「最近のWAFは、パターンマッチング、ホワイト、ブラック」があるんでですよ

おそらく最近の攻撃は、パターンマッチングである程度防げる、ある程度防げると多くの攻撃者は入室をご遠慮してもらえる

セキュリティに１００％なんてないのだから、WAFを入れて６０％防ぐ、セキュアプログラミングを実践して２０％防ぐ、と色々複合して対策するのが最適解だと思う

あと、まっちゃ１３９勉強会でも話が上がったが、通信機器・ソフトとしての品質がもう少し上がらないといけないと思われる

エンタープライズ向けで安定して、誤検知が少なく提供できるWAFが出てくれば普及するのではと思う。

まず、WAFはホワイトリスト方式であるという主張はやめた方がよい。そんな主張をするから誤解を招くのだ。ホワイトリストの元となる正しい仕様は、仕様書に書いてないといけないし、仕様書に書いてあることはアプリケーションとして実装しなければならないのだ。だとすれば、WAFとアプリケーションでホワイトリスト検査の二度手間をやることになってしまう。

そろそろWAFに関して一言いっとくか～三重苦を乗り越えてWAFが普及するための条件とは～ | 徳丸浩の日記

100％を求める人（セキュリティな人）と経営層（費用対効果な人）との調整役が必要ってことですね。

攻撃しやすいカモはほっといても出てくるんだから、まずはセキュリティが甘い所から攻める、という攻撃者側の考えを逆手にとっているわけか。

コストの問題、可用性とのバランスの問題などで１００％のセキュリティはないと考える現場の意見は、参考にする価値があると考えます。

Life Like Light