はじめに
「業務改善へのミチノリ」コラムを書かせていただいています、橋川 吾教（みちのり）です。
新年度になりました。皆様の会社では事業内容や組織体制変更に伴ってホームページの記載情報に変更はございましたでしょうか？今回は、そんな公開WebサイトやWebアプリケーションのメンテナンスとそのセキュリティを担保するソリューションについてご紹介したいと思います。

早速ですが、『WAF（ワフ）』という言葉をお聞きになられたことがありますか？

・WAF (Web Application Firewall)

→Webサイト・Webアプリケーションをその脆弱性を悪用した不正アクセスから保護するセキュリティ対策（ファイアウォール）。

『ファイアウォール（FW）』と言えば、ネットワークをあらゆる脅威から保護するイメージをお持ちの方も多いかと思います。

ご認識の通り、WAFは、『Webサーバとそれに乗っているWebサーバソフトウェア（＝プラットフォーム）の保護をする』 ために　『Webサイト・Webアプリケーションの保護をしている』と言えるのです。つまりWAFによる脆弱性対策が不十分である場合、Webサーバ・Webサーバソフトウェア（プラットフォーム）が不正アクセスを受けてしまう可能性がある、ということになるのです。

（図1）WAFによる脆弱性対策が不十分だとWebサーバ・Webサーバソフトウェア（プラットフォーム）が攻撃を受ける

「そんなこと言ったってうちのWebサイトやWebアプリケーションには大した情報を載せたり記入したりすることは無いから大丈夫だよ！」と思われた方、少々お待ちください。Webサイト・Webアプリケーションへの不正アクセスが起点となり、重大な情報漏洩が発生することがあり得るのです。代表的な不正アクセス方法は『クロスサイトスクリプティング』 や 『SQLインジェクション』です。

いずれもWebサイトの脆弱性が悪用された結果、本来被害者であるべき運営側が、情報漏洩の加害者になってしまう可能性があるのです。

（図2）不正アクセス手法『クロスサイトスクリプティング』
※『SQLインジェクション』のご説明につきましては、

橋川吾教の「業務改善へのミチノリ」コラム第２回 『Web脆弱性の効果的な対策〈Webもアプリも〉』
https://goo.gl/4PIw0Y

をご覧ください。