する検出パターンに基づいて、ウェブサイトと利用者間の通信の中身を機械的に検査します。WAFを使用することで以下の効果を期待できます。

・脆弱性を悪用した攻撃からウェブアプリケーションを防御する
・脆弱性を悪用した攻撃を検出する
・複数のウェブアプリケーションへの攻撃をまとめて防御する

で、この読本は何を取り上げているかというと、

 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISAやOWASP、WASCなどの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。

  第1章では、「WAFによるウェブアプリケーションの脆弱性対策」として、ウェブアプリケーションへの攻撃および脆弱性対策の実情、各機関におけるWAFに関する取り組みを紹介しています。

 第2章では、「WAFの概要」として、WAFに関する概要をまとめています。この章では、WAFとはどのようなものであるかを解説しています。

 第3章では、「WAFの詳細」として、WAFの機能をまとめています。この章では、WAFにはどのような機能があり、その機能にどのような留意点があるかを解説しています。

 第4章では、「WAF導入におけるポイント」として、WAFを導入する際の「事前検討」・「導入」・「運用」の各フェーズにおける検討すべきポイントをまとめています。

 付録では、オープンソースソフトウェアのWAF、および商用製品のWAFを紹介しています。

読本は、こちら。

「Web Application Firewall 読本」

さて、WAFは通常のFirewallやIDS/IPSと機能や目的が違うことは、(いわゆる「内部統制ブーム」により脚光を浴びましたので)理解されてきたのでしょうか。
そして、導入と運用は、まだまだ難しいものではありますが・・・

|

« 「CRYPTRECシンポジウム2010」開催 | トップページ | ネットでIT政策議論 »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/33402756

この記事へのトラックバック一覧です: 「Web Application Firewall 読本」公開:

« 「CRYPTRECシンポジウム2010」開催 | トップページ | ネットでIT政策議論 »