このページの本文へ

前へ 1 2 次へ

WebアプリとDBが危ない! 第7回

低価格で導入も簡単!Webセキュリティ対策の新しい形

高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力

2009年07月30日 09時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

ブラックリスト方式以外
あり得ないと思っていました

 Scutumで採用しているWAFは、オープンソースのGuardian@JUMPERZ.NET(以下、Guardian)だ。Guardianの開発者である金床氏は、Web関連の開発会社であるビットフォレストの取締役とともにSSTの技術顧問を務めている。

 金床氏がGuardianを開発し始めたのは2002年頃。Webの開発や運用において、ApacheやPHP、OpenSSLなどの脆弱性を塞ぐために書き始めたのが発端だ。「とにかく脆弱性を狙う攻撃が次々と出てきたので、攻撃されているのでは?という強迫観念で眠りが浅くなったくらい。でも、当時もWAFは300万円とか、とにかく小さなWeb開発会社では導入できない金額でした。そこで、機械語が混ざっているような怪しいHTTPリクエストをApacheに届く前段階でチェックするプロキシとして、Javaで書いたのがGuardianのエンジン部分です」(金床氏)とのこと。Javaで書かれているのはSSLの実装が含まれているためで、これにより脆弱性の多いOpenSSLを使わなくて済むようになったという。

 Guardianは攻撃パターンをシグネチャとして登録しておき、これをトラフィックとマッチングさせるブラックリスト方式を採用している。これに対して、あらかじめ許可するトラフィックを定義するホワイトリストという方式もあり、実際商用WAFの一部の機種で採用しているが、「作り始めた5年くらい前から、ブラックリスト方式以外ありえないと思っていました。日本語を入力する問い合わせフォームとか、ホワイトリストで定義できない項目が普通にあるんです。また、Webサイトの全ページの全遷移をWAFに教え込ませるにはサイト全体を把握しないといけませんし、しかも一部でも改修し直したら、また登録し直す必要があります」と一蹴する。若林氏も「確かにホワイトリストは理想なんですが、弊社でも過去に何台も検証していて、3カ月かかっても本格運用に至らないケースもありましたね」と過去の経験からホワイトリスト方式に異論を唱える。

マルチコアCPUと最新Javaで
商用化に耐えうるレベルへ

 とはいえ、Guardianを作った当初は、サーバはCPUもシングルコアで、クロック周波数も600とか700MHz程度。Javaもバージョンが1.4系と古く、「商用のWAFであれば毎秒1000リクエストくらいさばけるのに、Guardianは毎秒70リクエストしか処理できなかった」(金床氏)とのこと。そのため、自社のサーバのみで運用していた。

 しかし、2007年になり安価なデュアルコアのCPUが登場し、Javaも1.6系で仮想マシンが高速に動くようになってきた。この結果、コードは変えてないのにGuardianがかなりのトラフィックをさばけるようになったという。そこで、当時出会った若林氏と相談し、納得いく価格でWAFをサービス提供しようということで作ったのが、Scutumというわけだ。サービス開始は6月からだが、このようにGuardian自体の運用はすでに5年経っており、実績も十分といえる

ScutumのWebサイト

 Scutumでの詳細なシグネチャのチューニングはSIerでの対応が必要になるほか、動画配信などには向かないという。しかし、今まで手が届かなかったお客さんに使ってもらえる手軽なサービスを目指しているという。「もちろん、予算のとれない中小のコマース系サイトなどがメインですが、期間は短いけど個人情報を多く扱っているキャンペーンサイトなどにもお勧めできます」(若林氏)とのことで、無料調査キャンペーンも実施している。

 Guardianのサーバもロードバランサを用いてスケールアップできるように設計してあるほか、第2センターの計画もあるとのことで、今後は耐障害性やパフォーマンスも上げていく予定だ。

前へ 1 2 次へ

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード