キヤノンITソリューションズがセキュリティ戦略を強化し、WAFをラインアップに加えた新ソリューションの提供を開始した。そこで選ばれたジェイピー・セキュアの「SiteGuard」。最近の脅威の動向やSiteGuard採用の理由などを聞いた。
WebサイトやWebアプリケーションの脆弱(ぜいじゃく)性を狙い、情報漏えいやサイト改ざん、サービス停止などを狙う攻撃が増加している。2014年にはOpenSSLに存在した“Heartbleed”やBashの“ShellShock”など、深刻な脆弱性が相次いで報告され騒動となった。それ以降も、2015年には同じくOpenSSLの“FREAK”が、2016年に入ってからもApache Struts 2やCMSのプラグインに関連する脆弱性などが立て続けに公開され、実際にそれらを用いた攻撃も頻発している。こうした状況の中、ユーザーのセキュリティ意識にも変化が現れ始めている。
「経営層やビジネス部門のマネジャーの間に『脆弱性を放置しておくことは危険だ』という認識が広がってきました。実際に弊社にも『攻撃の踏み台にされて社会的信頼を失わないようにするにはどうすればいいのか』『修正プログラムを速やかに適用するにはどんな方法があるのか』といった質問が数多く寄せられるようになっています」
そう話すのは、キヤノンITソリューションズのセキュリティソリューション事業部長を務める崎山秀文氏だ。身の回りで攻撃が多発するのを目の当たりにして、「脆弱性対策は決して人ごとではなく、自社に直接関わるリスクだ」と考える経営層やマネジャー層が増えてきているのだという。
そこで、キヤノンITソリューションズでは、そうしたユーザーのニーズに対応すべく、セキュリティ方針と製品戦略の強化を進めている。ポイントは、「単なる製品の販売にとどまらず、コンサルやセキュリティ対策ソリューション全体の提案・構築などにより高い付加価値を提供していくこと」にある。例えば、同社は、電子メールセキュリティの分野では「GUARDIANWALL」、ウイルス対策ソフトでは「ESETセキュリティ ソフトウェア シリーズ」、次世代ファイアウォール/UTMでは「Clavister」「Dell SonicWALL」「FortiGate」などの製品を展開しているが、これらの製品それぞれが持つ特徴を組み合わせながら、ユーザーのニーズに合ったソリューションをワンストップで提供し、ユーザーを保護していく。
当然、ユーザーが懸念する脆弱性対策についても、ソリューションとしての提供を一層強化する。そこで同社が新たに販売ラインアップに加えたのが、ジェイピー・セキュアのWAF(Web Application Firewall)製品である「SiteGuard」だ。こうしたWAFの有効性はどこにあるのだろうか。また、SiteGuard採用の決め手は何だったのか? キヤノンITソリューションズ、そしてジェイピー・セキュアに聞いた。
新たにラインアップにWAF(SiteGuard)を加えた意義はどこにあるのだろうか。キヤノンITソリューションズ セキュリティソリューション技術部 技術三課 課長の松井康記氏は、こう説明する。
「脆弱性を悪用する攻撃に対する根本的な対策は、ソフトウェアを最新のバージョンにアップデートして脆弱性を修正することです。ただ、企業で運営しているシステムをすぐにアップデートできるわけではありません。稼働しているWebアプリケーションやデータベースなどに影響が出ないかを検証する作業が必要です。しかしながら、その間も攻撃は絶えず発生していますから、何らかの手だてが必要です。そのときに、外部からの攻撃をブロックし、根本的な対策を講じる時間を稼ぐ手段として有効なのがWAFです。このような理由から、脆弱性対策がマストになっている今、WAFの重要性が増してきたのです」(松井氏)
さらに、ジェイピー・セキュアの取締役 プロダクト推進部長の矢次弘志氏は、こう付け加える。
「WAFは、WebサイトやWebアプリケーションの脆弱性を狙う攻撃を防御することに特化した製品です。サイト改ざんや情報流出、閲覧者のウイルス感染、サービス運用の停止といった直接的な被害を防ぐことができます。最近は、自身の関知しないところでWebサイトを攻撃者の踏み台にされ、結果として犯罪に加担してしまうケースがあります。企業としての信用失墜といった間接的な被害の影響を最小限にする上でも、WAFは有効です」(矢次氏)
WAFに対するニーズの中でも最近特に増えているのは、「精度が高いだけでなく、使いやすいこと」だという。キヤノンITソリューションズでも、かつてSIのサービスの中で必要に応じてWAFを採用し、ユーザーに提供していた。だが、「どの攻撃を検知するか」「過剰な検知を防ぎつつ、検知漏れをどうなくすか」といった設定や運用が難しく、ときにはユーザーに負担を強いるケースもあった。
「WAFの導入では、本当の攻撃だけを正しく検知し、正しく対処できるようにチューニングを行う必要があります。影響のない攻撃まで検知してしまうと、その分アラートが増え、対応に掛かる負荷が大きくなるからです。ただ一方で、攻撃を正しく検知できなければ実際に攻撃を受けてしまいます。こうした調整を行うのが、ユーザーには大きな負担になっていたのです。サポートを受けようにも、海外ベンダーの製品だと、『回答が遅れる』『的外れな答えしか返ってこない』といった課題がありました」(松井氏)
そうした中で同社が出会ったのがSiteGuardだ。松井氏は、「国内ユーザーのニーズに応え、先に述べたWAF導入の課題を解消するという点では、サポート品質も含めて、良い製品だと感じました」とその印象を述べる。そこで実際に担当していたプロジェクトでSiteGuardを採用してみたところ、顧客からも「検知精度が高く運用管理が楽。コスト効果が高い」と大きな反響を得た。こうした顧客の声もあり、「ソリューションに新たにSiteGuardを加え、脆弱性対策をソリューションとして提供していくことがすぐに決まった」(松井氏)のだという。
SiteGuardの特長についてさらに掘り下げて見ていこう。同製品の最大の強みは、各種のWebアプリケーションへの攻撃、侵入手法をデータベース化した定義ファイル「トラステッド・シグネチャ」を搭載している点にある。トラステッド・シグネチャは、専門のネットワーク・セキュリティ・アナリストによってチューニングされたパターンファイルで、エキスパートたちのノウハウを生かした誤検知/検知漏れの少なさを強みとしている。このトラステッド・シグネチャを活用することで、導入時には攻撃パターンの登録を行う必要がなく、すぐに運用を開始できる。また、新たな攻撃手法に対してもシグネチャが自動更新されるため、システム管理者が手間を掛ける必要はない。
さらにキヤノンITソリューションズでは、製品選定の際に、「品質」「機能」「コスト」「サポート」の4つの側面から評価した結果、SiteGuardが最も優れていたのだという。
まず品質については、純国産製品であり、日本独自のWeb文化を熟知した設計コンセプトになっていることが特に高評価だった。「管理画面やマニュアル、サポートは全て日本語で、ユーザーは難しいセキュリティ専門用語を苦にすることなく、操作・運用を行うことができます。防御性能についても、国内のセキュリティ専門家が高く評価していることに加え、開発からサポートまで一貫してジェイピー・セキュアが担当してくれることもポイントでした」と崎山氏。
機能の面では、やはりトラステッド・シグネチャへの評価が良かった。松井氏は、「自動更新の仕組みで、運用管理をシンプルにできるため、ユーザーの負荷を大幅に削減することができます。また、ホスト型とゲートウェイ型の2つのタイプを選択できるため、設置の自由度が高いことも魅力です」と述べる。
またコストについては、ソフトウェア型であるため、既存サーバに導入するだけで済み、他製品と比較して競争力があることを評価した。キヤノンITソリューションズではSiteGuardを、1ライセンス初年度25万2000円から(ホスト型)という価格で提供している。
そしてサポートに関しても、国内でクローズし、迅速かつ的確であることが高く評価された。国内の技術スタッフがサポート対応を行うため、「設定の仕方」や「チューニングのノウハウ」といったテクニカルな内容にも、“紋切り型ではない”丁寧な対応が行われるのだという。「これまで、WAFの導入と運用は非常に苦労が伴うものでした。その点ではSiteGuardは、かつてないほどシンプルに導入でき、安心して運用し続けられる製品だと思います」(松井氏)。
SiteGuardは、大手金融機関から個人向けレンタルサーバまで、保護対象のサイト数ベースで100万超サイトに利用されるWAFだ。キヤノンITソリューションズがそのSiteGuardをセキュリティソリューションのラインアップに加えたことで、ユーザーはWAF導入をさらに簡単に実現できるようになったといえるだろう。崎山氏はその意義は大きいとし、こう話す。
「脆弱性対策は、企業の規模やWebサイトの種類などにかかわらず求められます。脆弱性を狙う攻撃というと、氏名やクレジットカード情報などが保存されたECサイトなどが特に狙われやすいと思うかもしれません。しかし実際は、商品のキャンペーンサイトや部門のWebサイトなども攻撃の対象となっています。例えば、キャンペーンのアンケートに応募した人の氏名やメールアドレスなどが盗まれるケースです。企業の活動にWebが必須となっている今、コストを抑えつつ、できるだけ多くのWebサイト、Webアプリケーションに高品質な防御を展開していく上では、SiteGuardは優れたソリューションになります」
なお、製品としては、2016年6月にホスト型の「SiteGuard Lite」の新バージョンをリリースし、統計情報やレポート出力の機能強化、アップグレード手順の簡略化など、運用・管理機能を大幅に強化したところだ。さらに年内には、対応WebサーバとしてApacheだけでなく、Windows IISとnginxへの対応も行う予定になっている。
ジェイピー・セキュアの矢次氏は「これまでは、地方自治体や地方の公共機関など、地理的な要因で導入や運用サポートが十分にできなかった組織があります。キヤノンITソリューションズと協力することで、そうした顧客をカバーしながら、全国的に導入と運用サポートをさらに充実させていきたいと思います」と今後の方針について述べる。
現在、キヤノンITソリューションズが展開するセキュリティソリューションは、サイバー攻撃対策(入口対策)、情報漏えい対策(出口対策)、エンドポイント対策(内部対策)など広範囲をカバーしている。WAFはこの中で、サイバー攻撃対策(入口対策)を担う重要な製品として位置付けられている。企業のビジネス活動におけるWeb活用の重要性がますます高まる中、キヤノンITソリューションズは、WAFを含めた包括的なソリューションの提供で、ユーザーを強力に保護していく構えだ。
「PCではウイルス対策ソフトをインストールすることが当たり前になっています。同じように、WebサーバはWAFで守ることが当たり前になってほしい。『Webサーバを立ち上げたらまずはWAFを』という世界が現実のものになるよう、これからもソリューションの提供を通じてユーザーの保護に貢献していきたいと思います」(崎山氏)
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社ジェイピー・セキュア
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年9月24日