1月31日、日本ベリサインはSSLサーバー証明書の無償バンドルとして提供している「脆弱性アセスメント」に、WAFサービス「ベリサイン クラウド型WAF」との連携機能を追加すると発表した。
脆弱性アセスメントはWebサイトやWebアプリケーション、サーバーソフトウェア、ネットワークの脆弱性を週次で自動スキャンし、サイトのぜい弱性を診断するサービス。今回発表の連携機能とは、脆弱性アセスメントで脆弱性が発見された場合に、ベリサイン クラウド型WAFで対処可能かどうかの情報をいち早く提供するというもの。WAFサービスが直接提供されるわけではなく、脆弱性アセスメント(もしくは他の脆弱性診断ツール)のレポートとヒアリングシートをベリサインに提出すると、脆弱性への対応可否とベリサイン クラウド型WAFの見積りがもらえる仕組みだ。
ベリサイン クラウド型WAFはセキュアスカイ・テクノロジーの「Scutum」を利用したサービスで、料金は1年契約で約36万円から(税込)。
脆弱性への根本的な対処は脆弱性の修復だが、そのために必要となるWebサイトの大幅改修が困難であったり、対応の長い時間がかかることもある。こうした場合でも、脆弱性を悪用する攻撃を遮断するWAFを使うことで、改修することなく、脆弱性を無害化できる。
WAFにより脆弱性を補完することは、いままでも行なわれてきたが、シグネチャの調整だけで数十万円かかることが一般的だったという。ベリサインでは、これをクラウド型で提供しているWAFサービスの付加機能として提供することで、これまで以上に、ベリサインSSLサーバー証明書製品との連携を強化し、ワンストップでWebサイト向けのセキュリティを引き続き提供していくとしている。