WebアプリとDBが危ない! 第7回
低価格で導入も簡単!Webセキュリティ対策の新しい形
高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力
2009年07月30日 09時00分更新
SaaS型のWAF(Web Application Firewall)サービスを銘打った「Scutum(スキュータム)」が6月にスタートした。WAFといえば高価で導入が難しいというイメージがあるが、ScutumはこうしたWAFの課題を一気に解消するという。さっそく提供元のセキュアスカイ・テクノロジーと技術協力を行なったビットフォレストの担当者を取材した。
アプライアンス1台分の料金で
8年間利用できるSaaSのWAF
WAFはSQLインジェクションやXSS(クロスサイトスクリプティング)など、Webアプリケーションに対する攻撃を防御するのに特化したファイアウォールを指す。クレジットカード会社が策定したセキュリティ標準規格であるPCI DSS(Payment Card Industry Data Security Standard)の中でも実装が明示されており、昨今大きな注目を集めている。しかし、WAFには製品が高価で、設定や導入に時間がかかるという問題がある。
こうしたWAFの課題を解決するSaaS型のサービスが、今回紹介するセキュアスカイ・テクノロジー(以下、SST)のScutumである。もともとSSTはWebサイトのセキュリティ診断やコンサルティングを生業としているが、「Webアプリケーションごとのセキュリティ診断は工数もかかりますし、料金的にも高いので、払える企業は限られてきます」(SST副社長 若林 進二郎氏)というのが現状。そのためWAFのような仕組みを手軽に提供したいと考えたのが、このScutumとのこと。ちなみにScutumとは古代ローマの盾のことで、名付け親はJPCERTコーディネーションセンター代表理事で、同社の非常勤取締役である歌代 和正氏だとか。
ScutumはSaaS型なので、なにより導入が容易だ。顧客側でDNSのレコードを変更し、いったんSSTのセンターを経由して、顧客サイトへアクセスさせるだけ。当初は攻撃を防御せず、モニタする形でサービスを開始し、正常通信を遮断しないことを確認した上で、本格的な防御を開始するという。「とにかく手軽に使ってもらいたいので、誤検知を減らすのを目的に、確実な攻撃のみ止めるポリシーで運用しています。見分けが付きにくい通信はログに残しています」(若林氏)。こうすれば攻撃はふるい落とされ、正常な通信だけが残されるわけだ。
Scutumで防げる攻撃は、SQLインジェクションをはじめとする不正なコマンドの実行や、ディレクトリやパスのトラバーサル、クライアント側からXSS、不正な認証や総当たりなど。もちろん専用機に比べれば精度は落ちるが、「被害が甚大なSQLインジェクション系は90%以上止められますし、OWASP (Open Web Application Security Project)が発表しているトップ10の脆弱性や攻撃にも対応しています」(若林氏)と検出精度をアピールする。SSTも、もともとWebサイトのセキュリティ診断が本業なので、脆弱性の発見や攻撃の解析はお手の物で、スピーディにシグネチャに反映される。
そして驚くべきは、その価格だ。トラフィック量で料金は変わるが、最低月額2万9800円からスタートできるというのは敷居が低い。300万円くらいが相場のWAFアプライアンス1台の料金で、8年間使えると考えるとそのお得度がわかるだろう。
(次ページ、ブラックリスト方式以外あり得ないと思っていました)
この連載の記事
-
第14回
TECH
情報セキュリティのプロが語る「PCI DSS、はじめの一歩」 -
第13回
TECH
管理者に優しいペンタのWAF「WAPPLES」を支える技術 -
第12回
TECH
RSAらしさ満載のPCI DSS導入支援サービス -
第11回
TECH
情報元を抑えよ!DBセキュリティを先導する「FortiDB」 -
第10回
TECH
セミナーでわかったバラクーダとアップルの意外な共通点 -
第9回
TECH
今度のインパーバは金庫番+パトロールでDBを守る -
第8回
TECH
脆弱性監査も試用可能!フォーティネット、FortiDBを強化 -
第6回
TECH
キヤノンIT、偽装ファイルの検出強化のWEBGUARDIAN -
第5回
TECH
白黒はっきりつけたいWAFの最新事情 -
第4回
ネットワーク
雲の中にWAFを設置するアカマイの新サービス - この連載の一覧へ