• HOME
• お知らせ
• サービス案内
• 会社概要
• お問い合わせ
• オフィシャルブログ
• ダウンロード

• WAF導入サービス
• WAF選定のポイント
• WAFソリューション
• お得なWAF導入プラン
• WAFとは

WAF選定のポイント

WAF選定にあたっては、シグネチャの性能が重要です。シグネチャの性能を測る物差しとして、2種類の誤検知「偽陽性」と「偽陰性」が少ないことが要求されます。

「偽陽性」と「偽陰性」とは

WAFによる攻撃判定は、パターンマッチ技術によるため、どうしても誤検知の可能性があります。

• 偽陽性(false positive)：利用者からの正当なリクエストを誤って攻撃と判定すること
• 偽陰性(false negative)：攻撃であるのに攻撃と判定せず見逃すこと

偽陽性があると、利用者の正答な要求をブロックしてしまい、サービスが使えなくなります。偽陰性があると、そのパターンを用いた攻撃に対する防御ができません。

どちらの誤検知もないにこしたことはありませんが、偽陽性があるとサービスが使えなくなってしまうという点で、良いWAFの条件として、偽陽性が少ないことが重要です。

日経SYSTEMSの評価結果

この点について、筆者代表の徳丸浩が日経SYSTEMS誌の企画で主要5製品の評価をしたことがあります。

• WAFでWebアプリの脆弱性を守れるか

この際にもっとも高評価だった製品が、株式会社ジェイピー・セキュア社のSiteGuardでした。

• SiteGuard製品情報
• SiteGuard Lite製品情報

HASHコンサルティングは、SiteGuardおよびSiteGuard Liteの正規販売代理店として、これらWAF製品の販売を開始しています。サービスメニュー