WAFがあればアプリケーションの問題を無害化

サイト運営者のためのセキュリティ対策として、WAFの導入があります。それについての解説をします。

WAFがあればアプリケーションの問題を無害化

サイト運営者のためのWAF基礎知識

SQLインジェクションやクロスサイトスクリプティングと言った、WEBアプリケーションやブラウザを経由した攻撃に対する、セキュリティ対策のひとつとしてWAFの導入があります。管理しているサイトが、レンタルサーバ会社である場合には、サーバ会社のサービスオプションとしてWAFがメニューに組み込まれている場合も多くあります。

自社サーバやVPSなどでサーバ自体をレンタルしているような場合には、独自に導入する必要がありますが、その場合は、アプライアンス製品かソフトウェア製品かのいずれかを選択することになります。WEBサーバがapacheの場合には、組み込み用のモジュールがあるのでそれを利用するのも良いでしょう。

また導入後には、そのWAFが採用するセキュリティモデルに応じて、許可する通信を記述したホワイトリストか、あるいは許可しない通信を記述したブラックリストを登録して、監視する通信を設定します。いずれの方法も導入にはそれなりの手間が必要ですが、十分な見返りがあると言えるでしょう。

Copyright (C)2019WAFがあればアプリケーションの問題を無害化.All rights reserved.