いかがでしたか?
WAFに関して以下に関連するワードを改めて解説いたします。
WAFとは
WAFとはWeb Application Firewallの略称で、従来のファイアウォール(Firewall)では防げないWebアプリケーションに対する不正な攻撃を防御するセキュリティシステム。
ECやインターネットバンキングやサブスクリプションモデルのサービス、CMSといったWebアプリケーションとして作成されたプログラムの脆弱性をついた攻撃に対して有効です。
今回の3匹の子豚WAF編の例で言うと、誰でも壊せそうなピッキングが簡単にできる鍵がWebアプリケーションの脆弱性にあたり、第1話のファイアウォールや第2話のIPS/IDSでも防ぐことができません。そこで、ディンプルキーと言った簡単にピッキングができない鍵に変えて、侵入を防ぐと言う点がWAFにあたります。
家の中が企業などの社内ネットワーク(いわゆるLAN)になり、家の外がインターネット(いわゆるWAN)になり、外部の脅威や不正が狼になります。許可された豚は自由に外と中を行き来できるのに対し、狼は中に入ることはおろか中の様子を見ることもできません。
WAFで防ぐことができるネット上の脅威・不正アクセスの例
バッファオーバーフロー
悪意ある第三者が標的のコンピューターに許容量以上のデータを送りつけて、コンピューターが誤作動を起こした後に、コンピューターを乗っ取る攻撃。
クロスサイトスクリプティング
TwitterなどのSNSや掲示板等の動的Webサイトに対して、不正なスクリプトを挿入する攻撃。
スクリプトが挿入されたページにアクセスした後別のWebサイト(クロスサイト)に対し、悪意を持った内容が含まれた通信が実行される。
SQLインジェクション
データベースの言語であるSQLを使って、Webアプリケーションの入力画面で不適切なSQLを入力し、アプリケーションが想定していない動作を実行させる攻撃。
セッションハイジャック
Webサイトのユーザーセッションを乗っ取る攻撃。
乗っ取った結果、ユーザーに成りすましてWebサイトにアクセスし、個人情報の閲覧や不正送金などを行うことができる。
さてさて、次の「3匹の子豚 大人も知らないインターネットセキュリティ」は「認証サービス編」です。