先日から実験的にWAFを動かしてます。

まあボクが直接手を出してるワケではないので、不確かな所ではありますが、どうにもシグネチャベースIDSの呪縛から離れられないような感じがします。

となると運用のコツはだいたい想像ついて、まかせっきりで遮断なんてあぶなっかしくてしかたない。こーゆー製品を売り切りにしようとしてるメーカーと商社は、また信頼を失うことになるよ。

そういえば昨年末に新しいコンセプトのIDS(IPS)を開発したので評価して欲しいってな依頼があって、ボクは「ああ。またか」と及び腰だったんだけど、若者が興味あるらしくてゴソゴソやってたな。例によってアラートの検証で一苦労。結局False Negativeが多すぎる上に、検出する根拠が分かりづらいので、アラートの信頼性が低いわけだ。そんな状態で通信遮断なんか任せられるワケがない。

そのIDS(IPS)自体は、これまでに比べてちょっと出来が良かったんだけど、IPSの本来の目的(？)で運用することはムリかも。もっともIPSは「危険な通信を未然に遮断します！！！！！！」って売り方してるのが悪いんだけどもな。