昨日、IPA(独立行政法人 情報処理推進機構)より「Web Application Firewall(WAF)読本 改訂第2版」が公開されました。
この資料のサブタイトルが「Web Application Firewallを理解するための手引き」。今までこのブログのDTSのWAFの説明の中でも言ってきた様々なことも掲載されているようです。
実際にWAFを導入する前の資料として、これほどうってつけのものは無いと思われますので、まずはぜひともダウンロードしてみてください。
さてこの資料の中でやはり気になった箇所があります。
まさに、我々がDTSのWAFを説明する時に何度も言ってきたことですね。そして、実際には「事前に防御したい攻撃」がわかっていない、突如として未知の攻撃を受けることがあるわけです。
これに付随して、こんな箇所もチェックしてみてください。
ブラックリストによる攻撃防御の不安についても、このブログやセミナーなどで様々な形でご説明してきました。
つまり、DTSのWAFはこういった「導入する前に検証しなければならない・検証したとしても未知の攻撃からの防御は不明」なWAFではなく、ブラックリストも不要で、未知の攻撃の防御も可能なWAFであるわけです。
「Web Application Firewall(WAF)読本 改訂第2版」
DTSのWAF関連記事
□DTSのWAF(SWAF)と、GAPSはアルゴリズムが異なります。
□「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」
□Twitter〜Webアプリケーションレイヤーの脆弱性を実感してしまった夜
□DTS の WAF を最もシンプルなFAQ形式で
この資料のサブタイトルが「Web Application Firewallを理解するための手引き」。今までこのブログのDTSのWAFの説明の中でも言ってきた様々なことも掲載されているようです。
実際にWAFを導入する前の資料として、これほどうってつけのものは無いと思われますので、まずはぜひともダウンロードしてみてください。
さてこの資料の中でやはり気になった箇所があります。
4.1.1.導入検討(資料より引用)
「脆弱性を狙った攻撃の種類によっては、WAF で防御できない可能性があります」
「事前に防御したい脆弱性を悪用する攻撃を、WAF で防御できるか調査します。」
まさに、我々がDTSのWAFを説明する時に何度も言ってきたことですね。そして、実際には「事前に防御したい攻撃」がわかっていない、突如として未知の攻撃を受けることがあるわけです。
これに付随して、こんな箇所もチェックしてみてください。
3.3.1. 「検査機能」における偽陽性(false positive)・偽陰性(false negative)(資料より引用)
「ブラックリスト」における留意
「の「ブラックリスト」のすべての検出パターンを有効にすると、偽陽性が発生する可能性があります。」
ブラックリストによる攻撃防御の不安についても、このブログやセミナーなどで様々な形でご説明してきました。
つまり、DTSのWAFはこういった「導入する前に検証しなければならない・検証したとしても未知の攻撃からの防御は不明」なWAFではなく、ブラックリストも不要で、未知の攻撃の防御も可能なWAFであるわけです。
「Web Application Firewall(WAF)読本 改訂第2版」
DTSのWAF関連記事
□DTSのWAF(SWAF)と、GAPSはアルゴリズムが異なります。
□「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」
□Twitter〜Webアプリケーションレイヤーの脆弱性を実感してしまった夜
□DTS の WAF を最もシンプルなFAQ形式で