写真●IPAが無償配布するWebサイト管理者向けのWebセキュリティ対策手引書「Web Application Firewall（WAF）読本 改訂第2版」（表紙）

[画像のクリックで拡大表示]

　情報処理推進機構（IPA）は2011年2月28日、Webサイト管理者向けのWebセキュリティ対策手引書「Web Application Firewall（WAF）読本 改訂第2版」（写真）の配布を始めた。IPAの配布用WebページからPDFファイルを無償でダウンロードできる。

　Web Application Firewall（WAF）読本は、Webアプリケーションを攻撃から防御するためのソフトであるWAFについて、基本的な仕組みから導入方法、運用における要点などを実例込みで体系的に学べる手引書。表紙を含め、全96ページで構成する。

　今回の改訂第2版では、オープンソースソフトウエアのWAF「ModSecurity」をIPAが自ら導入した際の経験などを踏まえて大幅な加筆を実施。IPAによれば、加筆したページ数は全体の約半分にあたる46ページに上るという。

　なお、ModSecurityを導入したのは、IPAとJPCERT コーディネーションセンター（JPCERT/CC）が共同で運営しているぜい弱性対策情報データベース「JVN iPedia」のWebサイト。2010年6月に導入のための検討を始め、同年9月から運用を始めたとしている。

　JVN iPediaへWAFを導入した理由については、「2010年にWebサイト運営者向けセキュリティ対策セミナーを開催したところ、『WAFを日本語で紹介している文献が少ない』、『WAFの導入事例がないため、導入に向けて何を検討していいか分からない』などの悩みがWebサイト管理者から寄せられた」（IPA）ためとする。そこで、IPA自らWAFを導入することでノウハウを蓄積し、情報を公開することにした。