はじめに AWS環境にWAFの導入をお考えのかたが多くなったと感じています。 改めて、なぜWAFを導入するのかを考え、最適な選択をするために必要な情報を整理したいと思います。 WAFを導入する一般的な理由 AWS Black Belt Tech Webinarで「なぜWAFを使うのか」が紹介されています。 一般的なユースケースとして、SQLi対策、XSS対策、BOT対策、DDoS緩和、PCI-DSS対応があげられています。 その他にも、組織の規定上導入しなければならないといったケースがあります。 Webアプリケーションに大きな影響を与える脆弱性が話題になる事があります。 Apache Struts2の脆弱性は記憶に新しいかと思います。 脆弱性対策として、WAFをお考えの方も多いのではないでしょうか。 脆弱性対策としてのWAFはあくまで支援ツール アプリケーション、ミドルウェア、OSの脆弱性