WAFの解説と、選定に際しての着眼点。
原文を見ると、後編は、WAFのべきとべからず集、になるらしい。
出典は「CSO Online」なのに、日本ではCIOにくくらないといけないのね。
Webアプリケーションへの攻撃をいかに阻止するか?(前編)|巧妙化する攻撃への有効策として普及が進む「Webアプリケーション・ファイアウォール」。製品選定に際しての着眼点はココだ! – CIO Online
現在、WAFが導入される主な理由は2つある。1つは、PCIデータ・セキュリティ基準(PCI DSS:Payment Card Industry Data Security Standard)において、一般公開されているWebアプリケーションは、コード・レビューの実施か、もしくはWAFにより、既知の攻撃から保護することがセキュリティ要件として定められていることだ。もう1つは、セキュリティ攻撃の対象がネットワーク・レイヤからアプリケーション・レイヤに移行しているという認識が高まっていることである。なお、ホワイトハット・セキュリティが2006年1月から2008年12月までの3年間に行った877のWebサイトの評価調査では、82%のWebサイトに深刻度が「高い」、「重大」、あるいは「緊急」の問題が1つ以上あることが明らかになっている。
WAFが備えているべき特徴
●HTTP通信の完全な解析が可能
●ポジティブ・セキュリティ・モデルの提供
●アプリケーション・レイヤに対応したルールを持つ(SQLインジェクションなどの攻撃のあらゆる亜種を検出できる汎用的なルール)
●セッション・ベースの攻撃からの保護が可能
●きめ細かなポリシー管理が可能
OWASPが挙げるWAF製品の選定基準
●誤検出がほとんどない(正当なリクエストを決して拒否しない)
●初期設定状態でも強力な防御機能を発揮する
●堅固なセキュリティ設定が可能な動作モードと、設定の容易な動作モードが用意されている
●防御できる脆弱性の種類が多い
●個々のユーザー・セッションの改竄を防げる
●緊急パッチなどによって問題が生じないよう設定できる
●ソフトウェアかハードウェアとして提供される(一般にハードウェアが好まれる)