■ Webサイトはどこでも持っている

　一体、Webサイトを持たない組織は今どれくらいあるでしょうか。 Webサーバを自前で持つ、ホスティングサービスを利用する、など運用形態はさまざまですが、Webサイトを持たない組織はほとんどないと思える程に Webは普及しています。

■ 多くはファイアウォールの中にある

　ファイアウォールはほとんどの組織で導入済みであり、多くのWebサーバはファイアウォールの中で運用されているのが一般的です。
　しかしながら、最も普及しているファイアウォールはIPアドレス、ポートレベルでのフィルタリングです。この方法でのフィルタリングでは、許可していないサービスが持つ脆弱性を狙った攻撃を阻止できるため有用ではありますが、HTTPを許可している場合Web自体への攻撃に対して無力です。一方で、HTTPを不許可にした場合にはWebサイトへアクセスできなくなってしまうため本来の目的を達成できません。しかもここ数年、Webサイトを狙ったワームや不正アクセスは増加傾向にあります。

■ Web Application Firewall (WAF)とは？

　Webアプリケーションファイアウォールとは読んで字のごとくWebアプリケーションを守るファイアウォールです。前述のIP、ポートレベルのファイアウォールとは違いアプリケーションレベルで動作するため、HTTP(またはHTTPS)の内容を見て不正なアクセスだった場合にはそのリクエストまたはレスポンスを拒否することが可能になります。
　Webページの改ざんに繋がるバッファオーバーフロー、クロスサイトスクリプティング、情報漏洩に繋がるSQLインジェクション、ディレクトリトラバーサルなど多くの攻撃手法が現在知られていますが、こういった攻撃からWebサーバ、およびWebアプリケーションを守るのがWAFの役割です。
通常のファイアウォールにゲートウェイ型やホスト型などの設置方法があるように、WAFにも大きく分けて2種類の設置方法があります。
　ブリッジ型はネットワークに透過的に作用するため、設置環境にほとんど影響を与えずに運用することが可能ですが、パケットを中継するためSSLで暗号化された通信は見ることができず、HTTPSの内容をチェックすることができません。

　プロキシ型はいわゆるリバースプロキシとして動作するため、やや設置環境に影響を与えます。しかし自身がSSLでのリクエストを待ち受けた後に内容のチェックを行い、Webサーバにリダイレクトしますので結果としてHTTPSにも対応できます。
　このため、通常WAFではプロキシ型が採用されています。

■ mod_securityとは？

　WAFは既にいくつかの商用製品が存在します。 Connectra (Check Point SOFTWARE TECHNOLOGIES), Teros (Teros), NC-1000 (NetContinuum), AW700 (横河電機), AppShield (Sanctum), InterDo (KabaDo) などです。一方、オープンソースプロダクトでWAFを実現することもできます。その中核となるのが今回紹介するmod_security (http://www.modsecurity.org/)です。

　mod_securityはApacheのモジュールとして動作し、不正アクセスやワームなどによる攻撃からApacheを守るソフトウェアです。 GNU General Public License(GPL)および、クローズドソースでの商用利用を許可するライセンスのデュアルライセンスで配布されています。 2004年7月6日現在、最新バージョンはv1.8.2です。

　主に以下の機能を持っています。

　リクエストフィルタリングによって、クロスサイトスクリプティングやSQLインジェクションなどの攻撃を防ぐことができます。また、通常使用しない文字列をフィルタするなどすることで未知の攻撃に対する防御も可能になり、Webサイトを運用する上でのリスクを低減させることができます。