徳丸浩の日記 - そろそろWAFに関して一言いっとくか - 三重苦を乗り越えてWAFが普及するための条件とは
前回のまっちゃ139勉強会で言ったのだが、AzureStoneさんの以下の言葉を引用してお話したい
「最近のWAFは、パターンマッチング、ホワイト、ブラック」があるんでですよ
おそらく最近の攻撃は、パターンマッチングである程度防げる、ある程度防げると多くの攻撃者は入室をご遠慮してもらえる
セキュリティに100%なんてないのだから、WAFを入れて60%防ぐ、セキュアプログラミングを実践して20%防ぐ、と色々複合して対策するのが最適解だと思う
WAFを入れることが目的じゃなくって、セキュアなサイトを作ることが目的にならないといけない。
あと、まっちゃ139勉強会でも話が上がったが、通信機器・ソフトとしての品質がもう少し上がらないといけないと思われる
エンタープライズ向けで安定して、誤検知が少なく提供できるWAFが出てくれば普及するのではと思う。
まず、WAFはホワイトリスト方式であるという主張はやめた方がよい。そんな主張をするから誤解を招くのだ。ホワイトリストの元となる正しい仕様は、仕様書に書いてないといけないし、仕様書に書いてあることはアプリケーションとして実装しなければならないのだ。だとすれば、WAFとアプリケーションでホワイトリスト検査の二度手間をやることになってしまう。
そろそろWAFに関して一言いっとくか~三重苦を乗り越えてWAFが普及するための条件とは~ | 徳丸浩の日記
id:threelzが引用してくれた。そうそう、そういうことなんすよ。結局は甘い場所をある程度埋めると、ゴルゴは無理だけど対策できるって意味。
100%を求める人(セキュリティな人)と経営層(費用対効果な人)との調整役が必要ってことですね。
攻撃しやすいカモはほっといても出てくるんだから、まずはセキュリティが甘い所から攻める、という攻撃者側の考えを逆手にとっているわけか。
Life Like Light
コストの問題、可用性とのバランスの問題などで100%のセキュリティはないと考える現場の意見は、参考にする価値があると考えます。