「mod_security waf」で Google 検索した結果、素晴らしい参考ページを見つけることができました。
読んで感想や注目したいところをメモしておきます。
背景
最初の背景部分では、2010年の資料ですけれども、脆弱性対策として優れているのにもかかわらず、WAF の現状として認知度の低さ、活動事例の少なさ、日本語での紹介の少なさ、と現状を見つめておられます。
そのうえで、実際に導入してみて、運用してみて、そしてそれはどのような考え、計画に基づいていたか、整理して紹介されています。
導入してみたいと思っております、わたくしには本当にぴったりですの!インストールだけでしたら、おそらく事例、体験談を断片的であろうとも拾い集めて構築できるのでしょうけれども、設定、日々の運用、そのなかでの考え方、判断基準までは手探りとなってしまいます。
その暗中模索の工程を、かなり省略できるのではないかと、ワクワク♪期待しておりますの♪
補足
5枚目の[補足]も必見です♪
- 脆弱性対策情報を網羅したデータベースサイト → JVN iPedia – 脆弱性対策情報データベース
- わたくしが最も導入したいと考えております mod_security サイト → ModSecurity: Open Source Web Application Firewall
- mod_security のルール(設定)のテンプレートサイト → Category:OWASP ModSecurity Core Rule Set Project – OWASP
これらのサイトへのリンクが紹介されています。とくに、設定のサイトは、インストールして手探りでゼロから設定することを考えれば、先人の知恵をそのまま使えますのでたいへん助かることが予想できます♪楽しみですの♪
WAF 導入
6枚目からの「2. JVN iPedia へのWAF導入」は実例となりますが、数ヶ月にも渡っての計画、実行、結果がわかりやすく紹介されています。
各工程で行うことに対して、実際にぶつかった疑問点を挙げ、根拠や理由を交えて説明されていらっしゃいますので非常に説得力がありますし、参考になります。
たとえば15枚目の関係者間調整②では導入時、運用時のリスクをサイト運営者に説明し、WAF 導入における了承を得ています。このことから、WAF がどのようにインストールされるのか、どのようなデメリットが考えられるのか、こちらが考えるきっかけとなりました。
また、20枚目、導入計画(4)からのインストールしてテスト、そして運用するまでについても非常に参考になります。参考、というより、わたくしもこれになぞって実践すれば きっと、実践だけとはいえ手間はかかるのでしょうけれども、WAF による脆弱性対策ができるようになりますの♪
日々の運用時のログの確認に便利なツールも紹介されており、これも使用してみたいです。31枚目にございます、iLogScanner というツールだそうですの。わたくしたちの環境で使えるとよいのですけれども。
わたくし WAF 素人ですので、IPA のような信頼のおける組織の実践はためらいなく取り入れてみたく存じますの♪
おわりに
取り上げました導入事例のもっと詳細な資料がございました。こちらのページ、
の「資料のダウンロード」ブロックの「日本語版(2011年12月28日公開)」
ですの。
導入事例で大きな流れを掴み、読本で詳細を勉強して、わたくしたちが自分たちで自分たちのサーバに導入いたしますの♪
実現する日が楽しみですわ♪
以上です。