WAFもDBセキュリティも韓国で高い実績を誇る

管理者に優しいペンタのWAF「WAPPLES」を支える技術

2010年01月22日 09時00分更新

文● 大谷イビサ／TECH.ASCII.jp

セキュリティの脅威がアプリケーションレイヤに移りつつある昨今、セキュリティベンダーもアプリケーションの防御に特化したセキュリティ製品を提供するようになっている。WAF（Web Application Firewall）とDB（DataBase）セキュリティ製品を展開するペンタセキュリティシステムズ（以下、ペンタセキュリティ）も、こうしたベンダーのうちの1つだ。

苛烈を極めるWeb攻撃
第3世代の防御方式でサイトを守る

　大流行しているGumblerウイルスの例を見るまでもなく、昨今のWebサイトへの攻撃は苛烈を極めている。また、金融機関や保険会社の顧客情報の漏えい事件は、顧客の信頼を失墜させ、ビジネスすら危うくする大きな事態へと発展している。こうしたなか、パフォーマンスや価格ではなく、なによりセキュリティ確保を最優先するアプリケーションセキュリティ製品を提供するのがペンタセキュリティである。

日本法人社長のジョン・カーチ氏（左）とペンタセキュリティテクニカルサービスコンサルタントの塩屋通宏氏（右）

　ペンタセキュリティは1997年に韓国で設立されたセキュリティ製品のベンダーで、1998年には韓国政府のためのPKIソリューションを構築した実績を持つ。日本法人では、数多くの製品のうちWAFアプライアンス、DBセキュリティ製品という2つのアプリケーションセキュリティ製品を展開している。日本法人社長のジョン・カーチ氏は「SQLインジェクションやマルウェアなどのレイヤ7の攻撃はますます増えており、すでに導入済みのファイアウォールやIDSでは対応できません。コマースを展開している会社も、引き続きセキュリティへの投資が必要です」と述べる。

　そんな同社の主力製品が、「第3世代」を謳うWAFアプライアンスのWAPPLESだ。WAFはWebアプリケーションの脆弱性を狙った攻撃を防御するための専用セキュリティ製品で、昨今はPCI DSS準拠のためにも必須の存在だ。

　WAPPLESがなぜ第3世代といえるのか。第1世代のWAFは、従来のファイアウォールのように攻撃とみなせる通信の定義ではなく、許可するトラフィックを定義し、それ以外をフィルタするというホワイトリスト方式を採用した製品が挙げられる。しかし、ホワイトリストの定義は非常に難しかったため、許可されるトラフィックのパターンを自動学習させる技術が採用されるようになった。これが現行のWAFで主流となる第2世代の製品だ。これ以外の製品は、基本的にIDS・IPSと同じく、攻撃を定義したシグネチャを基にフィルタリングを行なうブラックリスト方式採用の製品である。だが、リストに記載される内容の違いはあれ、両者とも日々チェックと更新を続けなければならないのは共通している。自動学習に関しても管理者が結局チェックをかけなければならないため、結局導入に時間がかかるというのは、すでに定説だ。

　これに対してWAPPLESは、シグネチャやホワイトリストという概念を応用した「ロジック分析」という新しい方式が用いられている。WAPPLESでは、あらかじめプログラミングされた25の攻撃パターンに該当するかどうかを調べて攻撃かどうか判断する。

WAPPLESで検知される25の攻撃。25番目はユーザー定義だ

　ペンタセキュリティテクニカルサービスコンサルタントの塩屋通宏氏は「ロジック分析は攻撃者に狙われる脆弱性を埋めるアルゴリズムを採用しています。WebサーバーやWebアプリケーションにDBをバックエンドで使っていないところで、SQLのリクエストが来るのはおかしいので、こうしたトラフィックを不正アクセス攻撃とみなしたりします。データベース内のシグネチャとのマッチングを行なわないので処理も高速で、どこで止められたかがきちんとフィードバックできます」と高いインテリジェンスを持つ、ロジック分析のメリットを説明する。

　この結果、高い検出精度と自動化というメリットが実現する。たとえば、WAFではクレジットカード番号の漏えいを防ぐ機能がある。しかし、シグネチャで文字列だけを抽出していると、単なる16桁の数字の羅列と、クレジットカード番号の違いを認識できない。これに対してWAPPLESは、クレジットカード番号が桁数だけを見ているのではなく、どのようなアルゴリズムで成り立っているかを理解しているため、抽出の漏らしがない。そして、WAPPLESではクレジットカード番号のみをきちんとマスキングしてくれる。

　また、攻撃を検出してからのアクションも遮断か、さまざまなものが用意されている。「検知と対応という2つが用意されており、単なるモニタリングか、遮断したり、リダイレクトしたり、処理もいろいろ選べます」（塩屋氏）。GUIの設定ツールも非常に充実しており、「なんちゃってではない」きっちりした日本語化が図られているのもちょっと驚きだ。

「WAPPLES」の設定管理ツールではきちんと日本語化が完了している

　「セキュリティが第一」というコンセプトのとおり、2008年には「Common Criteria EAL4」も取得しており、先頃はテュフラインランドジャパンより検証され、PCI DSSへの適合証明書も取得した。現状、1Uラックマウントとの「WAPPLES-100」と、2Uの「WAPPLES-1000」の2モデルがラインナップされている。

ペンタセキュリティのWAFアプライアンス「WAPPLES-1000」

DBセキュリティ製品は
オラクルの推奨品

　さて、日本ではWAPPLESとともに、DBセキュリティ製品の「D'Amo（ディアモ）」も展開している。D'Amoは、韓国では80％以上のシェアを誇っている製品で、監査やアクセス制御のほか、カラム単位での暗号化機能を有する。また、専門のDBセキュリティ管理者に設定等を任せることで、情報の持ち出しに関しても、きちんと対応できるという。「暗号化においては鍵の扱いが面倒だったのですが、D'Amoではデータベースの中に暗号化して鍵を格納します」（塩屋氏）ということで、運用も容易。オラクルの推奨するサードパーティインテグレーションプログラムにもなっている。

　日本ではすでに12社の販売代理店を持っており、セキュリティを重視する企業に受け容れられている。特に2004年からすでに6年に渡って販売されているWAFは「最初はなかなか大変でしたが、昨今はシグネチャの限界とロジック分析のメリットが少しずつ理解されつつあり、導入も増えています」（ジョン氏）とのこと。今後は安価で、小規模なユーザー向けの製品の計画もあるとのことで、日本市場にますますコミットしていく予定だ。

■関連サイト