Oktaのデモ動画を多数掲載 - コンテンツライブラリ デモを見る
無料トライアル お問い合わせ

Web Application (アプリケーション) ファイアウォールとは何ですか?定義と使用法

業界トップのアナリストが、OktaとAuth0をアイデンティティリーダーとして評価し続けている理由をご覧ください。

更新済み: 2024年08月29日 読了目安時間: ~

トピック

IT Management

目次

 

この記事は機械翻訳されました。

 

Web Application (アプリケーション) ファイアウォール (WAF) は、Web アプリケーション (アプリケーション) を一般的な攻撃から保護します。 WAFはスタンドアロンのセキュリティソリューションではなく、IT部門は他のツール(従来のファイアウォールなど)と組み合わせて使用されることがよくあります。 しかし、WAFは、アプリが脅威にさらされているときに時間を節約するのに役立ちます。

WAFとは?

Web Application (アプリケーション) ファイアウォール (WAF) は、Web アプリケーション (アプリケーション) を外部の脅威から保護するように設計されています。

Webアプリとは? アクセスしたSNSから利用するEメールまで、すべてがアプリ上でプログラムされ、配信されます。 ご想像のとおり、これらのプログラムはハッカーにとって非常に魅力的です。彼らは、アプリ内のすべてのデータストアにアクセスしたいと考えています。 WAFはハッキングを難しくします。

WAFは、物理アプライアンス(サーバーなど)または仮想ツール(クラウドなど)にすることができます。IT部門は、アプリとインターネットの間にインストールされ、IT部門は出入りするトラフィックを検査します。 WAFでは、次のことができます。

  • コントロール。 設計および実装するセキュリティ・ルールによって、トラフィックの移動が決まります。
  • ブロック。カスタマイズされたルールは、危険と思われるトラフィックをフィルタリングします。
  • 守る。 ルールは、攻撃の引き金となる可能性のあるトラフィックを排除するのに役立ちます。
  • 完成。 WAFは、他のセキュリティツールと連携して機能します。

会社概要 WAFの利用を開始したのは1990年代後半のことです。 今では、Web アプリを持つほとんどの組織は、Web アプリなしでは生きていけません。

WAFはどのように役立つのでしょうか?

ほとんどの会社概要は攻撃を受けていますが、ITを知らない会社もあります。 すべての攻撃インシデントの約 91% はアラートを生成しません。WAFが役立つ場合があります。

WAFは、IT部門が次のことを行うため、保護の強化に役立ちます。

  • 最新情報。 ルールを作成し、受信トラフィックに影響を与えることなく IT を迅速に実装できます。 ルールが公開されるとすぐに、トラフィックが変わります。
  • 学習。 ベンダーが作成したルールを使用すると、他のユーザーによる攻撃に基づいて変更を加えることができます。たとえば、OWASPは、Webアプリケーション(アプリケーション)の最も重要なセキュリティリスクの トップ10リスト を保持しています。 事前に作成されたルールは、その調査に基づいてセキュリティを向上させるのに役立ちます。
  • 管理。 アプリに出入りするトラフィックをフィルタリングします。スタッフのトレーニングについて心配する必要はありません—代わりにルールを使用してください。

一般的な攻撃について詳しく見ていきましょう。これらは、会社概要 顔の 最も一般的なベクトルの一部です

  • Cross-site スクリプト。 ハッカーは他のユーザーを標的にし、制御することで、その人物は機密データにアクセスできます。
  • クロスサイトリクエストフォージェリ。 ハッカーは、ユーザーがやりたくないことをアプリ上でユーザーに強制します。
  • 情報漏洩。 ハッカーは機密データにアクセスできます。
  • アクセスコントロールが壊れています。 またしても、ハッカーは保護すべきデータにアクセスすることになります。
  • SQL インジェクション。 ハッカーは、アプリ内に悪意のあるコードを配置します。

これらの攻撃のいずれかが心配な場合は、WAFが適している可能性があります。WAFの仕組み

WAFは、Webアプリとインターネットの間にあります。 IT部門は、サーバーに出入りするトラフィックの両方を調べます。 WAFはシールドと呼ばれることもあります。

WAF は、次のように設定できます。

  • ブロックリスト。 開発者は、既知の攻撃の特徴を特定します。 これらのモデルを満たす交通はブロックされます。
  • 許可リスト。 デベロッパーは、健全で自然なトラフィックを特定します。 これらのモデルを満たさないトラフィックはブロックされます。
  • ハイブリッド。 一部の会社概要は、資産を保護するためにルールをブレンドします。

WAFは、次の場所に実装できます。

  • ネットワーク。 建物内に設置されたハードウェアは、Web アプリを保護します。
  • ホスト。 WAFは、ソフトウェアに統合できます。
  • 雲。 WAFは、ネットワークエッジにITを実装するクラウドベンダーから提供される場合があります。

WAFのセキュリティは進行中であるため、これは「ITをセットにして忘れる」という計画ではありません。 チームはルールを更新する必要があり、監視は非常に重要です。月曜日の交通量で、火曜日に修正が必要な何かを見つけるかもしれません。

しかし、WAFは非常に迅速に調整および修正できるため、これらのルールをほぼすぐに機能させることができます。リーンで平均的な会社概要 ランニングの場合、これは理想的かもしれません。

データを安全に保つためのソリューションをさらに探している場合は、ファイアウォールについて考えてみてください。このブログ投稿 では、それらが何であるか、そしてそれらがどのように機能するかについて詳しく説明しています。

参考文献

Webアプリは改善の一途をたどっています。(2018年4月)。ザ・バージ

IT部門がサイバー攻撃を検出するのにどのくらいの時間がかかりますか? (2019年3月)。ITガバナンス。

OWASPトップ10。OWASPです。

ハッキング Web アプリケーション(アプリケーション)の紹介。 (2019年5月、Medium) 

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ