このページの本文へ

従来型WAFの課題を解消する“クラウドネイティブなWAF”「GUARDIAX」

国内初のコンテナ型WAF開発、グレスアベイルに聞くこれからの戦略

2019年12月27日 07時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 グレスアベイルは、SaaS型WAF(Webアプリケーションファイアウォール)サービス「GresCloudWAF」やファイアウォール「GresShield」、サンドボックス「GresSandbox」などを国産開発、提供する日本企業だ。今年8月にイー・ガーディアンのグループ会社となり、同じくグループ会社のEGセキュアソリューションズの代表取締役を務めるWebセキュリティ業界の第一人者、徳丸浩氏が取締役に就任した。

 そんな彼らが2019年11月、国内初となるコンテナ型WAF「GUARDIAX」をリリースした。顧客と対話を繰り返す中で明らかになった課題と向き合い、自分たちは何ができるかを考え抜いた末に導き出された解が、このGUARDIAXだったという。製品開発の経緯や今後の展望などを、グレスアベイル 代表取締役社長の澤井祐史氏に伺った。

グレスアベイル 代表取締役社長の澤井祐史氏

従来型WAFそれぞれの課題、コンテナ型WAF「GUARDIAX」のメリット

 澤井氏はまず、既存のWAFを提供形態によって「SaaS型」「ホスト型」「オンプレミス型」に分類し、それぞれの課題を指摘する。

クラウド時代になり生じた、従来のWAF(SaaS型/ホスト型/オンプレミス型)それぞれの課題

 SaaS型WAFの課題は「通信遅延」や「コスト」だ。SaaSの場合、ユーザーのWebサーバーへ到達する手前で事業者のWAFサービスを通過させることになり、必然的にアクセス遅延が発生する。

 「たとえば東京~大阪間の場合、単純なインターネット通信で50ミリ秒の遅延が発生すると言われています」(澤井氏)。WAF上でのデータやリクエストの精査といった処理にかかる時間はわずかでも、通信のレイテンシが積もり積もれば無視できないレベルに達することもある。

 通信コストも悩ましい課題だ。自社データセンターにWebサーバーがありSaaSとの間で想定以上のトラフィックが発生すれば、通信帯域を増強するためにより高額なプランへの変更を余儀なくされる。加えて、SaaSの利用料も帯域幅によっては高額プランを選択せざるを得ない。この“通信の二重コスト”問題は、見落とされがちだが深刻な課題だ。

 保護対象のWebサーバーごとにエージェントを導入するホスト型WAFでは、オートスケールの問題が生じる。クラウド環境には、システム負荷に応じてリソース量を柔軟にオートスケールさせられるメリットがある。しかし、ホスト型ではエージェントをインストールしなければならず、そうした柔軟さがない。WAFがクラウドネイティブでなければ、システム全体としてクラウドのメリットを生かし切れない。

 そしてオンプレミス型WAFは、そもそもクラウド環境にあるWebサーバーには導入できない。オンプレミス環境にWebサーバーがある場合も、ホスト型と同様の、柔軟性に欠けるという課題を持つ。さらに導入コストや運用負荷も高い。

 こうした従来型WAFの課題を解消すべく、グレスアベイルではGUARDIAXをリリースした。

 GUARDIAXは、Dockerコンテナサービスが動いている環境であればすぐに展開できる。さらにWebサーバーと同一のクラウド環境内に展開することで、レイテンシや通信コストの問題も抑制できる。もちろんオートスケーリングにも対応している。

グレスアベイルのコンテナ型WAF「GUARDIAX」の提供イメージ

 こうした“クラウドネイティブなWAF”としてのメリットのほかにも、GUARDIAXではIPS/IDSや自律型脆弱性スキャン機能、高度ログ分析機能なども実装しており、総合的なWebセキュリティ対策が実現できる。

 「SaaS型のGresCloudWAFはリバースプロキシ型だったので、セキュリティを提供できるレイヤーはWebアプリケーションレイヤーだけでした。でも、コンテナ型のGUARDIAXはネットワークレイヤーの通信も監視、制御できます」(澤井氏)

 結果的にエンジンはほぼゼロスクラッチで作り直すことになったが、これまでのGresシリーズで得た知見や技術が詰め込まれた「Webシステムのためのトータルセキュリティソリューション」が誕生した、と語る。

 ちなみに、GUARDIAXにはSaaS版も用意されている。Webサイト構成がシンプルで最大帯域100Mbps以下、またはイベントやキャンペーンなど期間限定で瞬間的に100Mbpsを超えることもあるといった環境であれば、利用価値はある。DNSを切り替えるだけで利用できるSaaS版も選択肢のひとつに残したわけだ。

品質+開発+マーケティング――3社だからこそのシナジー効果

 GUARDIAXの開発時に、澤井氏たちは緊張の瞬間に直面した。それは、徳丸浩氏による製品レビューのときだった。徳丸氏は、Webアプリケーションを開発する上で知っておくべきセキュリティのすべてが詰まった技術書(通称“徳丸本”)を数多く出版しており、エンジニアの必読書として愛読されている。澤井氏にとっても「雲の上の人」だったという。

 「そんな徳丸さんに新製品をレビューしてもらう。もしかしてボロボロな評価が下されるかもしれないと、実は覚悟したんです(笑)」(澤井氏)

 澤井氏は、グレスアベイルという会社は「いいものを作りたいとひたむきに邁進する開発エンジニアの集団。いい意味で技術に尖った“オタク”の集まり」だと評する。開発力はもちろん、製品としてのセキュリティ対策も十分検討して実装してきたという自負はあった。

 果たして、徳丸氏による製品レビューの結果は「思っていたよりも高評価」であり、澤井氏たちは自分たちが今までやってきたことは間違っていなかったと確信し、喜びがこみ上げてきたという。

 その後も、グレスアベイルでは徳丸氏のチームと週1回の技術ミーティングを継続している。追い切れていなかった品質項目やテスト手法、市場トレンド、ユーザー視点の製品開発など、さまざまな知見が共有されることで、開発チームの能力が一気に底上げされたと澤井氏は明かす。

 また、イー・ガーディアンにジョインしたこともグレスアベイルにとって大きな意味があった。

 グレスアベイルは「いいものを作っていれば何とか売れるんじゃないかと信じ、頑張ってきた」、いわば職人気質の開発エンジニア集団だという。しかし、マーケティングや市場戦略まで十分に気を配るのは難しかったことも事実だ。そうした部分を、イー・ガーディアンの市場分析力やマーケティングスキルが埋める。

 徳丸氏の知見でもたらされる「品質」、イー・ガーディアンの「マーケティング力」、グレスアベイルの「開発力」。この3つが重なることで「良いシナジー効果が生まれています」と、澤井氏は自信を見せる。

 グレスアベイルの今後について、まずは「コンテナ型WAFのセキュリティベンダー」として、国内のリーディングカンパニーになることを目指すと澤井氏。最終的にはクラウドセキュリティのみならず、コンテナ自体のセキュリティも含めたトータルソリューションまで提供できるようになりたいと展望を明かす。

 「製品が良ければ売れるし、新しい何かが生まれる可能性もある。そこへの思いは変わらない。だから私たちは、情報収集や調査/研究を怠らず、進んでいきたいと思います」(澤井氏)

■関連サイト

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード