次世代のNGFWはコンテナベースの分散アーキテクチャを採用
モダンなクラウド型WAF「ThreatX」が解消するファイアウォールの課題とは?
2019年01月09日 07時00分更新
クラウド時代のセキュリティ製品を国内で展開するパロンゴは、クラウド時代に向けた新世代WAF(Web Application Firewall)であるThereatXを日本とAPACで展開する。既存のWAFの課題を解消するThreatXの概要について同社のケリー・ブラジル氏、マーク・ロトロ氏、パロンゴの近藤学氏に聞いた。
既存のWAFの限界を超えるコンテナベースのWAF
2014年にテキサスのオースティンで設立されたThreatXは、BMCでセキュリティを担当していた2人が起業したスタートアップになる。最新の攻撃に対応できない既存のWAFをリプレースすべく、新世代ファイアウォールを開発した。
BMCでセキュリティを担当していた経歴を持つ創業者が描いていたのは、従来型WAFの課題を解消することだ。Webアプリケーションに対する標的型攻撃を防御するWAFだが、シグネチャ設定が固定的で、最新の攻撃に追従できなかった。また、チューニングの運用負荷も重く、スケールしにくいという弱点もあった。もちろん、最近導入が進んでいるマイクロサービスやコンテナの環境では、ネットワークのゲートウェアで攻撃を防ぐという方法自体が限界に突き当たっており、まったく新しいソリューションが必要になっていた。
これに対してThreatXは、アプリケーションの脆弱性やアノマリ(異常)ではなく、標的型攻撃を実行する攻撃者のサイバーキルチェーンを意識したビヘイビアベースのWAFになる。時系列で攻撃者とおぼしき通信(エンティティ)を追跡し、アプリケーションやビヘイビアのプロファイルに該当するルールを動的に割り当てる。DDoS攻撃でもいきなり送信元をブロックするのではなく帯域を絞っていく。機械学習によるオートチューニングの機能を持っており、運用負荷の軽減も実現される。
また、アプライアンスが多かったWAFに対し、ThreatXは「Threat X WW Cloud」というクラウドサービスと「Threat X WAF Sensor」を組み合わせた分散型のアーキテクチャとなっている。Threat X WAF Sensorはコンテナベースなので、パブリッククラウドでも、オンプレミスでもデプロイできるのも特徴。クラウドでの利用を前提とした先進的な設計と言えるだろう。
サイト防御機能やAPIプロテクションも提供
機能面も先進的だ。たとえば「Defacement Protection」というユニークなWebサイト防御機能では、攻撃者に管理者のアカウントを剥奪され、サイトが書き換えられた場合でも、書き換え前のページをプロキシとしてキャッシュしてくれる。SOCが対応する場合の応急措置的な機能ではあるが、サイトが全面的にハックされるといった事態を防ぐことが可能になる。
また、クラウドでの利用において鍵となるAPIのプロテクション機能も提供しており、未認証のリクエスト、不正なクエリ、JSONに埋め込まれたSQLインジェクションなどを検知する。ダッシュボードに関しても、攻撃されているサイトリストや攻撃元のロケーション、ブロックの状況、イベントログなどを一望できる。
ThreatXはFQDN単位の従量課金になっており、DDoS対策やキャッシングなどがオプションとなる。年額で300万円くらいの価格感とのこと。日本でもパートナーを増やし、ホスティング事業者やコンテナとの親和性高いクラウド事業者との連携を模索するとのこと。NGFWの次を見越した次のファイアウォールとしてチェックしておきたい製品だ。