アプライアンスにはこだわらない柔軟性
今後の動向としては、まず仮想アプライアンスの提供が発表された。当初はVMware ESXiからサポートし、各製品で徐々に対応していく。また、「Barracuda Control Center」という集中管理システムの計画についても披露。将来的には各アプライアンスを統合管理できるようになるという。
さらに次の展開として数多くのファイアウォールを統合管理できる次世代ファイアウォール、そしてSaaS型のWebセキュリティサービスの提供についても言及された。前者はオーストリアのフィオンAG、後者はピュアワイヤの買収により実現できるようになったという。
アプライアンスでのビジネスが大きいバラクーダが、クラウドの利便性をあっさり認め、品揃えの1つとして盛り込んでいくのは驚きだ。同社のコアコンピタンスはやはり「安く簡単に」課題を解決できる点であり、そのためであれば製品形態にはこだわないということだろう。こうした柔軟性の高さがバラクーダの強みに違いない。
注目のWAFは導入事例やデモも披露
日本での投入で日が浅いBarracuda WAFに関しては、導入のベストプラクティス、具体的なハッキングデモやSQLインジェクション・XSSなどの防御手法の紹介、ノーリツのユーザー事例解説などが行なわれ、かなり充実した内容となった。パオ氏は「ブリッジやワンアームプロキシなどの形態もとれるが、フルリバースプロキシで動作させることで、通信を完全に終端できる。これにより、トラフィックを書き換えることが可能で、メリットを最大限に享受できる」とWAFの導入形態についても紹介。そのほかにもブラックリストベースなのですぐに利用できる、アンチウイルスやSSLが標準搭載している、余計なオプションライセンスが必要ないといったメリットがあるという。
湯沸かし器などを手がけるノーリツのWAF導入事例も紹介された。同社情報システムの梶間雅人氏によると、現在ノーリツでは16のWebサイトが運用されているが、2007年にWebアプリケーションの攻撃が増加したことで、Webサイトの保護対策を検討したという。実際にサイトの脆弱性を調べてみたところ、OSもWebサーバーもバージョンが古いのがわかったが、「当時のWAFは高くて断念せざるを得ませんでした」(梶間氏)という状況だった。
その後、同社Webサイトへの攻撃を機に再度WAFの検討を開始。2008年に低価格なBarracuda WAFをベンダー側から紹介され、検証を行なったという。「設定やログの見やすさ、運用、導入実績、価格など5項目を1カ月にわたって評価しました。発表されたばかりで導入実績は高くありませんでしたが、やはり価格面でのメリットは大きかった」ということで、導入を決定。16のサイトのうち重要度の高いサイトから徐々に導入を進め、ログ収集とブロックを随時開始したという。「セキュリティに完璧はないが、Barracuda WAFの導入により、安価にセキュリティレベルを上げることができ、なにより安心感が得られた」(梶間氏)と評価している。
その他、ロードバランサーやリンク冗長化装置、メッセージアーカイバー、そしてWeb・メールセキュリティ製品の最新機能についても披露された。販売施策やパートナー制度を説明するイベントというより、製品や技術にフォーカスした内容で聞き応えがあった。一方で、ユーザーからは日本語対応の充実を求める声も挙げられており、今後の課題となるようだ。
この連載の記事
-
第14回
TECH
情報セキュリティのプロが語る「PCI DSS、はじめの一歩」 -
第13回
TECH
管理者に優しいペンタのWAF「WAPPLES」を支える技術 -
第12回
TECH
RSAらしさ満載のPCI DSS導入支援サービス -
第11回
TECH
情報元を抑えよ!DBセキュリティを先導する「FortiDB」 -
第9回
TECH
今度のインパーバは金庫番+パトロールでDBを守る -
第8回
TECH
脆弱性監査も試用可能!フォーティネット、FortiDBを強化 -
第7回
TECH
高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力 -
第6回
TECH
キヤノンIT、偽装ファイルの検出強化のWEBGUARDIAN -
第5回
TECH
白黒はっきりつけたいWAFの最新事情 -
第4回
ネットワーク
雲の中にWAFを設置するアカマイの新サービス - この連載の一覧へ