WAFの解説と、選定に際しての着眼点。
前編に引き続き。
Webアプリケーションへの攻撃をいかに阻止するか?(後編)|最適なWAF製品をどう探す? 最大のポイントは「自社の要求を明確にし、それに合致したものを選ぶこと」 - CIO Online
調査会社の意見などが数件紹介されている。
バートン・グループでリサーチ・アナリストを務めるラモン・クリッケン氏は、「アプリケーション・デリバリに特化した製品の場合、ワイヤ・スピード(理論上の最高通信速度)で動作する必要があるため、学習エンジンやセッション管理など、WAFが本来持つはずの計算集約型の機能を搭載していない」と指摘する。「そうした製品の機能は非常に限定されている。ブラック・リスティング/ホワイト・リスティングや、インバウンド/アウトバウンドの検査ができる程度だ」(クリッケン氏)というのである。
ガートナーのアナリスト、グレッグ・ヤング氏...
「人々はこう考える。『ファイアウォール製品を購入すれば、監査人のお墨付きが得られる』と。しかし、この分野ではそれだけでは足りない。自社の環境に合わせて、アプリケーション保護の方法をカスタマイズする必要があるのだ」(ヤング氏)
「WAFを評価する際には、エンタープライズ・アーキテクチャ、アプリケーション・デリバリ、ソフトウェア開発の各責任者にも加わってもらうべきだ」とアドバイスしている。
「そうすれば、それぞれの責任者のセキュリティ対策への信頼感が高まり、さらに可用性やパフォーマンスに関する懸念も緩和されるだろう」(クリッケン氏)
また、WAFの新しい使い方の1つとして最近普及し始めたのがアプリケーション監視だ。この使用法は、WAFがパフォーマンスの問題や、リンク切れなどによるエラー・ページの表示を検出できることを応用している。
Leave a comment