コンテンツにスキップ

Web Application Firewall

出典: フリー百科事典『ウィキペディア（Wikipedia）』

これはこのページの過去の版です。ＫｏＺ (会話 | 投稿記録) による 2016年12月6日 (火) 07:52 （個人設定で未設定ならUTC）時点の版であり、現在の版とは大きく異なる場合があります。

(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)

Web Application Firewall（略称:WAF、ワフ）とは、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ^[1]。本頁では以下「WAF」と記述する。

概要

セキュリティ対策としては、ウェブアプリケーションの実装面での根本的な対策ではなく、あくまでも攻撃による影響を低減する運用面での対策となる^[1]。

ウェブアプリケーションそのものに脆弱性を作り込まないために対策も各種あるが、現実的にはウェブアプリケーションの脆弱性を悪用した攻撃は後を絶たない。また、脆弱性が発見された場合においても、ウェブサイト運営者側の事情から即時に脆弱性を修正できないという実情もある。このため、ウェブアプリケーションが攻撃の被害にあわないためのセキュリティ対策の一つとして、WAFの使用が有効だと考えられている^[1]。

導入の効果

WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。WAFを使用することで、以下の効果が期待できる^[1]。

脆弱性を悪用した攻撃からウェブアプリケーションを防御する。
脆弱性を悪用した攻撃を検出する。
複数のウェブアプリケーションへの攻撃をまとめて防御する。

検出パターンにクレジットカードの番号や個人番号といった特徴のある個人情報のパターンを設定することで、そういった個人情報が悪意のある人に送信されてしまうことを防ぐといった使い方もできる^[1]。

類似機能との違い

WAFと類似する機能としてファイアウォール(FW)や、侵入防止システム(IPS)、侵入検知システム(IDS)があるが、防御可能な攻撃に違いがある^[2]。

FWで防御可能な攻撃の例

ポートスキャン

IPS/IDSで防御可能な攻撃の例

WAFで防御可能な攻撃の例

代表的なオープンソースソフトウェアのWAF

韓国インターネット振興院がオープンソースソフトウェアのWAFとして以下のソフトウェアを紹介している^[1]。

ModSecurity（英語版）（Trustwave（英語版））
WebKnight（AQTRONIX）^[3]

出典・脚注

^ ^a ^b ^c ^d ^e ^f “Web Application Firewall (WAF) 読本改訂第2版” (PDF). 情報処理推進機構 (2011年12月). 2016年12月6日閲覧。
^ “WAF、IPS/IDS、F/W(ファイアウォール)との違い”. シマンテック. 2016年12月6日閲覧。
^ “AQTRONIX WebKnight - Open Source Web Application Firewall (WAF) for IIS”. AQTRONIX. 2016年12月6日閲覧。

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

この項目は、インターネットやウェブに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

「https://ja.wikipedia.org/w/index.php?title=Web_Application_Firewall&oldid=62196310」から取得

隠しカテゴリ: