確かに、新規の場合は検討しやすいかもしれませんが、既存に入れたり基盤として入れる場合は難しいですね

誰がそのキーとお金を持っていて、効果はどうなのか、、、がメインになると思います。色々難しいですね。

このお話を、昨日の懇親会でまっちゃだいふくさんにしたのですが、やはり難しいというか、全国的にみてもWAFの導入は進んでいないとのことで、やはり開発者と基盤構築担当者のすり合せを行える部署、Webディレクターみたいな人がしっかり調整しないと、出来ないだろうと仰ってました。

いつも思うのですが、開発が考えるセキュリティと、基盤が考えるセキュリティには大きな溝があるんですよね。開発はその成果物に対してのセキュリティを考えるけど、基盤はトータルというか、インフラ全体のセキュリティを考えます。とはいえインフラの部分部分を全て詳細に把握できるわけもなく、詳細はその担当者に任せるしかないのですが、しかしその担当者は全体を見てくれない(見る必要もない、責任がないから)ので、結果的にどこか不足している部分が出てしまう。

[-*煙猴*-]: WAFなんて誰も要らない

モジュールベースのWAFというとURLScanとかmod_securityですかね。

それとも、開発ライブラリって意味かな。

モジュールベースのWAFは開発者側で設定できるし、今後の発展はありそうですが、箱物のWAFの普及はほぼ絶望的なんじゃないか、と僕は考えてます。

[-*煙猴*-]: WAFなんて誰も要らない