2010年2月17日(水曜日)
WAF読本
公開: 2010年2月21日22時0分頃
「Web Application Firewall 読本」というものが出たそうで。
- IPA、WAFの導入方法を解説する資料を公開 (www.itmedia.co.jp)
- 情報処理推進機構:情報セキュリティ:脆弱性対策 : 「Web Application Firewall 読本」を公開 (www.ipa.go.jp)
- 情報処理推進機構:情報セキュリティ:脆弱性対策:Web Application Firewall 読本 (www.ipa.go.jp)
少し気になったのは、2.4の「WAFが有効な状況」というところ。WAFが有効な状況として、以下の2点が挙げられています。
- 開発者にウェブアプリケーションの改修を依頼できない状況
- 改修できないウェブアプリケーションに脆弱性が発見された状況
これだけだと、WAFが役に立つのはアプリケーションの改修ができない場合だけであって、アプリケーションを開発した人が修正対応をしてくれる場合には不要、と読めますね。もっと言うと、「開発者がだらしない場合WAFが必要」「開発者がしっかりしていればWAFは不要」と読めます。
しかし実際には、しっかり付き合ってくれる開発者がいても、WAFが役に立つ局面があります。典型的な例は、実際にSQLインジェクションなどの攻撃を受けた場合です。当然、修正対応を行うわけですが、全ての脆弱性をつぶしきるまでには時間がかかる場合もあるでしょう。そのような場合、とりあえずWAFで攻撃を止めつつ修正を進める、という選択をすることもできます。特に、ツールによるSQLインジェクションの攻撃はパターンがよく知られていることもあり、WAFで防ぐのは比較的容易です。
※実際にそういう対応をした企業があります。ただし、一部の通常アクセスも止めてしまう場合があるので、そこは理解した上で使うべきです。
Webサイトを構築する側としては、当然、脆弱性が無いように心がけますが、それでも100%安全とは断言できません。何かあったときのためにWAFを用意しておくというのは悪い選択ではないと思います。
- 「WAF読本」にコメントを書く
関連する話題: セキュリティ
- 前(古い): 2010年2月16日(Tuesday)のえび日記
- 次(新しい): 2010年2月18日(Thursday)のえび日記
