/// WAF 必要性

セキュアプログラミングの限界

　セキュリティ対策、脆弱性を有しないようにWebアプリケーションを構築する上で重要なのはセキュアコーディングをすることが重要とされています。セキュアプログラミングの中で最も重要なのが入力・出力データのサニタイジング（無害化）の技術であると言えます。Webアプリケーションはグローバルに公開された環境であること、又はネットワークを通じてアクセスできる環境である場合が大半で、悪意のあるユーザーがアクセスできる（できうる）環境であると言えます。Webアプリケーションの中核になんらかの方法でアクセスできる状況であり、受け取ったデータ(入力)、もしくは出力データをそのまま受け渡すのではなく無害化するという方法です。 Webアプリケーションの脆弱性を考慮したセキュアプログラミングとしてのサニタイジングの例をあげると、プログラムやコマンドで意味を持つメタキャラクタ（メタ文字：\、[、]、|、$、*など）の入力を禁止し、正規表現にて入力文字列のパターンを限定することによって入力データの無害化をするなどが上げられます。 セキュアプログラミングは、Webアプリケーションの脆弱性を防ぐ有効な手段ではあるが、昨今のWebアプリケーションは継続的に常に改変を続けるようなものが多くプログラムエンジニアによる努力に依存するやり方には危険性があると言ってもおかしくはありません。

　セキュアコーディングを徹底して構築する場合、工数は大きく増大します。また、都度ソースコードのセキュアレビューとセキュリティ診断を繰り返す作業は、構築するプログラムが大きくなればなるほど開発工数の増加し費用が大きく膨らむ可能性があります。Webアプリケーション開発に対する費用・工数(期間)を十分に改める必要があります。

　セキュアプログラミングには相当なノウハウが必要となります。Webアプリケーション構築にあたり関わるエンジニアが全てセキュアコーディングに精通していれば問題はありませんが、通常はスキルにバラツキがあります。複数人が関わることに乗じて脆弱性を含む確率が高くなります。

　Webアプリケーション開発にあたり、最も考慮しなければいけないのは機能面、性能面であり、セキュリティは最低限必要なものとされています。予算・工数が決まっている中で、機能・性能を優先しながらセキュリティを完璧にするのは簡単でありません。 弊社はセキュリティ診断を様々な顧客企業に提供していますが、ほとんどのWebアプリケーションにおいてなんらかの脆弱性が発見されます。セキュリティはWebアプリケーションを開発・構築する企業だけが完璧に構築するというのは難しいということを前提にして、顧客企業側も歩み寄ってセキュリティ面について考えられることをお勧めします

クラウドWAFの導入メリット

　WAFの導入は日々発見される脆弱性に対して立ち回る必要もなく、網羅的に脆弱性に対して防御することも可能であり非常に有効なセキュリティ対策ツールと言えます。WAFは大きく３つの提供形態が存在し、クラウド型・アプライアンス型・ソフトウェア型、それぞれ一長一短がありますが費用面・運用面を考えるとクラウド型WAF(ASP・Saas型)が最もROIが高いセキュリティ対策ツールとしてお勧めです。

クラウドWAF 比較

クラウドWAFのお問い合わせはコチラ