Webアプリケーションのセキュリティ対策はWAFが良いのかセキュアコーディングが良いのか、という不毛な議論はもうやめましょうよ、という記事。
WAF vs. Secure Code vs. Dead Fish | securosis.com
Dead Fishがなぜ出てくるのか、よくわからない。
書いたのは元ガートナーのアナリストだったRich Mogull。 以前からアプリケーションレベルのセキュリティを調査している。
PCI DSSの要件6.6でWebアプリケーションの保護手段として、コード検査かWAF導入かどちらか、と規定されたために起こっている混乱に疲れた、と言っている。
酔っ払ったケイジャン2人が、ガンボの中でエビか豚肉のどちらがより重要か言い合っているようなものであって、実際はどちらが欠けても台無しになる。
っていうたとえは面白いけど、日本では理解してもらえないだろうなあ。しかも僕としてはエビかオクラといって欲しかった。
両方実施するだけの体力のない企業は、アプリケーションを抱えずにアウトソースするか、とりあえず検査を受けてみてその結果を見て検討するように勧めている。
開発フェーズと運用フェーズのセキュリティ対策が一元化できていないところが一番の問題だと思うんだけど、そこで必要なのは、まず組織的に開発とセキュリティが連携できることじゃないかな。
Leave a comment