規格から見るWAFとRASP:PCI DSS・ISMAP・JISでの位置づけ
🌐 はじめに
セキュリティ技術は単に導入するだけでなく、規格や基準にどう位置づけられているかが実務や試験で重要になります。特にWAFやRASPは、PCI DSS(クレジットカード業界基準)、ISMAP(政府クラウド認定制度)、JIS規格(国内標準化)で明確な扱いが定義されています。本記事では、これらの規格でのWAF/RASPの役割と導入要件を整理します。
💳 PCI DSSにおける位置づけ
要求事項
-
PCI DSS 要件6.6:「公開Webアプリケーションは、WAFを配置するか、または脆弱性を修正するためのセキュアコーディング/コードレビューを行うこと」。
-
つまり、WAF導入は義務ではなく代替手段のひとつ。
RASPの扱い
-
公式に明示はないが、実行時防御という性質上「アプリケーションセキュリティ対策」の一部として認められうる。
-
ただし、実装事例はWAFほど一般的ではない。
試験では「PCI DSSでWAFは必須か?」という問いに対して「代替可能」と答えられると差がつきます。
🏛️ ISMAPにおける位置づけ
ISMAPとは
-
日本政府がクラウドサービスを調達する際のセキュリティ基準(政府版FedRAMPのようなもの)。
-
Webアプリ防御も要求事項の一部として定義されている。
WAFの役割
-
外部公開Webを守るための基本的対策として位置づけ。
-
特にクラウドWAF(AWS WAF、Azure WAFなど)の利用実績が多い。
RASPの扱い
-
直接的な明記は少ないが、多層防御の一部として評価される。
-
ゼロデイ対策や誤検知低減に有効。
ISMAPでは「実装手段までは固定しない」が、WAFを導入している方が審査で安心されるのが実情です。
📏 JIS規格での位置づけ
関連規格
-
JIS Q 27002(ISO/IEC 27002準拠):情報セキュリティ管理策。
-
JIS Q 27017:クラウドセキュリティ管理策。
WAFの関連部分
-
「システム開発・運用における脆弱性管理」「通信のセキュリティ」において、推奨策としてWAFの利用が触れられる。
-
直接的に「WAFを導入せよ」とまでは規定されない。
RASPの関連部分
-
規格ではRASP固有の記述はほぼなし。
-
ただし「アプリケーションに組み込むセキュリティ機能」として解釈できる余地あり。
JISやISO規格は「仕組みの導入を義務付けるもの」ではなく、「管理策の選択肢を示すもの」。誤解して丸暗記すると試験で失点につながります。
🔍 まとめ
-
PCI DSS:WAFは推奨、ただしセキュア開発で代替可能。
-
ISMAP:WAFは外部公開Web防御の定番。クラウドWAFの利用が多い。
-
JIS(ISO/IEC系):管理策としてWAFが触れられるが義務ではない。RASPは直接的な記載なし。
結論としては、「WAFは規格的に広く認知され、導入が期待される存在。RASPは補完的な先進技術」という理解が正しいです。