: WAFなんて誰も要らない(情報元のブックマーク数)
北海道情報セキュリティ勉強会で、SmokeyMonkeyさんとWAFの話をしました
確かに、新規の場合は検討しやすいかもしれませんが、既存に入れたり基盤として入れる場合は難しいですね
誰がそのキーとお金を持っていて、効果はどうなのか、、、がメインになると思います。色々難しいですね。
このお話を、昨日の懇親会でまっちゃだいふくさんにしたのですが、やはり難しいというか、全国的にみてもWAFの導入は進んでいないとのことで、やはり開発者と基盤構築担当者のすり合せを行える部署、Webディレクターみたいな人がしっかり調整しないと、出来ないだろうと仰ってました。
[-*煙猴*-]: WAFなんて誰も要らない
いつも思うのですが、開発が考えるセキュリティと、基盤が考えるセキュリティには大きな溝があるんですよね。開発はその成果物に対してのセキュリティを考えるけど、基盤はトータルというか、インフラ全体のセキュリティを考えます。とはいえインフラの部分部分を全て詳細に把握できるわけもなく、詳細はその担当者に任せるしかないのですが、しかしその担当者は全体を見てくれない(見る必要もない、責任がないから)ので、結果的にどこか不足している部分が出てしまう。
誤検知問題もやっぱり、通常安定運用していたら問題になりますよね。
モジュールベースのWAFというとURLScanとかmod_securityですかね。
それとも、開発ライブラリって意味かな。
モジュールベースのWAFは開発者側で設定できるし、今後の発展はありそうですが、箱物のWAFの普及はほぼ絶望的なんじゃないか、と僕は考えてます。
[-*煙猴*-]: WAFなんて誰も要らない
開発と基盤の橋渡し技術者ですかぁ。。。やっぱりそういうSEが本当に望まれていて、なかなかいないんでしょうね。
開発者と基盤構築担当者の橋渡しになる技術者というのは需要が高いんじゃないかなと思います。実際のところ中々いませんよね。非常に高い技術レベルが要求される仕事だとは思いますが、これだけWebアプリケーションが普及した現在、強く求められている立場ではないかと思います。こういった人が増えれば、WAFの普及も進むのではないでしょうか。
[-*煙猴*-]: WAFなんて誰も要らない