プログラムの最後は、WAF対策についてのユーザーからの質問をベースとしたケーススタディを実施。小島氏が聞き手となり、齊藤氏が疑問点に応えた。
「CMSを入れているが大幅改修できないため、バージョンアップしていない。WordPressのPluginをアップグレードできない」という場合でも、WAFは有効かという問いには、攻撃のパターンは多種多様であり、基本となる最新版の利用が重要であるとしたが、CMS本体やWordPressのプラグイン、テーマでは、XSSやSQLインジェクション、パストラバーサルといった脆弱性が報告されることも多い。これらの脆弱性を悪用した攻撃に対して、WAFは大きな効果を発揮するとした。ただし、次の「PCがウイルス感染し、ログイン情報が漏えいした結果、改ざんされた場合にも有効か」という問いには、「このケースをWAFで防ぐことはできない。クライアント側での対策のほか、管理アクセスを制限するなど、別の対策が必要になる。」と応えた。
「WAFを有効にしていても改ざんされるケースはあるか」との問いには、WAFですべての攻撃を防げるわけではない。WAFが対応するのはHTTPアクセスであり、FTP、SSHといったそれ以外の不正アクセスを検査することはできない。「そのためにもトータルのアクセス管理は大切。脆弱性を悪用した攻撃を防ぐための対策、クライアント側での対策などと組み合わせることで、安全性を高めることができる。」と語った。
このほか、「WAFの有効化による誤検知などの弊害を避けるため、WAFを無効にした方が良いという情報を目にすることがある」という問いには、「管理者の設定、例えば、サイトのテーマ編集などによって、誤検知が発生することがある。このとき、単純にWAFを無効にしてしまうと脆弱性を悪用した攻撃に対して弱くなってしまう。誤検知を回避するための設定、機能が用意されているので有効に活用してほしい。」と語り、セミナーを終えた。