このページの本文へ

前へ 1 2 次へ

WebアプリとDBが危ない!第7回

低価格で導入も簡単!Webセキュリティ対策の新しい形

高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力

2009年07月30日 09時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

SaaS型のWAF(Web Application Firewall)サービスを銘打った「Scutum(スキュータム)」が6月にスタートした。WAFといえば高価で導入が難しいというイメージがあるが、ScutumはこうしたWAFの課題を一気に解消するという。さっそく提供元のセキュアスカイ・テクノロジーと技術協力を行なったビットフォレストの担当者を取材した。

アプライアンス1台分の料金で
8年間利用できるSaaSのWAF

 WAFはSQLインジェクションやXSS(クロスサイトスクリプティング)など、Webアプリケーションに対する攻撃を防御するのに特化したファイアウォールを指す。クレジットカード会社が策定したセキュリティ標準規格であるPCI DSS(Payment Card Industry Data Security Standard)の中でも実装が明示されており、昨今大きな注目を集めている。しかし、WAFには製品が高価で、設定や導入に時間がかかるという問題がある。

ビットフォレストの金床氏(左)とセキュアスカイ・テクノロジー株式会社 取締役 副社長の若林 進二郎氏(右)

 こうしたWAFの課題を解決するSaaS型のサービスが、今回紹介するセキュアスカイ・テクノロジー(以下、SST)のScutumである。もともとSSTはWebサイトのセキュリティ診断やコンサルティングを生業としているが、「Webアプリケーションごとのセキュリティ診断は工数もかかりますし、料金的にも高いので、払える企業は限られてきます」(SST副社長 若林 進二郎氏)というのが現状。そのためWAFのような仕組みを手軽に提供したいと考えたのが、このScutumとのこと。ちなみにScutumとは古代ローマの盾のことで、名付け親はJPCERTコーディネーションセンター代表理事で、同社の非常勤取締役である歌代 和正氏だとか。

 ScutumはSaaS型なので、なにより導入が容易だ。顧客側でDNSのレコードを変更し、いったんSSTのセンターを経由して、顧客サイトへアクセスさせるだけ。当初は攻撃を防御せず、モニタする形でサービスを開始し、正常通信を遮断しないことを確認した上で、本格的な防御を開始するという。「とにかく手軽に使ってもらいたいので、誤検知を減らすのを目的に、確実な攻撃のみ止めるポリシーで運用しています。見分けが付きにくい通信はログに残しています」(若林氏)。こうすれば攻撃はふるい落とされ、正常な通信だけが残されるわけだ。

Scutumのシステム構成(同社サイトより)

 Scutumで防げる攻撃は、SQLインジェクションをはじめとする不正なコマンドの実行や、ディレクトリやパスのトラバーサル、クライアント側からXSS、不正な認証や総当たりなど。もちろん専用機に比べれば精度は落ちるが、「被害が甚大なSQLインジェクション系は90%以上止められますし、OWASP (Open Web Application Security Project)が発表しているトップ10の脆弱性や攻撃にも対応しています」(若林氏)と検出精度をアピールする。SSTも、もともとWebサイトのセキュリティ診断が本業なので、脆弱性の発見や攻撃の解析はお手の物で、スピーディにシグネチャに反映される。

 そして驚くべきは、その価格だ。トラフィック量で料金は変わるが、最低月額2万9800円からスタートできるというのは敷居が低い。300万円くらいが相場のWAFアプライアンス1台の料金で、8年間使えると考えるとそのお得度がわかるだろう。

(次ページ、ブラックリスト方式以外あり得ないと思っていました)


 

前へ 1 2 次へ

この特集の記事
ピックアップ