予防セキュリティの対策の導入障壁と運用負荷
WEBアプリケーションファイアーウォール(WAF)、ファイアーウォール、侵入防止装置(IPS)、セキュアOSといった改竄予防を目的としたセキュリティ対策は、ある程度の攻撃に対して有効な解である。しかし、攻撃側も技術向上しており、ゼロデイ攻撃やDDOS攻撃、ソーシャルハッキングなど、予防システムが有効で無くなってきているのも事実である。
予防セキュリティの問題点
- 予防セキュリティ製品は高価
-
IPSは、UTMという統合セキュリティアプライアンスにFWとともに実装されることが当たり前になってきており、だいぶこなれてきているが、導入費を含めると、百万単位のコストが必要になります。WAFは、まだまだ歴史が浅く、まだまだ価格が高く、高度なシグネチャーの購入が必須になっている。
予防セキュリティ製品価格目安表製品種別 導入価格 年間運用コスト IPS/FW 50万円~ 10%~30% WAF 200万円~ 20%~50% SecureOS 50万~ 20%~30% - 運用が大変
- 一般にコンピュータシステムは、導入されてから時間経過すればするほど、脆弱性が発見され、攻撃手法が発展していきます。このため、予防システムは、シグネチャーと呼ばれる攻撃に対応した防御ルールを適時アップデートしていく必要があります。ルールの作成自体は、予防システムの提供ベンダーが作成するので、保守コストを支払えばよいのですが、基幹システムの場合、アップデートにより既存のシステムへの影響が事前の検証が必要になります。頻繁にアップデートされるルールに検証が追い付か無いため、運用困難になっているのが場合が多いようです。
- 100%守れると言い切れない
- 仮に、コストもかけ運用もしっかり行ったとしても、悪意のある攻撃から100%守ることができることはできないのが現実です。予防システム導入を推進する人にとって、「これを入れたら、完全に守れるんですね」といわれると、ハイといえないのが現実です。