水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WAF読本

WAF読本

2010年2月17日(水曜日)

WAF読本

公開: 2010年2月21日22時0分頃

「Web Application Firewall 読本」というものが出たそうで。

少し気になったのは、2.4の「WAFが有効な状況」というところ。WAFが有効な状況として、以下の2点が挙げられています。

これだけだと、WAFが役に立つのはアプリケーションの改修ができない場合だけであって、アプリケーションを開発した人が修正対応をしてくれる場合には不要、と読めますね。もっと言うと、「開発者がだらしない場合WAFが必要」「開発者がしっかりしていればWAFは不要」と読めます。

しかし実際には、しっかり付き合ってくれる開発者がいても、WAFが役に立つ局面があります。典型的な例は、実際にSQLインジェクションなどの攻撃を受けた場合です。当然、修正対応を行うわけですが、全ての脆弱性をつぶしきるまでには時間がかかる場合もあるでしょう。そのような場合、とりあえずWAFで攻撃を止めつつ修正を進める、という選択をすることもできます。特に、ツールによるSQLインジェクションの攻撃はパターンがよく知られていることもあり、WAFで防ぐのは比較的容易です。

※実際にそういう対応をした企業があります。ただし、一部の通常アクセスも止めてしまう場合があるので、そこは理解した上で使うべきです。

Webサイトを構築する側としては、当然、脆弱性が無いように心がけますが、それでも100%安全とは断言できません。何かあったときのためにWAFを用意しておくというのは悪い選択ではないと思います。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト