情報処理安全確保支援士_WAF/FW
- WAF(Web Application Firewall)
Webアプリケーションの脆弱性をついた攻撃に対するセキュリティ対策の1つである。SQLインジェクションやクロスサイトスクリプティングといった攻撃を防ぐことができる。アプリケーション層レベルで対策できる。拒否する通信のアクセスパターンをシグネチャに定義するブラックリスト型と、許可する通信のアクセスパターンをシグネチャに定義するホワイトリスト型の2種類がある。
- WAFとIPS/IDS(Intruction Prevention System)との違い
IPSは不正侵入防止システムともいい、プラットフォームレベルでのセキュリティ対策を行うことができる。OSやミドルウェアの脆弱性を利用した攻撃や、ファイル共有サービスへの攻撃といった、様々な攻撃への対策が可能である。
IDSは不正侵入検知システムともいい、異常な通信を検知し報告するものである。Webアプリケーションに対しても制限することができるが、WAFに比べると機能は簡素であるので、Webアプリケーションの防御にはWAFを使用することが多い。
- WAFとFW(Fire Wall)との違い
ネットワークレベルでの対策であり、送信元・先情報をもとにしてアクセスを制限できる。FWは外部へ公開する必要がなく、例えば社内システムへの外部からのアクセスを制限するといったことができる。Webアプリケーションは外部へ公開する必要があるため、FWでは制限できない。
- FW
上で述べたように、ネットワークの協会に設置され、内外の通信を中継・監視し外部からの攻撃を防ぐソフトウェアやシステムのことである。
- ステートフルパケットインスペクション(SPI)
ルータやFWのセキュリティ機能の1つで、内外を出入りするパケットの情報を読み取って通信状態を把握し、外部から送信されたパケットが内部に通信できるかどうかを動的に判断する。まず外部に出ていく通信を記録しておき、その通信に矛盾する外部からの通信、つまり外に出ていっていない通信からの返答が来た場合は、不審なパケットとして破棄する。
- 参考URL
ステートフルパケットインスペクション(SPI)とは - IT用語辞典 e-Words