第3話 WAF編〜特集:漫画でわかるセキュリティ入門〜

3匹の子豚 大人も知らないネットセキュリティ WAF編01

3匹の子豚 大人も知らないネットセキュリティ WAF編02

いかがでしたか?
WAFに関して以下に関連するワードを改めて解説いたします。

WAFとは

WAFとはWeb Application Firewallの略称で、従来のファイアウォール(Firewall)では防げないWebアプリケーションに対する不正な攻撃を防御するセキュリティシステム。
ECやインターネットバンキングやサブスクリプションモデルのサービス、CMSといったWebアプリケーションとして作成されたプログラムの脆弱性をついた攻撃に対して有効です。

今回の3匹の子豚WAF編の例で言うと、誰でも壊せそうなピッキングが簡単にできる鍵がWebアプリケーションの脆弱性にあたり、第1話のファイアウォールや第2話のIPS/IDSでも防ぐことができません。そこで、ディンプルキーと言った簡単にピッキングができない鍵に変えて、侵入を防ぐと言う点がWAFにあたります。

家の中が企業などの社内ネットワーク(いわゆるLAN)になり、家の外がインターネット(いわゆるWAN)になり、外部の脅威や不正が狼になります。許可された豚は自由に外と中を行き来できるのに対し、狼は中に入ることはおろか中の様子を見ることもできません。

WAFで防ぐことができるネット上の脅威・不正アクセスの例

バッファオーバフロー

悪意ある第三者が標的のコンピューターに許容量以上のデータを送りつけて、コンピューターが誤作動を起こした後に、コンピューターを乗っ取る攻撃

クロスサイトスクリプティング

TwitterなどのSNSや掲示板等の動的WEBサイトに対して、不正なスクリプトを挿入する攻撃。
スクリプトが挿入されたページにアクセスした後別のWEBサイト(クロスサイト)に対し、悪意を持った内容が含まれた通信が実行される。

SQLインジェクション

データベースの言語であるSQLを使って、Webアプリケーションの入力画面で不適切なSQLを入力し、アプリケーションが想定していない動作を実行させる攻撃

セッションハイジャック

Webサイトのユーザーセッションを乗っ取る攻撃。
乗っ取った結果、ユーザーに成りすましてWebサイトにアクセスし、個人情報の閲覧や不正送金などを行うことができる。

 

 

さてさて、次の「3匹の子豚 大人も知らないインターネットセキュリティ」は「認証サービス編」です。

 

全話を無料でダウンロードはこちら

漫画3匹の子豚でわかる大人も知らないインターネットセキュリティ 無料ダウンロード

漫画でわかるどこよりもわかりやすいWebセキュリティ入門一覧に戻る

おすすめ記事

  1. ECサイトでの情報漏洩対策とは?どんなセキュリティ強化をする…
  2. 事業者が不正なチャージバックを防ぐ対策3つ!不正注文を防いだ…
  3. 個人情報漏洩時の3つの罰則規定を詳しく解説|企業の漏洩リスク…
  4. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策…
  5. ECサイトはセキュリティ対策が必須!導入時の重要なポイント5…
  1. 不正検知・ノウハウ

    EC事業者が対策したい「カゴ落ち」とは
  2. クレジットカード不正 手口

    不正アクセス

    リスクベース認証とは?仕組みやメリット・デメリットをまとめて解説!
  3. 3Dセキュア

    3Dセキュア導入のメリットとデメリット。クレジットカード決済を利用する場合は自社…
  4. 不正アクセス

    漫画でわかるどこよりもわかりやすいWebセキュリティ入門セミナー ~不正検知サー…
  5. ニュース・業界動向

    自作プログラムでIDを大量に不正取得。ヤフーポイント約9300万円相当の被害、詐…
PAGE TOP