WAFってあくまで保険なんだよなあ。しかもキチンとアプリを守ろうとすると、設定が大変だし。設定が適当だとあまり意味ないし。しかもアプライアンスがほとんどで、とっても高い。
加えて保険であるため、セキュリティ対策がしっかりしたアプリさえ作れれば、不要なものとなるし。まあこれが難しいけどね。
とは言え、毎日のように新しいアプリが追加されたり、ホスティングサービスのように一々アプリの確認ができない場合を除いて、いらないんじゃないかと思ったりして。アプリに問題があったら、直せば良いんだし、というか、本番稼働する前に直しとけって感じだけど。
普通の組織には、値段のわりに得することは少ないなあと思うんだよねぇ。
最も、フリーの奴はタダなので設定さえキチンとすれば、結構使えるとは思うけど。
商用の奴は価格が高い上に保守やなんだで金かかりすぎだと思う。百万切らないとそうそう入れられないよなあと思う今日この頃。