11月17日、F5ネットワークスジャパンはセキュリティに関する本音トークを楽しむイベント「F5 Security Real Talk Day」を開催。最終パネルディスカッションには、アスキー編集部の大谷イビサがモデレータとして登壇し、ゲストとともにWAF(Web Application Firewall)にまつわる本音トークを展開した。
100名の会場が満員になった「F5 Security Real Talk Day」
ユーザー、パートナー、ベンダーが本音を語りあう
「F5 Security Real Talk Day」は「Real Talk」という名前の通り、ベンダーやSIerの押し売りトークとは異なる生々しい話をユーザーに楽しんでもらおうという趣旨で開催されたセキュリティイベント。100名の会場は満員となり、本音を聞きたいという参加者の関心がうかがえた。
そんなイベントの最終セッションになったのが、「WAFのホントの所、言いたい放題 『で、どのWAFが良いの?』」というタイトルが付けられたパネルディスカッション。アスキー編集部の大谷イビサがモデレーターとなり、WAFに関する本音をゲストから聞きだそうという企画だ。
もちろん登壇者もユニーク。最初に自己紹介したソフトバンク・テクノロジーの久保 祐人氏は、4年前からF5の競合となるクラウド型WAF「Imperva Incapsula」の販売を手がける立場。とはいえ、オンプレミスソリューションや企画開発でF5と連携することも多く、「純粋に楽しそうなので参加しました」(久保氏)ということで、主に販売する側からの本音を聞かせてくれた。
続いて自己紹介したネットプライスの高橋 啓輔氏は、F5製品を実際に導入しているエンドユーザーで、運用現場の辛苦を一番理解しているといえる。また、F5ネットワークスジャパンの黒田征一郎氏は、前職ではWAFサービスを立ち上げつつ、F5に移ってもWAFの導入支援を進めており、現場の動向に詳しい。ともあれ、パネラーは3人とも、WAFについてかなりガッツリ語れるという立場だ。
クラウド型とオンプレミス型のメリットを語る
パネルは「本当にWAFって必要なのか?」というそもそも論からスタート。モデレーターの大谷は、情報漏えい事件が日常的に新聞紙面を騒がし、アスキー自体も2年前にはDDoS攻撃の被害を受けたと昨今の状況を説明。これに対して、久保氏は「トライアルで導入してもらうとわかるのですが、攻撃は思いのほか多いです。攻撃者の立場からしてもセキュリティの甘いサイトは狙われやすい」と指摘する。
一方、WAFを導入した高橋氏は、「攻撃の状況を見える化でき、アプリケーションに届く前にブロックできたのは大きかった」とアピール。さらに黒田氏は、「WAFがWebサービスの脆弱性を突く前に、WAFが止めてくれるので、ビジネスのスピードを落とさないで済む」とメリットを語った。
WAF導入の必要性について合意したことで、次に具体的に製品やサービスの選択に移るわけだが、実際のWAFは「オンプレ・アプライアンス型」「クラウドサービス型」「パブリッククラウド型」などがあり、それぞれ特徴が異なる。
これらの分類について説明を求められた久保氏は、同社が扱っているImperva Inapsulaを例にクラウドサービス型を紹介する。グローバル展開しているCDNにWAFが組み込まれているImperva Incapsulaのメリットについて、「コスト面でかなりお安く、運用を楽にするように設計されています。なにしろ導入しやすいし、外すのも容易」とアピールする。同社ではオンプレミスも扱っているが、売れているのは圧倒的にクラウド型WAFとのこと。ただ、運用がシンプルな分、ログもシンプルで、攻撃を細かく分析するのは難しいという弱点もあるという。
ソフトバンク・テクノロジー 営業統括 ソリューション企画本部 セキュリティソリューション部 ベンダーリレーショングループ スーパーバイザー 久保祐人氏
一方、F5の黒田氏はオンプレ・アプライアンス型の「BIG-IP」とクラウドサービス型の「Silverline」を紹介しつつ、「個人的には、トラブルシューティングのしやすさが製品選びの鍵。オンプレミス型はユーザーとベンダーで障害原因を仕分けやすいが、クラウド型はわかりにくい」と語る。実際、海底ケーブルの切断でクラウド側サービスの遅延が発生した結果、原因発生レポートや対策を求められ、苦労した経験を披露。クラウドサービスやインフラの障害を防ぐのは難しいので、きちんと可用性を担保する仕組みが必要になるということだ。
気になるWAFの運用とコストは?
続いては「運用きつくない?」という話。Webアプリケーションへの攻撃を防ぐWAFの場合、ログを見ながら、攻撃と正当な通信をきちんと学習させていく必要がある。これがWAFのチューニング作業で、きちんと済ませないと本番運用に移れない。これについてユーザーの高橋氏は、「導入時のチューニングは正直大変でした。でも、最初のチューニングをしっかりしておけば、あとの運用はそこまで大変ではない」と運用を続けてきた感想を語る。ネットプライスの場合、おおむね3回のチューニングで誤検知はほとんどなくなり、パススルーからブロッキングモードに移行できている。
ネットプライス テクノロジー本部 マネージャー 高橋啓輔氏
久保氏は、「クラウド型に関してはシグネチャに依存することも多く、そもそもチューニングできる部分が少ない。オンプレミス版は細かくチューニングができる反面、導入時はけっこう大変」とコメント。サイトを追加すると別途でチューニング作業する必要があり、攻撃の傾向もサイトごとも異なるので、そこは理解が必要。とはいえ、回数を繰り返せば微調整レベルに落ち着くのも事実だ。
次はコスト。大谷が会場に「WAFが高いと思う人」に挙手を求めると、意外と手が上がらず、「高いと思ってないんだったら、話にならないじゃないですか(笑)」とコメント。高橋氏に話を振ると「今は安いという感じではないですかね。導入を断念した2009年頃は軽く1000万円超えしていたけど、数年前、われわれが導入した頃はそれほどでもなかったですね」と振り返る。
一方、久保氏は「クラウド型WAFは安いと言われるので、現場で決済承認まで至ることがほとんどです。でも、オンプレ型WAFは他のセキュリティ製品に比べて突出して高いので、必ずと言ってもいいほど価格は調整します」と指摘する。ちなみにImperva Incapsulaの場合は、トラフィックに対する従量課金で、100Mbpsを目安にクラウドよりもオンプレの方が安くなってくるという。続いて黒田氏は、「導入時の作業費が高いと言われる」という営業の話を披露。チューニングに手間がかかるため、製品の導入コストだけではなく、作業費もきちんと見込んだ方がよいようだ。
続けては、コストに絡んで「偉い人への説明はどうすればいい?」というお題。稟議を通した経験を持つ高橋氏は、「総じてセキュリティの重要性は偉い人にはわからんのです」と語り、かえってあまり説明しないというのがベストプラクティスだと語る。その上で投資対効果を求められることも多いが、その場合は攻撃やブロックした数を見られるWAFの可視化が効いてくると言う。
久保氏は、「クラウド型WAFはDDoS攻撃対策などの機能が付加されていることも多いので、お得感があり、稟議であまりもめない」、黒田氏は「営業と同行して、お客様から『WAFの導入してなにがいいのか?』という説明を改めて求められたら、やっぱり導入する気がないのかなと思いますね(笑)」とそれぞれ語る。そして、総じてセキュリティ製品全般的に言えることだが、なんかしらの事故を起こしてしまった企業は導入もスピーディだという。
F5ネットワークスジャパン グローバルサービスビジネス本部 プロフェッショナルサービス部 コンサルタント/セキュリティスペシャリスト 黒田征太郎氏
WAFを悪者にしないため、迅速に問いあわせ対応できる体制を
障害への対応というテーマでも、それぞれ異なる立場で面白いコメントが聞けた。
まずWAF自体の耐障害性に関しては、オンプレミス型では冗長構成で導入されることが多いため、コストにも響くが、グローバルに分散しているクラウド型WAFはコストや耐障害性という観点で有利だという。久保氏は「Imperva Incapsulaの場合は、グローバルで38拠点、日本でも東京と大阪で分散しているので、オンプレミスよりは耐障害性も高い」と語る。
誤検知もWAFの障害と捉えられることが多いが、この場合はアプリケーション部門とインフラ部門との連携が重要になるという。「アプリ側から障害を調べたら、WAFでブロックされていて、悪者にされることも多い」(黒田氏)ので、WAF導入を担当したインフラ部門はアプリケーション部門の問い合わせに迅速に対応する体制が必要になるという。
こうした社内の運用体制について高橋氏は、「そもそもWAFの運用が私だけなので、私がアプリケーション部門にきちんと説明しています」と語る。たとえば、「Test」というキーワードはWAFで引っかかりやすいため、使わないように事前に説明する。また、導入時には全社集会でWAFのブロック画面を見せて、URLとコードを送るよう周知した。「エンジニアにのみ説明すると、他の社員との温度差が起こってよくない」と高橋氏は指摘する。
最後、今後のWAFへの期待として、高橋氏は「パターンマッチングや事前のシグネチャではなく、AIなどの技術でダイナミックにWeb攻撃をブロックできるようになると、枕を高くして寝られる」と語る。黒田氏も、「やはりチューニングがつらいので、ここを機械である程度インテリジェントにできるようにしてほしい」と希望した。
特にクラウド型WAFは進化も速い。モデレーターの大谷も「AWS WAFなどのクラウド側WAFは、やはりセキュリティオートメーションのような方向に進化し、運用の省力化を見据えている」と指摘。一方、久保氏も「企業のIT部門では5年ごとに予算をとるが、クラウド型WAFの場合、5年間同じ機能ということはまずない。海外では月単位で払うことも増えていて、5年で見るという日本の商習慣とは合わなくなっている」と語る。もちろん、クラウド型WAFはオンプレ版と異なり、お客さんごとの特別対応が難しいので、バージョンアップやGUIの刷新などは甘んじて受ける必要があるという。
モデレーターを務めたアスキー編集部の大谷イビサ
質疑応答の後、パネルディスカッションは無事終了。WAFのいいところや課題点を語り合った内容は、導入や運用で悩むユーザーやビジネスを考えるパートナーの役にだったのではないだろうか? イベント全体もベンダーならではのフォーマルな雰囲気と、ユーザー会の勉強会のようなラフな雰囲気がうまく交わったユニークなイベントだったと思われる。次回の開催も期待したい。
(提供:F5ネットワークスジャパン)
本記事はアフィリエイトプログラムによる収益を得ている場合があります
