PCIDSS適合次世代WAF
:WAFの必要性
近年、Webページの改ざんや機密情報の漏えいなど、企業のWebサイトを狙った悪質な攻撃が後を絶ちません。
また、企業のサイトだけではなく、多くのアプリケーションもWeb化される傾向にあり、攻撃者のターゲットとして魅力的なものになってきています。
攻撃目的は多種多様で、企業への営業妨害や個人情報の販売など年々悪質なものになってきております。ほとんどのWebアプリケーションにおいて、どんなユーザーでも、Webブラウザからデータベースへなんらかのトランザクションを発生させることができ、通常の動作をする限りは定められた情報しかデータベースから取り出せないが、膨大な機密情報まであと一歩のところまで極めて簡単にたどり着けることが出来ます。
社会情勢の変化によりクレジット業界で策定された「PCIDSS」等の対策基準など、企業セキュリティへのプレッシャーも年々強くなってきています。
まだまだ対策をされていない企業も多いですが、昨今では、このような攻撃を防ぐため取り組んでいる対策として、Webサイトの脆弱性診断を行いセキュリティホールを発見し、その後アプリケーションプログラムを修正することなどがあります。しかし、Webサイトへの攻撃手法が多様化している中、その都度、脆弱性診断をしなければいけないのでしょうか?多額の費用を投資し、日々修正することに、本当に費用対効果はあるのでしょうか?
検討課題
- 日々攻撃が変化している中、新しい攻撃が本当に防げるのか?
- 多額の費用を投資して、プログラム修正する必要があるか?
- セキュリティの専門化ではない方々が、今後も対応していく必要があるのか?