PIED_PIPER’s diary

ネットワークエンジニア視点からの Web Security, WAF についてのブログです.

WAF は何を何から守るのか? OWASP Top 10 ?

OSI 階段を登ってきた人にとっては WAF が具体的に何を何から守っているのか,イメージがつきにくいのではないだろうか?(わたしはそうでした).

スイッチでセキュリティといったら,ポートセキュリティや IEEE802.1x をイメージすると思います.

ルータでセキュリティといったら,ACL や reverse path forwarding とか思い浮かべるのではないでしょうか.

L4 FW なら ACL など L3/L4 のポリシーでしょう.

ここまでは所謂ネットワークの世界なので,たとえ具体的に製品を扱ったことがなくても,ネットワークエンジニアであればイメージが持てると思います.

さて,WAF ですが,WAF が Web Application Firewall というように,ウェブアプリケーションの保護に特化したネットワーク機器です.具体的に言うと,SQL Injection, Cross Site Scripting, Path Traversal などなど,ウェブアプリケーション自体やその背後で動作しているデータベースから情報を盗んだり,悪用されることを防ぐのが WAF です.

それでは,世の中にはどのような攻撃手法があって,WAF はどの攻撃に対応していれば良いのか? そこで OWASP Top 10.OWASP とは About The Open Web Application Security Project といい,ウェブ上のセキュリティ問題解決を目的とした国際的なオープンコミュニティです.その中のプロジェクトの一つとして,Top 10 Project というものがあり,毎年攻撃手法の Top 10 ランキングを発表しています.多くの WAF ベンダーは OWASP Top 10 攻撃に対応していることを謳っていると思います.

 

Category:OWASP Top Ten Project - OWASP