Webアプリケーションは比較的自由度が高いアーキテクチャで，目的，実装，それを取り巻く環境も様々であるため，その問題は多様化する一方だ。それに対して個別に応じていると，対策のアプローチも多様化してしまうのは必定である。加えて，Webアプリケーションセキュリティの論理的な問題に関する検討は，アプリケーション開発の要件定義の段階にまでさかのぼる。技術的な要素であれば、続く設計段階になる。セキュリティ対策コストを最低限にするためには，本来ならこうした初期段階での検討が最善である。とはいえ実際には，はるかにコスト高になるものの，既に運用しているサイトの保護に，手を打たなければならないことのほうが多い。

　Webアプリケーションの問題が多発し，多様化している現在の状況は，根本的な対処が追いつかず，手が回らない状況になっていることを示している。そして，それは，Webアプリケーションにおける技術的な問題を解決するために，多大な時間が必要だと言い換えられるだろう。そうなると現実的な対策として，環境的な問題から解決し，それが技術的な問題による被害を軽減できないだろうか，という考え方も妥当性を帯びてくる。

　ネットワークにおけるセキュリティを確保するために，これまで環境的なアプローチをとってきた経緯がある。今やファイアウォールによる保護は，TCP/IPネットワーク・レイヤーでアクセス・コントロールできる，ごく当然のアプライアンスとして市民権を得ている。

　ネットワーク上にどんな脅威が迫っているかを調べるために，IDS（Intrusion Detection System：侵入検知システム）は開発された。だが，これはあくまでネットワークを流れる不正なパケットを調べ，検知するツールにとどまるものである。そこで，検知した情報を基に保護を行なうIPS（Intrusion Prevention/Protection System：不正侵入予防／保護システム）へと発展した。ワームによる攻撃などインラインで防御できるのは魅力だが，このアプローチの問題は，SSLなどの暗号化されている通信には全く手が出せないこと，ネットワークのパフォーマンスが著しく劣化したことが挙げられる。

　ウイルス・スパムメールは，ネットワークのパフォーマンスに甚大な影響をもたらすようになった。メールに関するこの問題は，Webアプリケーションと無関係とは言えない。Webの機能やその運営に，メールとの連携は不可欠であり，アンチウイルス，アンチスパムは，クライアント・ソリューションだけではなく，サーバー・ソリューションにも必要となっている。

　サーバー環境にセキュリティを確保するため，次々とセキュリティ・アプライアンスを持たなければならなくなった。急増する運用負荷を問題視するユーザーも少なくない。そこで，UTM(Unified Threat Management：統合脅威管理)という概念と，それを実装した装置が登場した。例えばファイアウォール，IPS，コンテンツフィルタリング機能，アンチウイルス，アンチスパム，キーワード・ブロッキング，VPNなど，必要な複数のセキュリティ機能をすべて統合するというアプローチだ。

　しかし，これはWebアプリケーションを保護するためのものではない。むしろ，UTMは社内システムを保護することに主眼があり，社内ネットワークとインターネットの境界線に置かれるものとして設計されているからだ。また，このUTMアプライアンスの導入により，管理負荷の軽減が期待されるものの，他方，個別性能では単機能製品に及ばないことや，集中化ゆえに一部の機能の障害が全体に悪影響を及ぼすなどの耐障害性を懸念する声もある。