Webアプリケーションの脆弱性を突かれたセキュリティ事故が後を絶たない中、WAFアプライアンス製品を導入する企業が増えている。しかし依然として、WAF製品は高価で運用が難しいと思い込んでいる企業も多い。
SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性を突いたセキュリティ攻撃が相も変わらず猛威を振るっている。実際のところ、こうした攻撃を受けた結果、情報漏えいやWebサイト改ざんなどの被害に遭う企業が後を絶たない。こうした状況を受け、自社のWebアプリケーションを保護するためにWAF(Webアプリケーションファイアウォール)製品を導入する企業が増えてきている。
現在、さまざまなセキュリティベンダーがWAF製品を提供しており、製品ごとの機能差も少なくなりつつある。とはいえ、まだまだ高価な製品が多く、また実際に導入した後の運用に課題を残す製品も少なくない。そんな中、リーズナブルな価格と運用のしやすさで注目を集めているのが、フォーティネットのWAF製品「FortiWeb」だ。
フォーティネットといえば、UTM製品「FortiGate」でよく知られるベンダーだが、FortiWebは決してUTMにWAF機能を付加したものではなく、あくまでもWAF機能に特化して開発された製品だ。そのため、WAFに求められる基本的な機能はもちろんのこと、自動学習機能付きのホワイトリスト防御、Webサーバの負荷を低減するSSLオフロード機能、送信ファイルの内容を精査できるアンチウイルス機能など、さまざまな先進機能が装備されている。また、WebサーバとWebアプリケーションの既知の脆弱性スキャンを行い、脆弱性リポートを出力する機能も備えるため、FortiWeb単体でWebサーバの脆弱性を洗い出すこともできる。
運用のしやすさという面でも、もともとFortiGateで定評のあった、日本語化された使い勝手のいいGUIを通じて、容易に設定や制御を行うことができる。加えて、物理アプライアンス型製品だけでなく、VMware環境上で動作する仮想アプライアンスも提供しているため、用途や予算に応じて柔軟な導入形態が選べる。例えば、まずは仮想アプライアンスを導入して自社Webアプリケーションの脆弱性スキャンを行い、問題が数多く見つかるようであれば、あらためて物理アプライアンスを本格導入するといったような段階的な導入も可能だ。
ただし、WAFは単に導入するだけでは意味がない。適切な設定と、継続的なメンテナンスをきちんと行ってこそ、はじめてその効力を発揮する。とはいえ、これを行うには高度な専門知識が必要になるため、一般企業が独力で行うにはかなりハードルが高い。そこで、フォーティネット製品を使ったセキュリティソリューションで定評のある図研ネットウエイブでは、FortiWebの導入・運用を支援するサービスや、運用トレーニングサービスなどを提供している。また同社では、FortiWebの機能を詳しく紹介したホワイトペーパーも無料で公開している。本稿を読み、FortiWebに興味を持った方には、ぜひ一読をお勧めしたい。
Webアプリケーションファイアウォール(WAF)はさまざまなベンダーが提供しているが、高額で運用の手間が掛かる製品が多い。どのような環境においても容易に実装可能で、かつ優れたコストパフォーマンスを実現したWAF製品を紹介しよう。
| ホワイトペーパーのダウンロードページへ (TechTargetジャパン) |
提供:図研ネットウエイブ株式会社
アイティメディア営業企画/制作:TechTarget編集部
ITmediaはアイティメディア株式会社の登録商標です。
