IPA、「Web Application Firewall（WAF）読本 改訂第2版」を公開

　IPA（独立行政法人情報処理推進機構）は2月28日、Web Application Firewall（以下WAF）の導入・運用における要点を拡充し、実例を紹介した「Web Application Firewall（WAF）読本 改訂第2版」をIPAサイトで無償公開した。

　IPAではウェブサイト運営における脆弱性対策の1つとしてWAFが有効と見ているが、IPAが企業に被害状況調査を行った結果、WAFを「導入済み」と回答した企業は全体の25.8％に留まり、WAFの導入が進んでいない状況が明らかになった。導入が進まない背景として「WAF導入に関する情報が少なく、WAFの導入における費用や工数がわからないため、他のセキュリティ施策と費用対効果を比較できない」という問題があることがわかったという。

　このためIPAでは第2版編纂にあたり、WAFベンダー9社の協力を得て、WAF導入のおけるポイントを、導入から運用までの流れに沿って「導入判断」「導入」「運用」という3つの工程を10個の項目に細分化し、具体的に要点をまとめた。また、IPAがオープンソースソフトウェアのWAF「ModSecurity」を導入し、運用した経緯を「5章. IPAにおけるWAF導入・運用事例」として新たに追加した。これらの加筆により第2版は第1版から46ページ増え、全96ページとなっている。

WAFの動作概要図（IPA発表資料より）