WebアプリとDBが危ない! 第7回
低価格で導入も簡単!Webセキュリティ対策の新しい形
高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力
2009年07月30日 09時00分更新
ブラックリスト方式以外
あり得ないと思っていました
Scutumで採用しているWAFは、オープンソースのGuardian@JUMPERZ.NET(以下、Guardian)だ。Guardianの開発者である金床氏は、Web関連の開発会社であるビットフォレストの取締役とともにSSTの技術顧問を務めている。
金床氏がGuardianを開発し始めたのは2002年頃。Webの開発や運用において、ApacheやPHP、OpenSSLなどの脆弱性を塞ぐために書き始めたのが発端だ。「とにかく脆弱性を狙う攻撃が次々と出てきたので、攻撃されているのでは?という強迫観念で眠りが浅くなったくらい。でも、当時もWAFは300万円とか、とにかく小さなWeb開発会社では導入できない金額でした。そこで、機械語が混ざっているような怪しいHTTPリクエストをApacheに届く前段階でチェックするプロキシとして、Javaで書いたのがGuardianのエンジン部分です」(金床氏)とのこと。Javaで書かれているのはSSLの実装が含まれているためで、これにより脆弱性の多いOpenSSLを使わなくて済むようになったという。
Guardianは攻撃パターンをシグネチャとして登録しておき、これをトラフィックとマッチングさせるブラックリスト方式を採用している。これに対して、あらかじめ許可するトラフィックを定義するホワイトリストという方式もあり、実際商用WAFの一部の機種で採用しているが、「作り始めた5年くらい前から、ブラックリスト方式以外ありえないと思っていました。日本語を入力する問い合わせフォームとか、ホワイトリストで定義できない項目が普通にあるんです。また、Webサイトの全ページの全遷移をWAFに教え込ませるにはサイト全体を把握しないといけませんし、しかも一部でも改修し直したら、また登録し直す必要があります」と一蹴する。若林氏も「確かにホワイトリストは理想なんですが、弊社でも過去に何台も検証していて、3カ月かかっても本格運用に至らないケースもありましたね」と過去の経験からホワイトリスト方式に異論を唱える。
マルチコアCPUと最新Javaで
商用化に耐えうるレベルへ
とはいえ、Guardianを作った当初は、サーバはCPUもシングルコアで、クロック周波数も600とか700MHz程度。Javaもバージョンが1.4系と古く、「商用のWAFであれば毎秒1000リクエストくらいさばけるのに、Guardianは毎秒70リクエストしか処理できなかった」(金床氏)とのこと。そのため、自社のサーバのみで運用していた。
しかし、2007年になり安価なデュアルコアのCPUが登場し、Javaも1.6系で仮想マシンが高速に動くようになってきた。この結果、コードは変えてないのにGuardianがかなりのトラフィックをさばけるようになったという。そこで、当時出会った若林氏と相談し、納得いく価格でWAFをサービス提供しようということで作ったのが、Scutumというわけだ。サービス開始は6月からだが、このようにGuardian自体の運用はすでに5年経っており、実績も十分といえる。
Scutumでの詳細なシグネチャのチューニングはSIerでの対応が必要になるほか、動画配信などには向かないという。しかし、今まで手が届かなかったお客さんに使ってもらえる手軽なサービスを目指しているという。「もちろん、予算のとれない中小のコマース系サイトなどがメインですが、期間は短いけど個人情報を多く扱っているキャンペーンサイトなどにもお勧めできます」(若林氏)とのことで、無料調査キャンペーンも実施している。
Guardianのサーバもロードバランサを用いてスケールアップできるように設計してあるほか、第2センターの計画もあるとのことで、今後は耐障害性やパフォーマンスも上げていく予定だ。
この連載の記事
-
第14回
TECH
情報セキュリティのプロが語る「PCI DSS、はじめの一歩」 -
第13回
TECH
管理者に優しいペンタのWAF「WAPPLES」を支える技術 -
第12回
TECH
RSAらしさ満載のPCI DSS導入支援サービス -
第11回
TECH
情報元を抑えよ!DBセキュリティを先導する「FortiDB」 -
第10回
TECH
セミナーでわかったバラクーダとアップルの意外な共通点 -
第9回
TECH
今度のインパーバは金庫番+パトロールでDBを守る -
第8回
TECH
脆弱性監査も試用可能!フォーティネット、FortiDBを強化 -
第6回
TECH
キヤノンIT、偽装ファイルの検出強化のWEBGUARDIAN -
第5回
TECH
白黒はっきりつけたいWAFの最新事情 -
第4回
ネットワーク
雲の中にWAFを設置するアカマイの新サービス - この連載の一覧へ