サイトアイコン

ファイアウォールにアプリのセキュリティを提供するよう強要しないでください。WAFは深刻な課題に直面しています。

WAFs are not the right solution to protect your Mobile app business

製品化環境で危険なバグを発見した場合、開発者にはアプリケーションを防御するオプションはほとんど与えられていません。DevOpsがルーストを支配しており、アプリケーションに攻撃的にアクセスできる様々なインターフェースによって、状況はより一層悪化します。そのため、WAF(ウェブアプリケーションファイアウォール)など従来のペリメーター用のソリューションにのみ依存せず、クライアントの信頼の損失を防ぎ、データがそのまま維持されるよう、包括的かつ迅速な措置を講じる必要があります。

WAFの当面の課題とその限界

企業は、WAFを展開して初期セキュリティ戦略を開始しますが、エンドツーエンドセキュリティのアーキテクチャを提供するだけでは、十分ではありません。WAFは、多数のアプリセキュリティリスクからアプリケーションを重層的に保護します。WAFの具現化において一般的に直面するいくつかの課題は、下記のとおりです。

  1. WAFを通して発生する警告メッセージが予め用意されなかったり、データ漏れが頻繁に発生するため、開発チームはこのリスク要因の出所の把握に長い時間を費やします。その結果、必要なパッチと最終的な展開が遅れてしまいます。WAFは、知られている脆弱性から保護することはできますが、ハッカーが攻撃するリスクに対して動的保護を実行することはできません。
  2. WAFの最大の短所は、アプリケーションの抜け穴やセキュリティホールに対する依存性がないという点です。これにより、WAFの警告を信じても何の利益も得られず、その多くの人はフォールス・ポジティブまたはフォールス・ネガティブに陥ります。これは、ビジネスの機密アプリのセキュリティ要求に対する信頼性を低下させる、深刻な問題を引き起こします。
  3. 前に述べたように、アジャイルの開発チームは、従来のSDLCモデルをあまり使用しません。定期的なコード配布プロセスは、WAFの本質的な特性と対照的なため、大きく制限されます。主なセキュリティ侵害は収益モデルを危険に陥れるため、会社の生存能力は致命傷を被るおそれがあります。
  4. WAFは、不法スヌーパに対する重要な防御線の役割を務めてきましたが、大規模かつ複雑なリスクに対しては、効果的に対応できませんでした。WAFは、本質的に予測性に優れ、予め定義された規則で強化されたパターン認識を実行します。こうして、よく知られているリスクに対してネットワーク上のすべての個別パケットを検索します。このように、アプリケーションのセキュリティ要求事項に合わせて構成することができますが、この制限された柔軟性は、増加を続けるセキュリティ攻撃ルートをすべて処理しなければならない開発者にとって、必要なセキュリティの利便性を提供することはできません。
  5. WAFは、維持管理や定期的な更新が必要なため、構築後に関心を怠ってはなりません。多くのWAFは、欠陥が認識されると同時にアプリケーションを修正するための仮想パッチを提供しますが、未だ完璧ではなく、多くのフォールス・ポジティブやフォールス・ネガティブを呼び起こし、不要な煩わしさを高めるだけでなく、深刻なバグを検知することはできません。
  6. WAFは、トラフィックが大量な場合、フェイルオープンまたはフェイルクローズによる事例からも分かるように、様々な状況で予想外の動作をします。前者の場合、WAFはフィルタリングを適用せずにすべてのトラフィックを通過させますが、フェイルクローズ状態では、WAFがアプリケーションのすべてのウェブトラフィックを盲目的に遮断します。このようなメカニズムは、知能型DDoS攻撃を利用して定められたルールを無視し、リクエストが発生した本来のソースを偽って改ざんすることができます。
  7. 開発チームと要求の多いクライアントが最新技術の動向を取り入れることは、毎日リリースされるアプリケーションを取得するという意味と一脈相通ずるものがあります。 WAFにこれほどダイナミックな変動に対処する役割を担わせるのは無理だと思われます。事前に絡み合ったセキュリティ戦略は、時間を要します。物理的な独自サーバーよりも、クラウドでアプリケーションを配布するケースが増加しています。WAFは、アプリケーションを適切にアップスケーリング、又はダウンスケーリングしません。また、待機時間が長く、並列処理に多くの影響を及ぼす性能問題を抱えています。

役割に対する誤解

包括的なアプリセキュリティソリューションは、データセキュリティを理想的に保護し、マルウェア感染を防止して意図せぬ侵入を確認し、サービス中断を効果的に処理しなければなりません。WAFは、アプリケーション周辺をモニタリングし、アプリケーション自らが保護するよう開発されたものではありません。WAFの使用条件が明確でないと、時にWAFが提供するサービスへの過度な依存性を示すことがあります。WAFの適用は、アプリケーションがクラウドからホスティングされるにつれ、行き詰まりに直面しています。ウェブセキュリテの活動とその周辺ソリューションすべてに重要性を付与し、それぞれの役割と貢献を望むのであれば、これらすべてを知能的にアプローチし、使用する必要があります。

AppSealingのRASP活用

AppSealingは、アプリセキュリティのすべての懸念に対する包括的かつ総合的なソリューションを提供します。コードベースに影響を与えず、数分内にアプリケーションを保護することができます。RASP(Runtime Application Self-Protection)機能は、WAFにはできない、実行時のリスク・デバッグ・逆コンパイルからのアプリ整合性の保護が可能です。今日の脅威を防ぎ、アプリケーションを保護して未来に備えてください!

モバイルバージョンを終了