2月28日、IPAはセキュリティ強化を図るための資料として「セキュリティ担当者のための脆弱性対応ガイド」および「Web Application Firewall※(WAF)読本 改訂第2版」をそれぞれ公開しました。
※Web Application Firewall(ウェブ・アプリケーション・ファイアウォール/WAF)
外部ネットワークからの不正アクセスを防ぐためのソフトウェア(あるいはハードウェア)であるファイアウォールの一種。従来のファイアウォールのようなネットワークレベルではなく、アプリケーションレベルでのデータのやり取りを把握・管理するのが特徴。
「セキュリティ担当者のための脆弱性対応ガイド」は、組織内で脆弱性対策の知識を必要とするセキュリティ担当者を対象に、ウェブサイトに脆弱性を作り込まないための注意点や、脆弱性が判明した場合の適切な対処方法を解説した資料です。
同協会が事前に行ったアンケート調査などにより、セキュリティ担当者であっても、被害経験が少ないために脆弱性対策の必要性を感じていなかったり、セキュリティに対する理解や認識が浅く、正しい知識が備わっていない場合があることが明らかになりました。
この結果を受けて作成された同ガイドでは、脆弱性に起因するトラブルや影響の事例、事業者に委託する際の考え方などを含めた全般的な脆弱性対策方法が解説されています。
また「Web Application Firewall(WAF)読本」は、Webサイト運用時の脆弱性対策として有効だと考えられるWAFの導入推進を図るために、従来のガイドを見直して内容を拡充した全96ページの資料です。
WAF導入時の不安や課題を解決するために、WAFベンダー9社の協力のもと、「WAF導入におけるポイント」を具体化、3つの大きな工程をさらに10項目の工程に細分化して要点をまとめ、この要点に沿った導入の実例を紹介するなど、46ページの大幅な加筆が行われています。