＠IT Special PR：セキュリティソリューション Live! in Tokyo イベントレポート

　2010年3月19日、東京・富士ソフトアキバプラザで「＠IT セキュリティソリューション Live! in Tokyo 企業の脆弱性をスキャンせよ～PCI DSSの現場に学ぶセキュリティの作り方～」（主催：アイティメディア株式会社＠IT編集部）が開催された。

　本セミナーでは、日本カード情報セキュリティ協議会の担当者などをはじめとしたPCI DSSの専門家が一堂に会し、日本におけるPCI DSSの状況やセキュリティ対策基準としての有効性を議論した。

　そのなかから、ペンタセキュリティシステムズの講演「PCI DSSのための次世代WAFとDB暗号化ソフトウェア」をレポートしよう。

アプリケーション層を防御することの重要性

●求められるWebアプリケーションへのセキュリティ投資

ペンタセキュリティシステムズ
代表取締役社長
ジョンカーチ氏

　ペンタセキュリティシステムズは、Webアプリケーションファイアウォール「WAPPLES」と、データベース内部のデータ暗号化ソフトウェア「D'Amo」を開発するセキュリティベンダだ。1997年に韓国で設立し、2009年に日本市場に参入を果たした。

　同社代表取締役社長のジョン・カーチ氏は、「クラウドコンピューティングの普及により、日本のeコマース市場は拡大している。そのため、より強固なセキュリティの重要性も増している」と指摘する。

　例えば、ガートナーグループが2006年に発表した報告書を引きながら、「攻撃の75％はアプリケーションレイヤで発生しており、深刻な攻撃の多くはWebアプリケーションを狙っている。しかし、セキュリティ機器への投資対象は75％がネットワークレイヤであり、アプリケーションレイヤは10％に過ぎない」と警鐘を鳴らす。

　カーチ氏は、従来のファイアウォールやIDS／IPS製品、またウイルス対策製品はレイヤ5（セッション層）までしか防御の対象としていないと指摘。レイヤ7に相当するWebアプリケーションは、外部からの攻撃にさらされやすいにもかかわらず、十分な防御がされておらず、攻撃によって機密情報が漏えいしたり、企業の信頼を損なったりする可能性があると述べた。

●セキュリティベンダから見たPCI DSS

ペンタセキュリティシステムズ
テクニカルサービス
コンサルタント
塩屋通宏氏

　続いて、同社テクニカルサービスコンサルタントの塩屋通宏氏が登壇し、WAPPLESとD'Amoの製品紹介を通して、セキュリティベンダの視点でPCI DSSの要件をサポートしていくべきかを説明した。

　PCI DSSでは、データベースに保存されたクレジットカード情報そのもの、およびWeb画面への安全な表示方法について、どのように守るべきかが定められている。一方、攻撃者にとって狙い目となるのは、Webアプリケーションが利用するデータベースだ。

「ネットワークレイヤやシステムレイヤでは、伝統的に多重防御されている。いわゆる“C.I.A.”の考え方だ。しかし、Webアプリケーションのセキュリティは、可用性の側面から見ると、アクセスコントロールや認証の考え方が異なっている特別なセキュリティエリアだ」（塩屋氏）

　そこで、WAFやデータベース内データの暗号化の重要性が高まってくると塩屋氏はいう。これまでのネットワークレイヤのセキュリティの考え方を援用しただけでは、Webアプリケーションのセキュリティは保てないというのだ。

　ユーザーからWebアプリケーションへのアクセスは、SSL通信で暗号化する。Webアプリケーションへの外部からの攻撃に対してはWAFで防御する。データベース内のクレジットカード情報など機密情報は、データベースを暗号化することによって万が一漏えいしたとしてもダメージを軽減する。塩屋氏は、これがWebアプリケーションの多重防御のあり方だと語る。

　PCI DSSでは、Webアプリケーションなどのプログラムのコードレビューをするように定めている。しかし、コスト面やレビューを行うプログラマのスキルによって、脆弱性を見つけ出しセキュリティを効率的に守るのは難しいのではないかと塩屋氏は指摘する。

　PCI DSSでは、コードレビューと併用してWAFを導入することも認められている。WAFのセキュリティ能力は、「要件6.6 ウェブアプリケーションファイヤーウォールの推奨される能力」として定められている。同社のWAPPLESはここに定められた要件をすべてクリアしているという。

　Webサイトにおいて財務、医療情報などの機密情報を扱っている、あるいはeコマースを展開している場合、コスト面などのバランスを考えて、WAFの導入を検討してみてはいかがだろうか。