ITpro Special
週間WEEKLY ITpro Special ITpro

Cloud Days 2015|Security 手軽かつ強力なWAF専用機でクラウド上のWebアプリも防御

INDEXページへ ページトップへ

バラクーダネットワークスジャパン

手軽かつ強力なWAF専用機で
クラウド上のWebアプリも防御

セキュリティ対策をシンプルにするために、直感的なGUIで設定できるアプライアンス製品を提供するバラクーダネットワークスジャパン。スパムメール対策分野で高い実績を誇る同社では、Webアプリケーションを防御する製品にも注力。豊富なラインアップをそろえるとともに、セキュリティが不安視されるクラウドにも有効なソリューションを提供している。

バラクーダネットワークスジャパン株式会社
セールスエンジニア
澤入 俊和 氏

バラクーダネットワークスジャパンが注力しているのが、Web Application Firewall(WAF)と呼ばれるWebアプリケーションを防御するアプライアンス製品だ。同社の澤入俊和氏はIPAが発表した情報セキュリティの10大脅威の中でWebサイトへの脅威が増えていることを紹介。実際にWebアプリケーションの攻撃によって大量の顧客情報が流出するなど、被害の発生は後を絶たない。

「WAFはFireWallやIPSとは補完関係にあるものです。統合的なセキュリティ対策製品はありますが、Webサイトへの攻撃が巧妙化しているだけに、専用機でないと対応できません」と澤入氏。しかし、正しい認識が広がっていないため、WAFを装備していないケースが多いのが現状だ。「WAFでは攻撃者に対しWebサイトのOS情報などを隠し、情報を与えません。それだけで攻撃対象と見なされにくくなります」(澤入氏)。

さらに同社の製品には多様化する攻撃からWebアプリケーションを守る対策が数多く装備されている。「不正アクセスなどに使用されるSQLインジェクションにはブラックリスト型の定義ファイルで防御し、ID/パスワードの使い回しを狙ったパスワードリスト攻撃などには一定のリクエスト数を超えたアクセスをブロックした上で、キャプチャ画像を表示させて対応します」と澤入氏は説明する。

また、アプリケーションレイヤーへのDDoS攻撃を切断するSlow Client攻撃防御機能、疑わしいネットワークからのアクセスを拒否するIPレピュテーション対策機能など、同社のWAFには多くの有効な防御策が用意されている。

クラウド環境にまで対応した
豊富な製品ラインアップ

同社のWAFが支持されている理由について、澤入氏は「開梱してからわずか30分で使える手軽さ」を挙げる。ホワイトリスト型ではなくブラックリスト型なので、構築・チューニング期間も短くて済む。定義ファイルは最新のセキュリティ情報を持つバラクーダセントラルから自動でダウンロードされる。スパムメールでの実績がもたらすIPレピュテーションへの対応ノウハウも評価されている。日本のユーザーには日本語対応されたGUIが好評だ。

また、小規模サイトから大規模サイトまでカバーする製品ラインアップの充実も支持されている理由の一つだ。クラウド環境の対応も注目されている。「ロードバランサーと仮想マシンの間にWAFを設置することで利用できます。クラウド移行の懸念材料であるセキュリティへの不安を払拭できます」と澤入氏。Microsoft Azure、AWS(アマゾン ウェブ サービス)に加えて、vCloud Airにも対応した。

バラクーダネットワークスジャパンではWAF製品についての無償での評価機の貸し出しを行い、デモサイトも用意している。

お問い合わせ