Net'Attest WAF

ところで、PCI DSSでWAFと同時に推奨されている「アプリケーション改修」については、どうなのだろう？　もちろん、WEBアプリケーションそのものの脆弱性を発見し、原因から取り除くという根本的な解決を図るため、セキュリティを高めるという意味では非常に効果的だ。しかし、「費用対効果」に目を向けてみると、どうも分が悪い。

そして、最近WAFを選んでいる企業の決め手も、まさにこの「費用対効果」にあるようなのだ。下図はアプリケーション改修とWAFを選んだ場合の大まかなコスト比較だ。

つまり、アプリケーション改修を選択した場合、そもそも改修にかかるコストが高額であり、更に、脆弱性が発見される度に改修をくり返す必要がでてくる。このため、「1度の改修で終われない」「次の改修がいつになるか読めない」など、コスト面で頭の痛い問題が噴出するわけだ。

そして、WAFの場合はというと――、一般的にアプライアンスで提供され、低コストでの導入が可能であり、通常、1回導入すれば大きな追加コストは発生しない。もしも重大な脆弱性が発覚した場合には、まずはWAFでガードしつつ、同時にアプリケーションを改修するといった柔軟な使い方ができるのだ。

Net'Attest WAFの大きな特長は高い防御力。シグネチャは、国内屈指のネットワーク・セキュリティ・プロフェッショナル集団であるラックによってチューニングされ、自動更新により新たな脅威にも迅速に対応する。昨今の情報漏洩事件で注目されることの多い「SQLインジェクション」や「クロスサイトスクリプティング」をはじめ、ファイアウォールやIPSでは防御しきれない様々な攻撃に対応している。
更に、シグネチャを補完する多彩な検査機能も装備している。

Net'Attest WAFは、導入も簡単だ。既存のネットワークを変更する必要がなく、WEBサーバの手前に設置するだけであり、下図の4ステップのみで完了する。デフォルトの設定でほとんどの脅威を防げるため、細かいチューニングの必要がない。だから、導入したその日から、すぐに利用開始することが可能なのだ。
ネットワーク構成は、インライン、プロキシのいずれにも対応できる。

Net'Attest WAFのシグネチャは自動更新なので、運用管理が非常に簡単だ。従来のような、攻撃の分析やポリシー策定、運用テストといった作業は全く必要ない。もちろん、それらを社内で行うために、WEBアプリケーションやインフラに関する高度な知識を持った人材を確保する必要もなくなる。つまり、「1度導入してしまえばあとはおまかせ」でOKだ。

管理画面も日本語なので、高度な知識を持った管理者でなくても運用していくことができる。また、ミッションクリティカルな運用に耐えられるよう、ハードディスクの代わりに耐障害性に優れたコンパクトフラッシュを採用。万が一ハード障害が発生しても、バイパス機能によりWEBサービスを止めることがないのもポイントだ。