負荷分散だけに留まらない!本格WAF機能を標準搭載するロードバランサ登場

Webサイトを取り巻く脅威が更に増大!しかしWAFは高価で手が出ない企業も

ネットを活用したサービスが人々の生活の中でもはや欠くことのできない存在となった今、Webサイトは単なる情報の発信の場としてだけでは捉えられなくなった。企業と顧客を結ぶ多種多様なコミュケーション・サービスを提供する基盤として、Webシステムの存在価値は、ますます高まっているのである。そのため、Webサイトのパフォーマンスが企業の信頼性やビジネスの成否に直結するケースも少なくない。だからこそ、ロードバランサやアプリケーションデリバリコントローラー(ADC)が、Webサイトにとって必須の機能となっているのである。

一方、そうしたWebサービスを支えるウェブアプリケーションを提供・開発する側には、利用者と自身を守るためのより高度なセキュリティ対策も求められている。しかしながら、SQLインジェクションやクロスサイトスクリプティング(XSS)といったウェブアプリケーションの脆弱性を悪用した旧知の攻撃手法は依然として猛威を振るっており、個人情報漏洩やWebサイトの改ざんといった深刻なインシデントが後を絶たない。

パスワードリスト攻撃やApache Strutsの脆弱性といった新たなリスクも増大している。特にApache Strutsについては、国内の多くのWebサイトで使われていることから、中小企業であっても十分な注意が必要だ。攻撃者は検索エンジンでApache Struts使用サイトを容易に割り出し、サイトの規模や種類に関係なくかたっぱしから攻撃をしかける傾向にあるからだ。

こうしたWebアプリケーションの脆弱性を悪用した攻撃はファイアウォールやIPS(不正侵入防止システム)などのセキュリティ機器ではなかなか防ぐことが難しい。そこで、自社のWebサイトを保護するために導入が進んでいるのが、ウェブアプリケーションファイアウォール(WAF)である。WAFであれば、たとえセキュリティパッチの未適用などWebアプリケーションの脆弱性が解消されていない状況であっても、その前の段階で攻撃をブロックすることが可能となるのである。

先頃、発覚したbash脆弱性問題(Shellshock)は、影響の大きさから早急な対応が求められている。LINUXのコマンド実行で広く利用されるbashにおいて、環境変数を経由した命令がそのまま実行されてしまうというこの脆弱性は、WebサーバーのCGIを通して任意のコマンドを実行され、Webサーバーの動作権限の範囲内で情報の窃取やファイル操作など、重大な問題を引き起こす可能性がある。

Barracuda Web Application Firewallでは、いち早くbash脆弱性(Shellshock)攻撃からの防御用に汎用シグネチャを提供している。同社のオフィシャルブログに掲載してあるが、攻撃定義ファイルを更新した上で、ヘッダ名が“*” と一致するルールを作成し、ブロックする攻撃タイプから「OSコマンドインジェクション」を選ぶことで対策が可能になる。

WAFを利用したbash脆弱性(shellshock)からの保護(同社オフィシャルブログより)

そんなWAFだが、比較的高価であることも事実。大企業のWebサイトや直接収益を生み出すECサイトであれば導入しやすいかもしれないが、一般的な中小企業のWebサイトとなると、セキュリティに十分なコストをかけ難いのが現実だ。WAFの必要性とその効果はよく理解してはいるものの、コスト的な制約から導入に踏み切れないという企業は多い。しかし前述のようにWebサイトを取り巻く脅威は企業やサイトの規模に関係なく増大しているのである。

バラクーダネットワークスジャパンのSEディレクター、鈴木啓之氏は、「たとえECサイトでなくとも、会社の顔ともいえるWebサイトが情報漏えいや改ざんなどの被害を受けた場合には、甚大なダメージを被ることになります」と注意を促す。中小企業の経営者や情報システム担当者は、切迫した状況に立たされているのである。

ロードバランサ/ADCに無償でWAF機能を搭載!セキュリティとコストの課題を同時に解決

WAFに対するニーズとコストとの乖離という大きな問題に対し、画期的な解決策を示したのがバラクーダネットワークスの「Barracuda Load Balancer ADC」だ。Webサイトのパフォーマンスを最適化するために「アクセラレーション」「高可用性」「コントロール」といった機能を提供するロードバランサ/ADCであるこの製品には、実績豊富な本格的WAF機能が無償で搭載されているのである。

「Barracuda Load Balancer ADC」シリーズ。負荷分散やWebアプリケーションの高速化にといった機能に加えて、本格的なWAF機能を標準搭載する。中小規模のサイトなど高コストになりがちなコストを大幅に削減できるメリットがある

冒頭で述べたように、Webサイトのパフォーマンスの安定化に欠かせないロードバランサ/ADCは、求められる帯域が50~100Mbps程度のWebサイトであっても導入が進んでいる。だがそこにWAFも追加するとなると、トータルコストはほとんどの中小企業の予算を軽くオーバーしてしまうことになる。しかし「Barracuda Load Balancer ADC」ならば、ロードバランサ/ADCに対する既存のコストそのままで、WAFの導入が可能となるのだ。

ここで重要なのは、無償の機能とは言っても、WAF専用機と同等の機能を有している点である。もともとバラクーダネットワークスは、WAFの老舗ベンダーを買収し、より扱いやすい製品とすることで発展を遂げてきた企業だ。「Barracuda WAF」が持つ高い防御性能と日本語のわかりやすいGUI、そして豊富な実績をそのままロードバランサ/ADCと一体化させたのが、「Barracuda Load Balancer ADC」なのだ。

「だからこそ、本格的なWAFとユーザービリティ、低コストのそれぞれをバランス良く提供できていると自負しています」(鈴木氏)

Barracuda Load Balancer ADCのGUI画面。すべて日本語対応で詳細なデータやグラフで、トラフィックからネットワーク、アクセスコントロールからセキュリティを一元管理できる

そして「Barracuda Load Balancer ADC」を導入して自社のWebサイトの規模が拡大した場合には、容易にWAF機能を「Barracuda WAF」へと切り替えられる。GUIはほぼ共通しているため、管理者も戸惑うこと無く運用を続けることが可能なのだ。既に多くの企業で導入実績のある「Barracuda WAF」には、誤検知の少なさや運用負荷の低減、レポートの見やすさなど、数々の評価の声が寄せされている。

例えば札幌学院大学では、様々な環境が混在するWebサーバーのセキュリティを、「Barracuda WAF」を利用することで一定レベル担保している。もし脆弱性のあるWebサイトが組織内に存在していたとしても、WAFにより対策が施されるからだ。

このように「Barracuda Load Balancer ADC」であれば、ロードバランサ/ADCの機能に加えて、これからのWebサイトに欠かせないセキュリティ機能を追加コストなく利用できるのだ。例えば、旧型のロードバランサ/ADCのリプレースを考えている企業であれば、そのままの予算で高度なセキュリティ機能も加えることができるようになる。これまで中小企業には“高嶺の花”であったWAFだが、「Barracuda Load Balancer ADC」ならば手軽に手に入れることができる。なるべくコストをかけずに自社のWebサイトのセキュリティを高めたいという企業の経営者や情報システム担当者の方々であれば、是非一度試してみて、その効果を実感していただきたい。