WAFはいくのか : PCI DSSでWAFが必要という話(情報元のブックマーク数)
WAFがPCI-DSSで必須ではないですね。まぁWAFといってもmod_securityみたいなものから、製品版のものまで色々あるので、どれを入れるかですね
PCI DSSソリューション
http://blog.livedoor.jp/checkwaf/archives/983281.html
↑でご指摘の通り、
WAFが必須なわけではないようですね。
PCI DSSの普及度はよくわかりませんが、
どうも追い風にはならなそうです。
基本はリスク分析であって、すべてのサーバにWAFが必要なんて言ってなかった気がしますが、カードデータをやり取りしているサーバって限定されてた気がするが・・・気のせいか?
暫定的な対策で何百万もの機器を購入するのでしょうか。
http://blog.livedoor.jp/checkwaf/archives/983281.html
いつか、導入したWAFが不要になるということでしょうか。
そのタイミングをどう判断できるのでしょうか。
すべての企業にWAFが必要とは思えません。
とはいえ、ただでさえ投資が抑えられるセキュリティにおいて、
暫定的な目的での投資がありえるとも思えません。
事故が起こってしまった場合を除いては。