IPA、「Web Application Firewall(WAF)読本 改訂第2版」を公開
IPA(独立行政法人情報処理推進機構)は2月28日、Web Application Firewall(以下WAF)の導入・運用における要点を拡充し、実例を紹介した「Web Application Firewall(WAF)読本 改訂第2版」をIPAサイトで無償公開した。
IPAではウェブサイト運営における脆弱性対策の1つとしてWAFが有効と見ているが、IPAが企業に被害状況調査を行った結果、WAFを「導入済み」と回答した企業は全体の25.8%に留まり、WAFの導入が進んでいない状況が明らかになった。導入が進まない背景として「WAF導入に関する情報が少なく、WAFの導入における費用や工数がわからないため、他のセキュリティ施策と費用対効果を比較できない」という問題があることがわかったという。
このためIPAでは第2版編纂にあたり、WAFベンダー9社の協力を得て、WAF導入のおけるポイントを、導入から運用までの流れに沿って「導入判断」「導入」「運用」という3つの工程を10個の項目に細分化し、具体的に要点をまとめた。また、IPAがオープンソースソフトウェアのWAF「ModSecurity」を導入し、運用した経緯を「5章. IPAにおけるWAF導入・運用事例」として新たに追加した。これらの加筆により第2版は第1版から46ページ増え、全96ページとなっている。
WAFの動作概要図(IPA発表資料より) |