写真●IPAが無償配布するWebサイト管理者向けのWebセキュリティ対策手引書「Web Application Firewall(WAF)読本 改訂第2版」(表紙)
写真●IPAが無償配布するWebサイト管理者向けのWebセキュリティ対策手引書「Web Application Firewall(WAF)読本 改訂第2版」(表紙)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)は2011年2月28日、Webサイト管理者向けのWebセキュリティ対策手引書「Web Application Firewall(WAF)読本 改訂第2版」(写真)の配布を始めた。IPAの配布用WebページからPDFファイルを無償でダウンロードできる。

 Web Application Firewall(WAF)読本は、Webアプリケーションを攻撃から防御するためのソフトであるWAFについて、基本的な仕組みから導入方法、運用における要点などを実例込みで体系的に学べる手引書。表紙を含め、全96ページで構成する。

 今回の改訂第2版では、オープンソースソフトウエアのWAF「ModSecurity」をIPAが自ら導入した際の経験などを踏まえて大幅な加筆を実施。IPAによれば、加筆したページ数は全体の約半分にあたる46ページに上るという。

 なお、ModSecurityを導入したのは、IPAとJPCERT コーディネーションセンター(JPCERT/CC)が共同で運営しているぜい弱性対策情報データベース「JVN iPedia」のWebサイト。2010年6月に導入のための検討を始め、同年9月から運用を始めたとしている。

 JVN iPediaへWAFを導入した理由については、「2010年にWebサイト運営者向けセキュリティ対策セミナーを開催したところ、『WAFを日本語で紹介している文献が少ない』、『WAFの導入事例がないため、導入に向けて何を検討していいか分からない』などの悩みがWebサイト管理者から寄せられた」(IPA)ためとする。そこで、IPA自らWAFを導入することでノウハウを蓄積し、情報を公開することにした。