ガートナーが「WAFは情報セキュリティに必須不可欠な要素」と評価 - ペンタ

ペンタセキュリティシステムズは11月18日、「情報セキュリティの環境変化とWAFの位置づけの変化」と題するコラムを公開した。

近年、企業におけるリスクにおいて「サイバー脅威」が占める割合は増大しているうえ、新たに登場したサイバー脅威もその勢いを増している。また万一、サイバー脅威の被害を受けた場合に事後処理をどうしたらよいかわからないなど、困惑する声も多い。

サイバー脅威における最も深刻な問題は、その概念自体があまりにも難しいこと。販売されている関連書籍は、技術者向けの解説書か、表現が不正確な経営書がほとんどのため、経営と技術の間のギャップはさらに広がり、その隙間を狙う犯罪者や詐欺師によるICTに関する各種事件が相次いでいるという。こうなると、経営者とエンジニア、生産者と消費者、双方が問題の解決策を見つけられなくなる。コラムでは、今日の企業経営における最大のリスクは「サイバー脅威の不確実性」だと指摘している。

サイバー脅威について正確に理解するには、大手コンサルティング企業が公開するデータが役に立つという。ガートナーやフロストアンドサリバンといった世界的なコンサルティング企業は、現場の傾向を実質的に把握するための研究体制も充実しており、セキュリティ企業でも目を見張るものがある。コラムは、米ガートナーの「ハイプサイクル(Hype Cycle)」とフロスト・アンド・サリバンの「マジッククアドラント(Magic Quadrant)」の2つを例にし、有益性を解説している。

「ハイプサイクル」は、特定技術の成熟度を視覚的に表現するためのツール。当該技術の研究開発水準や市場の反応など、さまざまな条件によって各項目を下記の5つに分類しグラフ上に表現する。

黎明期(技術の引き金、Technology Trigger)
流行期(過剰期待の頂、Peak of Inflated Expectations)
幻滅期(幻滅のくぼ地、Trough of Disillusionment)
回復期(啓蒙の坂、Slope of Enlightenment)
安定期(生産性の台地、Plateau of Productivity)

「黎明期」の特徴は、成長の可能性を秘めている技術に対する世間の関心の高まる傾向がある点だ。「流行期」は、概念-モデルへの過度な注目のおかげで製品を造ってみるものの、そのほとんどは失敗する。「幻滅期」は、数多くの失敗によって関心が失われるが、そこから生き残ったわずかの企業から成功事例が出はじめる。「回復期」は、利益を設ける製品が生産されることにより、再び注目を集める。「安定期」は、市場に一定のポジションを占めるようになり、品質を争うようになる。

「マジッククアドラント」では、グラフの縦軸は現在の市場分布状況、横軸は将来に向いた成長戦略の優秀性と実行可能性を意味する。消費者の立場からは、アーリーアダプタの戦略にするか、レイトアダプタの戦略にするかなど、自社の意思決定基準により、グラフの4分割面上の候補群の位置と変化から異なるインサイトを得られる。

グラフ上の企業の位置は、売上、流通ネットワークの規模と品質、従業員数、特に開発者の数とそのレベル、販売、サポートといった各事業分野別における従業員の割合などによって決まる。

ガートナーは、WAF(Web Application Firewall)について「クレジットカードのデータセキュリティ標準(PCI DSS: Payment Card Industry Data Security Standard)」など法的規制のため、仕方なく導入するものと2014年までのレポートで紹介していた。しかし、2015年になってからは「WAFは企業の情報セキュリティに必須不可欠な要素」と評価が一変した。

ペンタセキュリティでは、ガートナーのWAFの位置づけが変化した理由について、「法的規制があるからといって嫌々買うのではなく、導入してみたら実際にセキュリティ効果が高かったから」「WAFの代案として挙げられている『セキュアコーデイング』は、結果的に非現実な希望にすぎなかったから」「確実にセキュアなコーデイングを行って管理・維持することは、WAF導入よりも多くのコストがかかるから」と分析している。