情報漏えい事故につながるSQLインジェクションの被害を未然に防ぐ「WAF」とは

　Webサイトの入力フォームなどに、不正な操作を行うSQL文を入力し、個人情報やクレジットカードを盗んだり、Webサイトを改ざんしたりする「SQLインジェクション」による被害が増えている。このサイバー攻撃は、特に脆弱性があるECサイトや会員制のWebサイトを狙うもので、対策は急務となっている。

　その対策には、プレースホルダーの利用やエスケープ処理、Webアプリケーションの最新化といったものがあるが、全ての対策を完璧に行うことは容易ではない。そこで注目したいのが、Webサイトの手前で通信をチェックし、不審なアクセスを検知／遮断するWAF（Web Application Firewall）だ。

　中でもクラウド型WAFであれば、導入が簡単でコストも抑制でき、運用をベンダーに任せることも可能なため、工数をかけずに効果的なSQLインジェクション対策を迅速に始めることができる。本資料では、SQLインジェクションの概要や被害実態、その対策として有効なWAFの特長について、マンガを用いて分かりやすく解説する。