まっちゃ445のパネルでも出ていたホワイトリストとかの話だけど、ホワイトとかブラックとか言うからややこしいのかなあ、とも思った。ポイントはむしろ、負け戦モデルかどうか、ということだと思うんだよなー。
例えば、ウイルス対策ソフトウエアのパターンファイルってのは、成功しているブラックリストの好例だと思うんだけど、基本的にはリストをメンテし続けなければならないので「負け戦」モデルじゃないかな。メンテし続けられるだけの財力を得るビジネスモデルを確立できたから「成功」していると思うんだよね。しかし、そのビジネスモデルの力をもってしても、1割のウイルスには反応できなかったり、新種発生のスピードに追いつけなかったりしてる。
だからこそ、よりメンテの労力がかからないリストを求めたいわけで、例えば、生のファイルとかではなくメタな領域の「パターン」というか、シグネチャをベースにしてるヤツとかが期待されているのはそういう側面だよね。要するに、リストの中身を可能な限り少なく、可能な限り固定的にしたいので。
WAFの話も結局、ブラックとホワイト、どっちのリスティング内容の方が少なくて、固定的になり得るのか、ということなんでしょうね。それは、もしかしたらもっと斜め上のグリーンリストとかかも知れないけど。
で、WAFの場合はホワイトリスト、つまり許可するパターンのリストの方が少なく、固定的だと思われているんだけど、実はそうじゃないんじゃないか、というところが、今回の議論の発端なのかな。攻撃手法はどんどん新しいのが出てくるし、ブラックリストこそいっつも変化流動するから、ホワイトリストがいいじゃん、という意見が主だったけど、まー実際ホワイトリスト作ってみると、作るのに1ヶ月とかかかって、ようやく作り上げたかと思うと「広告のバナーを変えた」「ちょっと階層構造変える」「サイトリニューアルするぞ」という台無し攻撃の嵐が来ることは珍しくないわけでw。むしろ攻撃手法をプリミティブに分解してリスティングしたほうが固定的なんじゃん?とあっしも思う。カバレッジは限定的だけどね。