/// WAF 必要性

WAFとは
 WAFの必要性を検討するにあたり、セキュリティ対策はWebアプリケーションを運営する企業にとって大きく4つの階層で考える必要があります。階層別にエンジニアとして求められる技術は異なり、大きくはネットワークエンジニア、アプリケーションエンジニアと職種も異なります。Webアプリケーションを運営する企業は、Webアプリ開発企業がネットワーク・セキュリティの両面において精通していると考えているケースが見られます。先に述べたとおり職種が異なり、ソフトウェアエンジニアとネットワークエンジニアにセキュリティの責任の間隙があるのもよく聞く話しです。サービス提供企業(ネットワーク会社等)も異なることを踏まえ、Webアプリケーションに適切なセキュリティ対策をすることをお勧めします。また、顧客側においても開発企業に任せているというスタンスではなく昨今の情報漏洩、Webサイトの改ざん事例の多さを踏まえて積極的にセキュリティ対策について考慮されることをお勧めします。 WAFはWebアプリケーション層における脆弱性を広くセキュリティ対策できるツールであり、クラウドWAFに関してはセキュリティ対策面、コスト面においても強くお勧めします。
セキュアプログラミングの限界

 セキュリティ対策、脆弱性を有しないようにWebアプリケーションを構築する上で重要なのはセキュアコーディングをすることが重要とされています。セキュアプログラミングの中で最も重要なのが入力・出力データのサニタイジング(無害化)の技術であると言えます。Webアプリケーションはグローバルに公開された環境であること、又はネットワークを通じてアクセスできる環境である場合が大半で、悪意のあるユーザーがアクセスできる(できうる)環境であると言えます。Webアプリケーションの中核になんらかの方法でアクセスできる状況であり、受け取ったデータ(入力)、もしくは出力データをそのまま受け渡すのではなく無害化するという方法です。 Webアプリケーションの脆弱性を考慮したセキュアプログラミングとしてのサニタイジングの例をあげると、プログラムやコマンドで意味を持つメタキャラクタ(メタ文字:\、[、]、|、$、*など)の入力を禁止し、正規表現にて入力文字列のパターンを限定することによって入力データの無害化をするなどが上げられます。 セキュアプログラミングは、Webアプリケーションの脆弱性を防ぐ有効な手段ではあるが、昨今のWebアプリケーションは継続的に常に改変を続けるようなものが多くプログラムエンジニアによる努力に依存するやり方には危険性があると言ってもおかしくはありません。

1.開発工数の増加

 セキュアコーディングを徹底して構築する場合、工数は大きく増大します。また、都度ソースコードのセキュアレビューとセキュリティ診断を繰り返す作業は、構築するプログラムが大きくなればなるほど開発工数の増加し費用が大きく膨らむ可能性があります。Webアプリケーション開発に対する費用・工数(期間)を十分に改める必要があります。

2.セキュアプログラミングのスキル

 セキュアプログラミングには相当なノウハウが必要となります。Webアプリケーション構築にあたり関わるエンジニアが全てセキュアコーディングに精通していれば問題はありませんが、通常はスキルにバラツキがあります。複数人が関わることに乗じて脆弱性を含む確率が高くなります。

3.Webアプリケーションの脆弱性について

 Webアプリケーション開発にあたり、最も考慮しなければいけないのは機能面、性能面であり、セキュリティは最低限必要なものとされています。予算・工数が決まっている中で、機能・性能を優先しながらセキュリティを完璧にするのは簡単でありません。 弊社はセキュリティ診断を様々な顧客企業に提供していますが、ほとんどのWebアプリケーションにおいてなんらかの脆弱性が発見されます。セキュリティはWebアプリケーションを開発・構築する企業だけが完璧に構築するというのは難しいということを前提にして、顧客企業側も歩み寄ってセキュリティ面について考えられることをお勧めします
クラウドWAFの導入メリット

 WAFの導入は日々発見される脆弱性に対して立ち回る必要もなく、網羅的に脆弱性に対して防御することも可能であり非常に有効なセキュリティ対策ツールと言えます。WAFは大きく3つの提供形態が存在し、クラウド型・アプライアンス型・ソフトウェア型、それぞれ一長一短がありますが費用面・運用面を考えるとクラウド型WAF(ASP・Saas型)が最もROIが高いセキュリティ対策ツールとしてお勧めです。
クラウドWAF 比較
クラウドWAFのお問い合わせはコチラ
Copyright (c) COBO HOLDINGS,INC All Right Reserved.