WAFの導入はあらゆる企業にとって待ったなしの課題だが、アプリケーションの領域に踏み込むのはネットワーク担当者にはやや荷が重く感じられるもの。もっと導入しやすいWAFアプライアンスはないものだろうか。
後を絶たないサイバー攻撃。2014年も数え切れないほどの事件が世界中で話題になった。攻撃の手段はさまざまだが、真っ先に狙われるはWebサイトだ。攻撃の内容もかつてのようにトップページに落書きをするようなものより、金銭や機密情報の窃取といった明確な目的を持って実行するケースが目立つようになっている。
また、かつての愉快犯的な攻撃者であれば、サイトが改ざんされれば画面が変わり、誰でも「やられた」と理解できたが、昨今の攻撃者はむしろ、改ざんしたことが気付かれないようにわなを仕掛ける。自社のページにマルウェアや悪意あるWebサイトへ誘導するリンクを仕込まれて、知らぬ間に攻撃者の片棒を担がせられるという事例も少なくない。
Webサイトへのセキュリティ対策は、今やあらゆる企業にとって待ったなしの課題だ。対策の中心になるのは「Web アプリケーションファイアウォール」(WAF)だろう。情報漏えいやWebサイト改ざんの多くは、Webアプリケーションの脆弱性を突いてくる。また、ファイアウォールや不正侵入防御システム(IPS)といった対策だけでは防御できないアプリケーションレベルでの対策は、多くの業務システムがWeb化される中で、最重要課題といえる。
「そんなことは百も承知」という人もいるだろう。だが、WAFの重要性を理解してはいても、なかなか導入に踏み切れないという企業もある。導入コストの問題を別にしても、運用管理の負担が大きいというのが主な理由のようだ。また、WAFが担うWebアプリケーションの領域は、多くのネットワーク担当者にとって「よく分からない世界」でもある。それゆえに積極的に関わることをためらうことになりがちだ。
とはいえ、このまま見て見ぬふりを続けることは許されない。「分からない」「面倒くさそう」といった先入観を払拭し、ネットワーク担当者にも使いやすいWAFをどうやって探せばいいのか。次のページから見ていこう。
提供:図研ネットウエイブ株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部
ITmediaはアイティメディア株式会社の登録商標です。
