この動画では、平成22年秋期の情報セキュリティスペシャリスト試験午後I問3を解説します。今回は、Webアプリケーションの脆弱性対策として有効な「WAF(Webアプリケーションファイアウォール)」がテーマです。特に、セッションIDの推測を防ぐクッキーの暗号化機能や、シグネチャを用いた通信検査におけるフォールスポジティブへの対応、WAF導入時のSSL通信の扱いについて学びます。 WAFはパケットのヘッダ情報だけでアクセス制御する従来のファイアウォールでは防げない攻撃からWebアプリケーションを保護します。クッキーの暗号化機能により脆弱なセッションIDの偽造を防ぎます。シグネチャによる通信検査では正常な通信を攻撃とみなすフォールスポジティブを減らすチューニングが重要です。SSL通信はWAFで終端させることでWAFが攻撃を検知できるようになります。
