スキップしてメイン コンテンツに移動

WAFなんて誰も要らない

WAF(Web Application Firewall)の雑感です。

昨日の第1回北海道情報セキュリティ勉強会で、竹迫さんからmod_waffulとmod_securityの話が出ていましたが、営業としてはお金になりやすい箱物のWAFを販売したがります。箱物のアプライアンスになると、構築を担当するのはどうしても開発者ではなく、基盤構築担当者になります。そうすると、開発者は基盤を知らず、基盤構築担当者は開発を知らないため、結果的に誰もWAFを設定できません。この「知らない」というのは2つの点があると思います。

・技術的な面
開発者は自分が触れる範囲での基盤(OSなりミドルなり)は技術的に把握しているのでしょうが、深く知らない場合が多いです。また自分が触れない部分(トータルとしての基盤)は知らない、というか理解したがらない。だから、「WAFでセキュリティ」と言われても、「それって基盤構築チームが担当でしょ?アプリは動いているんだから」と言う。
基盤構築担当者は、「俺たちは基盤を作る、上物は開発チームでしょ?上物のセキュリティは開発チームでやれよ」と考える。また開発チームで作成したアプリの詳細は知らないし、詳細の技術も知らない。まぁ詳細の技術が分かってれば開発で飯食えますよね。
だから、WAFというのは宙に浮きやすい。

・政治的な面
多くの場合開発チームと基盤構築チームは部署自体が違うので、責任分岐点を明確にしたがります。箱物のWAFというのはすごく難しくて、そこで問題点があったり、設計にミスがあったりしても、どっちに責任があるのか分かりづらいんですよね。だからどちらの部署ともに手を出したくないし、部署が違う以上お互い密接に協力しあうのも(多々大人の事情で)難しい。

このお話を、昨日の懇親会でまっちゃだいふくさんにしたのですが、やはり難しいというか、全国的にみてもWAFの導入は進んでいないとのことで、やはり開発者と基盤構築担当者のすり合せを行える部署、Webディレクターみたいな人がしっかり調整しないと、出来ないだろうと仰ってました。

いつも思うのですが、開発が考えるセキュリティと、基盤が考えるセキュリティには大きな溝があるんですよね。開発はその成果物に対してのセキュリティを考えるけど、基盤はトータルというか、インフラ全体のセキュリティを考えます。とはいえインフラの部分部分を全て詳細に把握できるわけもなく、詳細はその担当者に任せるしかないのですが、しかしその担当者は全体を見てくれない(見る必要もない、責任がないから)ので、結果的にどこか不足している部分が出てしまう。

また、もう1点WAFの導入が進まない事情と考えるのが「誤検知」です。これはIPSでも同様なのですが、外部からの攻撃により障害が発生した場合、「出来る限りの対策をしていても発生したのなら仕方がない、今後の対策を考えてくれ」と言われるくらいで、もちろんクレームにはなるのですが、そこには諦観が入る場合が多いです。しかし、WAF(またはIPS)の誤検知が原因で障害が発生した場合、大抵の顧客は激怒します。「システムがちゃんと動いているのに、セキュリティを守るはずの機械が原因で障害が発生するとはどういうことだ、これなら入れないほうがマシじゃないか!」と。普段WAFによって守られていることは問題にされません。顧客にとって「正常動作=普通」であるからです。攻撃に対する守備ってコストパフォーマンスだったり成果として表しにくいんですよね。むしろ守備が失敗したときのマイナスイメージのほうが強い。これは多分サッカーでいうキーパーと同じですよね。ゴルゴメソッドで言えば、「Gは無理ですがテロリストくらいは対応できるSP入れました→SPに裏切り者が!→ノーガード戦法」みたいな。笑い話みたいだけど、これが多分リアルです。結果、誰もWAFなんて入れたがらないんですよね。技術も、営業も、顧客の情報システム部も。

モジュールベースのWAFは開発者側で設定できるし、今後の発展はありそうですが、箱物のWAFの普及はほぼ絶望的なんじゃないか、と僕は考えてます。

また、開発者と基盤構築担当者の橋渡しになる技術者というのは需要が高いんじゃないかなと思います。実際のところ中々いませんよね。非常に高い技術レベルが要求される仕事だとは思いますが、これだけWebアプリケーションが普及した現在、強く求められている立場ではないかと思います。こういった人が増えれば、WAFの普及も進むのではないでしょうか。

このブログの人気の投稿

努力できること自体が才能なので、努力しただけで褒められるべき

発明王トーマス・エジソンの名言としてよく知られる「天才とは1%のひらめきと99%の努力である」という言葉があります。実際の意図は「1%のひらめきがなければ、99%の努力は無駄になる」であったとも 言われています が、まぁどちらにせよ、ひらめきだけでは成功することはできず、そこには必ず努力も必要となります。 漫画「はじめの一歩」において主人公の師匠である鴨川会長は「努力した者が全て報われるとは限らん。しかし、成功した者は皆すべからく努力しておる」と言っていました。ここにも、成功において努力は必要不可欠であるとの強いメッセージがあります。 しかし、実際には誰もが努力できるわけではありません。 努力できること自体が才能 なのだと思います。 努力をしないことが問題だと言うつもりはありませんし、努力をしないという選択肢を選ぶことは個人の自由だと思います。必ずしも成功が万人の幸せなわけではないし、成功しなくても得られる生活によって満足する人だっています。 僕が言いたいのは「そもそも努力できない人がいる」という事実です。こういう方は選択の余地が無く、何かにおいて1位になったり、一流になったり、勝利したり、成功したりすることは難しくなります。それらには必ず努力が必要になるからであり、そして努力ができない、努力をする才能が無いからです。 これには実験の裏付けがあります。詳しくは10年前の WIREDの記事 に書かれていますが、ざっくり言うと、脳内の一部(左線条体と前頭前皮質腹内側部)におけるドーパミン作動性活性が高いと努力ができる、違う一部( 島皮質)の ドーパミン作動性活性が高いと努力できない、という実験結果があります。そもそも脳の作りや働きによって努力ができる人とできない人がいる、ということです。 繰り返しになりますが、僕は努力しない人が悪いとも思っていないし、責めるつもりもありません。僕が言いたいのは以下の2点です。 (1)努力できること自体が才能であり、その才能が無い人はそもそも努力ができないので 、努力できないことを責めてはいけない。 それは本人の特性であり個性だから。 (2)努力できること自体がすごいことなので、努力した結果が成功に結びつかなかったとしても、責めてはいけない。 努力しただけで褒められてよい。 人にはそれぞれ適材適所があるので、めちゃくちゃ努力する人は努力が

自走する組織に必要なのはルールではなくガイドライン

ということをいつも心がけている、という話です。 僕が組織のマネジメント職を20年ほどやらせてもらっている上で、いつも意識しているのは権限移譲とセルフマネジメントです。この辺の話は過去のブログにも書きました。 管理職のためのエンジニア組織構築マニュアル 管理職のための役職引退マニュアル 現場に口を出さないマネージャーの作り方 つまり「権限と裁量を同時に移譲し、責任感を持ってプロアクティブに仕事をしてもらいながらも、メンバーの良いところを更に引き出して高いパフォーマンスを出してもらう」ことこそが、マネジメント職のやるべきことだと思っています。 そのために僕がいつも権限移譲の際に伝えるのは、ルールではなくガイドラインです。ルールは規則や規定といった決まりごとなので「やること」「やってはいけないこと」が書かれたものです。ガイドラインは大まかな指針なので「方向性」「やったほうがいいこと」「やらないほうがいいこと」が書かれたものです。 ルールを提示した場合、そのとおりにすれば過去の実績からある程度の成功は見込めるものの、状況に応じた柔軟な判断が出来ませんし、メンバーの考えや意見が行動に反映されません。メンバーはルール通りの行動しか出来ず、結果としてルールを作成した人以上の成果は出せなくなってしまいます。 ガイドラインの場合、会社として望ましいと考える方向性だけが書かれているので、状況に応じた柔軟な判断も出来ますし、メンバーが考えるより良いやり方や行動を取り入れることが出来ます。ガイドラインを作成した人以上の良いアイデアがあればガイドラインをアップデートすることも出来ます。 これは権限移譲だけでなく、育成においても同様だと僕は考えます。1から10まで決まりきったカリキュラムをやらせることも時には(あるいは人によっては)必要だけれど、本当に価値のある育成は、メンバーに目指してほしい姿を伝え、現在とのギャップを一緒に認識し、そのギャップを埋めるための多種多様な方法を伝えて、その上で本人が取捨選択して自分自身で学習していく。企業や上長はそのサポートを行う。というのが、最も成長出来る育成方法だと思います。 学習する組織 ― システム思考で未来を創造する posted with AmaQuick at 2

「許可を得るな、謝罪せよ」が意図していること

 弊社ではセルフマネジメントとアウトプットファーストを行動指針として掲げていますが、セルフマネジメントを象徴する言葉としてよく使われるのが 「許可を得るな、謝罪せよ」 です。 細かい話は 以前ブログにした のでそちらを読んで頂くとして、この言葉が意味するのは「アクションするのにいちいち許可を得る必要はない。許可を取る時間が無駄。やっていいですかじゃなくてやりましたと言えばいい。その結果間違っていれば謝れば良いだけ」です。 何故この方針を取るのか、この方針によってどのような結果を期待しているのか、を改めて整理したいと思います。 アクションのスピードを上げたい これは上述した意味の通りで、何らかの施策や企画があるときに、上長の許可を取るために資料を作ったり、打ち合わせしたり、下調べをしたり、という時間が無駄だからです。 この考え方の前提として「小さな失敗を早くたくさんする」というのがあります。どんな施策も企画も、正解なんて誰にもわからないし、やり方次第で変わるものです。アイデアの時点であーだこーだ言うより、実際に手を動かしてやってみて、その結果から継続の判断を行うことで、リスクを小さく、コストも小さく、たくさんアクションすることが出来ます。 モチベーションを持って取り組んでもらいたい 何でもそうですけど、人に言われたことをそのままやるより、自分で考えたことを自分のやり方でやるほうが、面白いです。僕が仕事をする上で、または僕がピープルマネジメントする上で、一番重要視しているのは、面白いかどうか、です。 担当者がモチベーションのないままやって成功することなんて(ほとんど)ありません。その施策や企画の実施に一番モチベーションがあるのはそれを考えた人なので、その人に主導してもらうのが一番成功率が高いです。 主体性を持って取り組んでもらいたい モチベーションと同様に、担当者が主体性のないままやって成功することなんて(ほとんど)ありません。その施策/企画を自分ごととして捉え、だからこそ知恵を絞って、全力を発揮する、つまり主体性を持って取り組むことが、一番成功率が高いです。そしてもちろん、一番主体性を持てるのはそれを考えた人です。 なお、主体性と責任は違います。前述の通り「小さな失敗を早くたくさんする」ためには、失敗に対して責任を追求するのではなく、結果と知見を追求する、という文化が