【インタビュー】増加するWebアプリケーションへの攻撃にどう対処するか

　近年、Webアプリケーションの脆弱性に照準を定めたサイバー攻撃が、かつてない規模で発生し、Web アプリケーションファイアウォール（WAF）が再び脚光を浴びている。

　一方、WAFはこれまで、導入費用が高額で、運用管理も煩雑な、敷居の高いセキュリティ製品と考えられてきた。こうした状況の中、ソフトバンクテレコムは、新しいWAFサービス「ホワイトクラウドゲートウェイクラウドセキュリティ Webアプリケーションファイアウォール（以下「ホワイトクラウド WAF」）」を2012年末にサービスインした。

　WAFサービスとして後発であるが故に、脅威動向と顧客ニーズを分析し、新しいWAFのあり方を市場に提案しているという。同社セキュリティサービス開発部の浅尾顕史氏に、今後企業が求められるWebアプリのセキュリティ対策と、ソフトバンクテレコムが出したWAFへの回答について話を聞いた。

――WAFを取り巻く状況が変化していますね

　今年の春くらいから、Webアプリケーションを狙ったサイバー攻撃が多発しており、ニュースでも詳しく報道されています。「うちは大丈夫？」と、企業の情報システム部門の方から相談をいただくケースがとても増えました。

――WAFという製品カテゴリの認知も進んでいるのでしょうか

　これまでは、WAFとは何か、IDS/IPSとの違いからご説明をする場合が多かったのですが、最近では「WAFを導入したいのですが」と直接相談をされるケースが増えています。WAFとIPSの違い、価格感、運用や初期設定が難しいという点まで既に承知の方が多いです。

　弊社では、企業向けクラウドサービスとして「ホワイトクラウド」ブランドでさまざまなクラウドサービスを提供する中で、シングルサインオン、PKI認証基盤やワンタイムパスワードなどの10種類ほどのセキュリティサービスを展開しており、2012年末には新たにWAF機能をクラウド型で提供する「ホワイトクラウドWAF」をリリースしました。

　弊社のセキュリティサービスは、クラウドサービスを安全に使ってもらうためのサービスといった位置づけです。今回のWAFでいえば、SaaS系のサービス、たとえばVMwareとの提携による仮想サーバサービス「ホワイトクラウドVMware vCloud Datacenter Service」とのセットで提案しています。

　もちろん、「ホワイトクラウド」を御利用いただいていない場合も、WAF機能だけSaaSサービスとして利用することも可能です。

――既存製品やサービスとの差別化をどう打ち出していますか

　「ホワイトクラウドWAF」は、クラウド型のWAFサービスということが最大の特長です。設備は弊社で管理していますので、機器の初期設置や運用監視コストの削減が可能です。ホワイトクラウドWAFでは初期費用無料で、お申し込みをいただいてから約10日でご利用が可能ですので、サイトを改修するために半年間だけ利用するケースや、システム単位での利用、開発・テスト環境などでもご利用なども可能です。

　メニューについては、専有帯域と共有帯域に分けており、共有25Mbpsの場合ですと月額19,800円から提供しています。

　もうひとつの特長は、初期設定のしやすさがあります。「ホワイトクラウドWAF」はペンタセキュリティ社の「WAPPLES」という製品を使用しており、シグニチャベースではなく、ルールベースの検知を行います。複数のルールをかけ合わせることで、攻撃構文として成立しているかどうか、既知の攻撃パターンに該当するかなどの分析を行いブロックするため、既知および未知の攻撃にも効率的に対応できます。また、どのような脅威に対してどの位の強度でブロックするかという設定を簡単に行えます。

　実際に利用される場合は、標準で用意している5つの基本ポリシー「検知のみ」「ベーシック」「スタンダード」「アドバンスド」「PCI-DSS」から選択頂き、段階的にポリシーをカスタマイズしていきます。

――ポリシーのカスタマイズについて、もう少し詳しく教えてください

　ポリシーの設定は、それぞれのルールに対してどのようなアクションを起こすかといった項目を個々に設定することができます。具体的には、検知ルール毎にパラメータや閾値の設定、検知後の対応策として、セッションを切断するかエラーコードを表示させるか、リダイレクトさせるなどの細かな動作も定義できます。
仮にルールに該当しない新たな攻撃が発見された場合は、特定のブロックを行うルールを提供します。

――市場の反応はどうですか

　官公庁、ECサイト運営会社、生活消費材メーカーなど幅広い業種の企業から問い合わせを頂いております。低価格である点と、機器を資産として持たなくてよいという点で興味を持っていただくケースが多いです。

――従来のWAFは、金融や大規模ECサイト、社会インフラ等々、大規模なサイトや企業が使うもの、というイメージがありますが

　近年では、複数のサイトから入手したIDとパスワードを利用した不正ログインが増えているため、規模に関係なくIDとパスワードを持っているというだけで攻撃の標的となると考えています。中小規模のECサイトや、企業サイトでも、メールマガジン発行や会員登録の仕組みをとっていることもありますので、大規模サイトや大企業以外でもWAFの需要が増えていくと考えています。

――ありがとうございました。