ADFSやDRMをする上で、認証周りを守るのは大切ってことですよね。

Microsoftはこの点を認識しており、ADFSの公開にはWeb Application Proxy（WAP）などのリバースプロキシを使用することを強く推奨しています。バラクーダネットワークスが先頃発行したホワイトペーパーでは、安全な方法でADFSを公開する方法を解説しています。ホワイトペーパーでは、ADFSやMicrosoftのその他のアプリケーションの発行に必要となるWAPの代替／アドオンソリューションとして、Barracuda Web Application Firewallが威力を発揮する理由を説明しています。2015年、次に示すMicrosoftセキュリティ情報MS15-062が公開されています。ここからも、バラクーダネットワークスのソリューションの優れた価値がおわかりいただけるでしょう。MS15-062：Active Directoryフェデレーションサービスの脆弱性により、特権が昇格される：
「この脆弱性により、攻撃者が特別に細工したURLを標的のサイトに送信した場合、特権が昇格される可能性があります。特別に細工されたスクリプトが適切にサニタイズされないことがあり、攻撃者が提供したスクリプトがWebサイトで悪意のあるコンテンツを閲覧するユーザのセキュリティコンテキストで実行される可能性があります。」
このアップデートには重要度として「重要」が割り当てられ、影響を受けるオペレーティングシステムとしてWindows Server 2008、2008 R2、2012が確認されています。攻撃がHTTPトラフィックに埋め込まれた場合、WAPで対抗することはできません。したがって、DMZに実装されているゲートキーパーがWAPのみの環境では、ADFSサービスは「OWASP Top 10」に掲載されている攻撃に対して無抵抗だということになります。

Barracuda Web Application FirewallでADFS公開の危険に対処 - コラム詳細 | バラクーダ