第3話 WAF編〜特集:漫画でわかるセキュリティ入門〜

3匹の子豚 大人も知らないネットセキュリティ WAF編01

3匹の子豚 大人も知らないネットセキュリティ WAF編02

いかがでしたか?
WAFに関して以下に関連するワードを改めて解説いたします。

WAFとは

WAFとはWeb Application Firewallの略称で、従来のファイアウォール(Firewall)では防げないWebアプリケーションに対する不正な攻撃を防御するセキュリティシステム。
ECやインターネットバンキングやサブスクリプションモデルのサービス、CMSといったWebアプリケーションとして作成されたプログラムの脆弱性をついた攻撃に対して有効です。

今回の3匹の子豚WAF編の例で言うと、誰でも壊せそうなピッキングが簡単にできる鍵がWebアプリケーションの脆弱性にあたり、第1話のファイアウォールや第2話のIPS/IDSでも防ぐことができません。そこで、ディンプルキーと言った簡単にピッキングができない鍵に変えて、侵入を防ぐと言う点がWAFにあたります。

家の中が企業などの社内ネットワーク(いわゆるLAN)になり、家の外がインターネット(いわゆるWAN)になり、外部の脅威や不正が狼になります。許可された豚は自由に外と中を行き来できるのに対し、狼は中に入ることはおろか中の様子を見ることもできません。

WAFで防ぐことができるネット上の驚異・不正アクセスの例

バッファオーバフロー

悪意ある第三者が標的のコンピューターに許容量以上のデータを送りつけて、コンピューターが誤作動を起こした後に、コンピューターを乗っ取る攻撃

クロスサイトスクリプティング

TwitterなどのSNSや掲示板等の動的WEBサイトに対して、不正なスクリプトを挿入する攻撃。
スクリプトが挿入されたページにアクセスした後別のWEBサイト(クロスサイト)に対し、悪意を持った内容が含まれた通信が実行される。

SQLインジェクション

データベースの言語であるSQLを使って、Webアプリケーションの入力画面で不適切なSQLを入力し、アプリケーションが想定していない動作を実行させる攻撃

セッションハイジャック

Webサイトのユーザーセッションを乗っ取る攻撃。
乗っ取った結果、ユーザーに成りすましてWebサイトにアクセスし、個人情報の閲覧や不正送金などを行うことができる。

さてさて、次の「3匹の子豚 大人も知らないインターネットセキュリティ」は「認証サービス編」です。「認証サービス編」は現在制作中のため公開され次第改めて告知いたします。今しばらくお待ちください。

おすすめ記事

  1. 不正アクセスの手口とは?2019年の不正アクセス行為の発生状…
  2. 生体認証だけでは不正アクセスは防げない?決して完璧ではない理…
  3. テレワーク時代における効果的なセキュリティ対策について
  4. なりすましによる不正アクセスの被害内容と具体的な対策(不正検…
  5. QRコード決済からのカード情報の不正流出と不正利用防止対策に…
  1. チャージバック

    クレジットカードの悪用に伴うチャージバック。事業者への影響や対策を解説
  2. 3Dセキュア

    3Dセキュアの仕組みを理解しよう。3Dセキュア2.0の仕組み・効果も解説
  3. チャージバック

    クレジットカード決済とチャージバックの関係性
  4. 3Dセキュア

    キャッシュレス決済の安全性を高める3Dセキュア
  5. ニュース・業界動向

    IPA(独立行政法人情報処理推進機構)が「情報セキュリティ10大脅威 2020」…
PAGE TOP