ウェッブ・アプリケーション・ファイヤウォール（ＷＡＦ）

【ＷＡＦ１１１の導入事例】

　　★ＩＰＡ（独立行政法人情報処理推進機構）が推奨している「安全なウェブサイトの作り方　第２版」
　　（2006年11月1日）でアプリケーション・プログラムの安全性の指摘に経済的・時間的に対処できるために、
　　いろいろなシステムに導入されています

　　★クレジットカード業界が策定したセキュリティ標準「PCI Data Security Standard(PCIDSS)」では、
　　ＷＡＦを導入することが推奨されており、これに準じたシステムに導入されています
　　なお、2008年７月からはＷＡＦの設置が義務付けられることになっています（Requirement６）

【脅威の例】

　　★顧客個人情報の漏えい

　　　　お客様サポート部門に従事していた派遣社員が、
　　　普段業務で使っている正規パソコンから、お客様との応対業務で用いている支援システムでやり取りされる
　　　HTMLデータを改ざん

　　　　データベース操作コマンド（ＳＱＬ文）を埋め込み、お客様の個人情報を一覧で取得し、名簿業者に転売していた

　　　　データベースは暗号化されていましたが、正規パソコンからの正規ルートでの読み取りは可能です

　　　　データベースへのアクセスログは取得していましたが、事件発覚前に不正を見出すことは非常に困難で、
　　　事件発覚後に詳細に解析して初めて痕跡が発見できた

　　★退職金の不正改ざん

　　　　悪意ある社員が退職寸前に、期末に人事考課を行っていた普段業務で使っている正規パソコンから、
　　　人事情報システムとやり取りされるHTMLデータを改ざん
　　　　人事属性を改ざんし、その情報が給与・経費システムに流れ、水増しされた退職金の不正支給を受けた

　　　データベースは暗号化されていましたが、正規パソコンからの正規ルートでの修正は可能です

　　　データベースへのアクセスログは取得していましたが、発覚前に、不正があったことを見出すのは非常に困難

　　★購買システムで不正発注

　　　　悪意を持ったある取引先社員が、ある会社との通常の電子取引で登録されている正規パソコンから、
　　　購買システムとやり取りされるHTMLデータを改ざん
　　　　大量の数量の注文を架空発注がされた
　　　　それにより、大量の仕入れが行われたため、大量の不良在庫となり膨大な損害をこうむった

　　　データベースは暗号化され、暗号通信により電子取引が行われていましたが、
　　正規パソコンからの正規ルートでの修正は可能です

　　　データベースへのアクセスログは取得していましたが、事前に不正を見出すことは非常に困難
　　　ログには、Ｗｅｂアプリケーションがデータベースにアクセスしたこととなっており、愉快犯は特定できず

　　＜これらの脅威もＷＡＦ１１１で阻止できた可能性があります＞

【アプリケーションによる導入事例】

　　利用者にとって重要なデータベースを持つ様々なアプリケーションに適用できます

　　・顧客情報システム
　　・購買システム
　　・受発注システム

　　・財務システム
　　・人事情報システム
　　・経費精算システム

　　・ＳＮＳサービスシステム
　　・掲示板システム

【設備による導入事例】

　　・社内サーバルーム
　　　　現在の情報漏えい・不正改ざんの脅威は、悪意ある社員・派遣社員など内部者によるところが大きいです
　　　　ファイヤウォールで守られ入退出が厳重なサーバルームのデータベースも、決して安全ではありません！

　　・データセンタ
　　　　ファイヤウォールで守られ入退出が厳重なデータセンタのデータベースも、決して安全ではありません！
　　　　Ｗｅｂのパケットは、ファイヤウォールを素通りして侵入していきます！

　　・公開サーバ
　　　　不特定多数の利用者からアクセスできるＷｅｂサーバは、非常に大きな脅威をかかえています！

　　これらの施設に置かれているアプリケーションサーバに対してＷＡＦが導入されています

【具体的な導入事例】

　　・社内サーバルームにおかれた顧客債権管理システムでの導入事例（PDFファイル）

　　・データセンタにおかれた人事情報システムでの導入事例（PDFファイル）

　　・社内サーバルームにおかれた購買システムでの導入事例（PDFファイル）

　　・資料請求受付のための公開サーバでの導入事例（PDFファイル）