なぜ一変?WAFに対する市場評価が大きく変わった理由
最近「ガートナー」のレポート上のWAFの位置づけが変わりました。去年までは、WAFを「クレジットカードのデータセキュリティ標準(PCI DSS:Payment Card Industry Data Security Standard)」など法的規制のため、仕方なく導入するものでしたが、その効用性を疑い、適者生存のルールにより市場からすぐ姿を消す商品」と定義しました。しかし、最近のレポートを見ると「WAFは企業の情報セキュリティに必須不可欠な要素」へとその内容が変化しました。
「Hype Cycle for Application Security, Gartner 2013」では、「WAFは、他の競合製品に比べ、その効用性や拡張性が低いため、いまだにも小市場をせいぜい維持している」と評価を格下げしましたが、「Hype Cycle for Application Security, Gartner 2014」では、「規制対象に該当しないという理由でWAFを導入していなかった企業も、今はWebアプリケーションセキュリティの重要性に気づき、WAF導入がただ規制を充実させるための決定ではないことに気付いている。」とより現実的な評価をしています。WAFに対する態度が完全に変わっています。
WAFの位置づけの変化の理由を類推してみると、
- 法的規制があるので嫌々買うのではなく、導入してみたら実際にセキュリティ効果が高かった。
- WAFの代案として挙げられている「セキュアコーディング」は、結果的に非現実な希望にすぎなかった。
- 確実にセキュアなコーディングを行って、管理・維持することはWAF導入より、多くのコストがかかる。
このような理由からWAFの位置づけが急速に上がったと考えられます。このように”変化そのもの”より、”変化の理由”に焦点を合わせてみることが重要です。
企業の情報セキュリティ環境は常に変化しており、そのリスクは日々高まっています。相次いでいるセキュリティ侵害事故をみてもITリスクは、ビジネスの連続性を損ない、投資家の投資心理にも悪影響を与え、深刻な場合は社会混乱を招いて災害災難レベルの経済活動のマヒや企業活動の停止という結果につながる恐れがあります。それでも企業現場では、情報セキュリティに対する総合的な理解不足による意思決定の難しさを訴えています。
こうした観点から、「ガートナー」や「フロストアンドサリバン」などの市場レポートを参照することをぜひお勧めします。”海の灯台”のように「サイバー攻撃の不確実性」を照らすことは、企業の意思決定に大いに役に立つことでしょう。
