注目を集めるWEBアプリケーションファイアウォール(WAF)
WEBアプリケーションの脆弱性を突く不正アクセスからWEBサイトを守るWAF、今、その市場が大きな盛り上がりを見せている。その背景には、WEBアプリケーションを活用したサービスが数多く提供され、同時にそれらがまた、多くのネットワーク犯罪者に狙われているという現状があるだろう。やっかいなことに、最近ではファイアウォール、IDS/IPSでは防ぎきれない攻撃手法が増加している。
WAFはWEBアプリケーションの脆弱性を補い、攻撃される危険性を極めて低くする。その特性により、HP改ざん、顧客情報漏洩などの被害を防ぐ有効な手段として、これほどの注目を集めているのだ。例えばクレジットカード業界では、クレジット情報保護に関する国際基準「PCI DSS」が策定された。その中で、WEBアプリケーションに関しては、その脆弱性チェックを受けて改修を行うか、WAF導入のどちらかを求めている。
|
比較すると |
WAFとアプリケーション改修 ―ホントのところ、どっちが正解? |
ところで、PCI DSSでWAFと同時に推奨されている「アプリケーション改修」については、どうなのだろう? もちろん、WEBアプリケーションそのものの脆弱性を発見し、原因から取り除くという根本的な解決を図るため、セキュリティを高めるという意味では非常に効果的だ。しかし、「費用対効果」に目を向けてみると、どうも分が悪い。
そして、最近WAFを選んでいる企業の決め手も、まさにこの「費用対効果」にあるようなのだ。下図はアプリケーション改修とWAFを選んだ場合の大まかなコスト比較だ。
つまり、アプリケーション改修を選択した場合、そもそも改修にかかるコストが高額であり、更に、脆弱性が発見される度に改修をくり返す必要がでてくる。このため、「1度の改修で終われない」「次の改修がいつになるか読めない」など、コスト面で頭の痛い問題が噴出するわけだ。
そして、WAFの場合はというと――、一般的にアプライアンスで提供され、低コストでの導入が可能であり、通常、1回導入すれば大きな追加コストは発生しない。もしも重大な脆弱性が発覚した場合には、まずはWAFでガードしつつ、同時にアプリケーションを改修するといった柔軟な使い方ができるのだ。
やっぱりWAF! 防御力、導入、運用で選べば
ここまでお読みいただいて、WEBアプリケーションのセキュリティにおいて、WAFを選ぶメリットをご理解いただけただろう。 |
|
高い防御力 |
これ1台で、最新の脅威に対応できる! |
Net'Attest WAFの大きな特長は高い防御力。シグネチャは、国内屈指のネットワーク・セキュリティ・プロフェッショナル集団であるラックによってチューニングされ、自動更新により新たな脅威にも迅速に対応する。昨今の情報漏洩事件で注目されることの多い「SQLインジェクション」や「クロスサイトスクリプティング」をはじめ、ファイアウォールやIPSでは防御しきれない様々な攻撃に対応している。
更に、シグネチャを補完する多彩な検査機能も装備している。
簡単導入 |
簡単4ステップで、導入したその日から利用開始! |
Net'Attest WAFは、導入も簡単だ。既存のネットワークを変更する必要がなく、WEBサーバの手前に設置するだけであり、下図の4ステップのみで完了する。デフォルトの設定でほとんどの脅威を防げるため、細かいチューニングの必要がない。だから、導入したその日から、すぐに利用開始することが可能なのだ。
ネットワーク構成は、インライン、プロキシのいずれにも対応できる。
簡単運用 |
自動更新シグネチャで、運用もラクラク! |
Net'Attest WAFのシグネチャは自動更新なので、運用管理が非常に簡単だ。従来のような、攻撃の分析やポリシー策定、運用テストといった作業は全く必要ない。もちろん、それらを社内で行うために、WEBアプリケーションやインフラに関する高度な知識を持った人材を確保する必要もなくなる。つまり、「1度導入してしまえばあとはおまかせ」でOKだ。
管理画面も日本語なので、高度な知識を持った管理者でなくても運用していくことができる。また、ミッションクリティカルな運用に耐えられるよう、ハードディスクの代わりに耐障害性に優れたコンパクトフラッシュを採用。万が一ハード障害が発生しても、バイパス機能によりWEBサービスを止めることがないのもポイントだ。
セミナー情報 『WEBサイトにおける脅威とその対策』
ここまで紹介してきたとおり、Net'Attest WAFは、これまで運用に手間がかかり、高度な知識がないと使いこなせないというイメージがあったWAFを、簡単に導入・運用できるようにした画期的製品だ。ソリトンシステムズでは下記のセミナーを開催する予定なので、興味がある方はこのページの下のアンケートより是非お申込みいただきたい。
|
製品名 | Net'Attest WAF |
---|---|
メーカー | ソリトンシステムズ |
寸法 | 443(幅) × 457.2(奥行き) × 44(高さ)mm |
質量 | 14kg |
電源 | 95〜264VAC |
筐体タイプ | 1Uサイズラックマウントタイプ |
プロセッサ | - |
メモリ容量 | - |
内蔵HDD | - |
その他ドライブ | - |
セキュリティ機能 | - |
対応プロトコル | - |
ポリシー数 | - |
スループット | 100Mbps以上 |
LANインターフェース | - |
その他インターフェース | - |
OS | - |
その他特記事項 | - |
製品サイトURL:http://www.soliton.co.jp/products/net_security/netattest/waf/index.html |
製品・サービスの取扱い企業
株式会社ソリトンシステムズ
部署名:法人営業本部
住所:〒160-0022 東京都新宿区新宿 2-4-3
TEL:03-5360-3809
e-mail:netsales@soliton.co.jp
URL:http://www.soliton.co.jp/
掲載企業
株式会社ソリトンシステムズ
部署名:法人営業本部
住所:〒160-0022 東京都新宿区新宿 2-4-3
TEL:03-5360-3809
e-mail:netsales@soliton.co.jp
URL:http://www.soliton.co.jp/