スキップしてメイン コンテンツに移動

WAFなんて誰も要らない

WAF(Web Application Firewall)の雑感です。

昨日の第1回北海道情報セキュリティ勉強会で、竹迫さんからmod_waffulとmod_securityの話が出ていましたが、営業としてはお金になりやすい箱物のWAFを販売したがります。箱物のアプライアンスになると、構築を担当するのはどうしても開発者ではなく、基盤構築担当者になります。そうすると、開発者は基盤を知らず、基盤構築担当者は開発を知らないため、結果的に誰もWAFを設定できません。この「知らない」というのは2つの点があると思います。

・技術的な面
開発者は自分が触れる範囲での基盤(OSなりミドルなり)は技術的に把握しているのでしょうが、深く知らない場合が多いです。また自分が触れない部分(トータルとしての基盤)は知らない、というか理解したがらない。だから、「WAFでセキュリティ」と言われても、「それって基盤構築チームが担当でしょ?アプリは動いているんだから」と言う。
基盤構築担当者は、「俺たちは基盤を作る、上物は開発チームでしょ?上物のセキュリティは開発チームでやれよ」と考える。また開発チームで作成したアプリの詳細は知らないし、詳細の技術も知らない。まぁ詳細の技術が分かってれば開発で飯食えますよね。
だから、WAFというのは宙に浮きやすい。

・政治的な面
多くの場合開発チームと基盤構築チームは部署自体が違うので、責任分岐点を明確にしたがります。箱物のWAFというのはすごく難しくて、そこで問題点があったり、設計にミスがあったりしても、どっちに責任があるのか分かりづらいんですよね。だからどちらの部署ともに手を出したくないし、部署が違う以上お互い密接に協力しあうのも(多々大人の事情で)難しい。

このお話を、昨日の懇親会でまっちゃだいふくさんにしたのですが、やはり難しいというか、全国的にみてもWAFの導入は進んでいないとのことで、やはり開発者と基盤構築担当者のすり合せを行える部署、Webディレクターみたいな人がしっかり調整しないと、出来ないだろうと仰ってました。

いつも思うのですが、開発が考えるセキュリティと、基盤が考えるセキュリティには大きな溝があるんですよね。開発はその成果物に対してのセキュリティを考えるけど、基盤はトータルというか、インフラ全体のセキュリティを考えます。とはいえインフラの部分部分を全て詳細に把握できるわけもなく、詳細はその担当者に任せるしかないのですが、しかしその担当者は全体を見てくれない(見る必要もない、責任がないから)ので、結果的にどこか不足している部分が出てしまう。

また、もう1点WAFの導入が進まない事情と考えるのが「誤検知」です。これはIPSでも同様なのですが、外部からの攻撃により障害が発生した場合、「出来る限りの対策をしていても発生したのなら仕方がない、今後の対策を考えてくれ」と言われるくらいで、もちろんクレームにはなるのですが、そこには諦観が入る場合が多いです。しかし、WAF(またはIPS)の誤検知が原因で障害が発生した場合、大抵の顧客は激怒します。「システムがちゃんと動いているのに、セキュリティを守るはずの機械が原因で障害が発生するとはどういうことだ、これなら入れないほうがマシじゃないか!」と。普段WAFによって守られていることは問題にされません。顧客にとって「正常動作=普通」であるからです。攻撃に対する守備ってコストパフォーマンスだったり成果として表しにくいんですよね。むしろ守備が失敗したときのマイナスイメージのほうが強い。これは多分サッカーでいうキーパーと同じですよね。ゴルゴメソッドで言えば、「Gは無理ですがテロリストくらいは対応できるSP入れました→SPに裏切り者が!→ノーガード戦法」みたいな。笑い話みたいだけど、これが多分リアルです。結果、誰もWAFなんて入れたがらないんですよね。技術も、営業も、顧客の情報システム部も。

モジュールベースのWAFは開発者側で設定できるし、今後の発展はありそうですが、箱物のWAFの普及はほぼ絶望的なんじゃないか、と僕は考えてます。

また、開発者と基盤構築担当者の橋渡しになる技術者というのは需要が高いんじゃないかなと思います。実際のところ中々いませんよね。非常に高い技術レベルが要求される仕事だとは思いますが、これだけWebアプリケーションが普及した現在、強く求められている立場ではないかと思います。こういった人が増えれば、WAFの普及も進むのではないでしょうか。

コメント

このブログの人気の投稿

リモートワークは仕組みじゃなくて文化です

ここ最近、コロナウイルス関連の報道が数多くあるが、その中でも多くの企業がリモートワークを推奨するという記事やプレスリリースが注目を浴びている。それ自体はもちろん大変望ましい。不要な対面での接点を減らすことで感染リスクを抑えることが出来るし、通勤ラッシュや首都圏への経済集中も抑制出来るからだ。

だがちょっと待ってほしい。リモートワークというのは社員が在宅で働くことだけを指すのではない。社員が在宅で働いても出社時と同じパフォーマンスが出ることをリモートワークというのだ。だからこの記事のタイトルで「リモートワークは仕組みじゃなくて文化です」と書いた。

弊社がリモートワークを導入したのは2011年の東日本大震災がきっかけだけれど、9年経った今、どのようにリモートワークを運用して、そしてパフォーマンスを維持しているかを共有したいと思う。以下のことが文化として根付けば、その会社のメンバーはリモートワークでもオフィスでも同じようなパフォーマンスが発揮出来るはずだ。

1.勤怠を厳密に管理しない え、だってダルくないすか。管理するの。何時に働き始めて何時に働き終わったかなんて関係ないっしょ。大事なのは働いた結果のアウトプットであり、働いた時間なんか問題じゃない。

2.休憩も厳密に管理しない え、だってダルくないすか。管理するの。何時に休憩し始め(ry

3.工数を厳密に管理しない え、だ(ry

4.目に見えるアウトプットを意識する 当然のことながら、仕事は結果が全てであり、結果が出なければどこで何時間働いたって意味がない。そして結果というのは目に見えなければ意味がない。 だからこそ、アウトプットを出すこと、アウトプットを評価することに徹底的にこだわる。それはドキュメントかもしれないし、お客様やパートナーとコミュニケーションするためのメールかもしれないし、社内の改善活動かもしれないし、メンバーへのフォローかもしれないし、ブログかもしれないし、Slackでの発言かもしれない。 とにかく目に見えないものは周りも認められない。目に見えるアウトプットしか評価されないし、そのために徹底的にアウトプットするんだ、という意識を社内でしっかりと作ることが重要。

5.コミュニケーションコストを意識する どんなに頑張っても、オンラインのコミュニケーションはオフラインのコミュニケーションの密度を越えられない…

これで完璧!本当に役立つテレワークマナー

コロナ禍によってテレワークを導入する企業が増えた昨今、皆様いかがお過ごしでしょうか。僕は4連休明けでダルかったので有給を取得し妻とデートしてきました。イェーイ。さて、弊社も今年2月以降は全社員完全テレワークに移行しました。弊社は2011年からテレワークを導入し各自が自由に活用していたため、特に大きな問題も無くテレワーク体制に移行したのですが、全社員完全テレワークは初めての状況であり、幾つかの課題が発生しました。特に、その状況下でも新しく入社する社員がいますので、これまで社内で培ってきた暗黙の了解が共有出来ないことは大きな課題でした。ということで、本記事では、弊社のテレワークマナーについてご紹介したいと思います。皆さんのご参考になれば幸いです。業務の開始と終了はチャットで宣言するこれはオフィス出社時でもテレワークでも変わらないのですが、業務開始時と業務終了時にはSlackで宣言しています。弊社ではこれを開店/閉店と呼んでいます。気をつけて頂きたいのは、これは報告ではなく共有であるということです。業務開始と業務終了を共有しておくことで、同僚が相談したり依頼をしたりできる時間を把握出来ます。この共有をしておかないと、業務開始前や業務終了後にMentionがバンバン飛んで来るかもしれません。もちろん飛んできたからって怒るメンバーはいないのですが、お互いちょっとした気遣いが出来るように、自分が働いている時間は共有しておくと良いでしょう。これは休憩時間も同様です。昼休みにのんびりゲームしているときにスマホがブーブー鳴っていたら気が散るかもしれません。休憩開始と終了をSlackで宣言することでゆっくり休憩することが出来ます。休憩中はDisplay nameの後ろに「休憩中」等と付けておくのも良いでしょう。マイクとスピーカーはPC内蔵のものを使わないPCの性能は以前と比べて格段に上がっていますが、残念ながらマイクとスピーカーはそうではありません。マイクについては音質は向上しているものの、指向性が無いために周囲の音を拾ってしまいます。そしてPC操作時には、どうしても打鍵音がダイレクトに響いてしまいます。またスピーカーは、まぁ正直全く駄目です。音楽を聞くのにさえ向いていないのに、音声のやり取りなんか出来るわけがない。マイクとスピーカーは必ず別に用意しましょう。必ずしも高価なものである…

ネガティブなフィードバックをする時に意識したい7つのこと

僕は現在は取締役兼事業本部長という立ち位置でお仕事させて頂いてますが、元々はエンジニアで、かつピープルマネージメントを15年以上しておりました。僕がマネジメントしたメンバーは合算すると200人以上になります。正直に言えば、楽しいことはたくさんあったけれど、もちろん辛いことも多々経験していまして、特にメンバーに対してネガティブなフィードバックをすることは大きな苦しみの一つです。
最近、自分の部署の若いマネージャーから、ネガティブなフィードバックを上手に行うことが難しく課題に感じている、という声があったので、僕の経験をまとめてみました。 ポジティブなフィードバックをセットにして伝えるどんな人にとっても、悪い話を聞くことは楽しい経験ではありません。悪い話だけを聞き続けると、不愉快な感情が理性を覆い隠してしまいます。しかしフィードバックとは叱ることではなく、どのように改善していくかを議論するためのきっかけであり、感情的になることはマイナスに働きます。ネガティブなフィードバックを伝える時は、ポジティブなフィードバックをセットに、出来れば先に伝えます。良い点がない人はいません(そんな人は採用していないはずです)から、必ず褒めるポイント、褒めるべきアウトプットがあるはずです。ポジティブなフィードバックをセットすることで、相手の感情のバランスを取ることが出来ます。ネガティブな内容を責めるのではなく事実として伝える上述の通り、フィードバックの目的は叱責ではなく改善なので、「なんで出来ないんだ」とか「どうして出来なかったんだ」ではなく、事実としてのネガティブな現状を正確に伝えることが重要です。例えそれが叱責に値する内容であったとしても、どちらか一方が感情的になると必ずもう片方も感情的になるので、冷静に正しく事実のみを伝えます。期待値を提示するネガティブなフィードバックには、必ずあるべき姿、こちらが期待していた姿があるはずなので、それを伝えます。その際には一方的に伝えるのではなく、こちらの期待値を根拠と併せて伝え、その上で一緒にその期待値の妥当性を議論します。この期待値のすり合わせをしないと、メンバー本人の振り返りも生まれず、改善のためのアクションも「言われたからやる」だけになってしまいます。 なぜネガティブな結果になったのかをヒアリングする人それぞれ様々な事情や環境があるため、どうして…