ペンタセキュリティシステムズ(ペンタセキュリティ)は9月3日、「安全なインターネットの基準、WAF」と題するコラムを更新。Webセキュリティの重要性と、WAF(Web Application Firewall)製品の選び方を解説した。

同社は、Webセキュリティの重要性があまり認知されていないのが実情だと認識している。また、また、ICTセキュリティにおいても重要であることを理解されながらも、具体的な対策方法が浸透していなため、対策が疎かになっていると指摘している。

WebセキュリティやICTセキュリティへの対策を本格化していない理由を「安全なインターネットとは何か」という概念がないためと説明している。

コラムでは「安全なインターネットとは何か」を示すため、まずICTセキュリティの対策やセーフティネットとなるソリューションを紹介している。

主な例として、英国のBSI(British Standards Institute)が制定したBS7799基盤のセキュリティ認証でフレームワークとなる「ISO27001」、経営に焦点を合わせた「情報セキュリティマネジメントシステム(ISMS;Information Security Management System)」の2つを挙げている。両者のフレームワークを参照し、それぞれの仕様に合わせて企業のセキュリティシステムを構築できれば、ある程度安全なICTセキュリティのポリシー確立や仕組構築が可能となるという。

ISO27001を取得するには、全体で11の評価項目で「安全」と認められる必要があり、ISO27001を取得できた企業はICTセキュリティに関わる全てのリスクを総合的に管理し、改善できる基本的な仕組が整っていることを意味している。認証を取得したからといって100%安全とはいえないが、「代替的に」安全になったことには間違いない。

続いて、安全なインターネットの基準となる国際標準を解説している。

代表例が世界的なNGOオンライン信頼度監査機関である「OTA(Online Trust Alliance)」だ。毎年、有名Webサイトを対象にセキュリティ性を点検し、安全なインターネット文化の確立に向け先駆けて取り組んでいるWebサイトを選定し、「オンライントラスト栄誉賞(OTHR;Online Trust Honor Roll)」を授与している。

点検は、政府機関、金融機関、SNSなどさまざまな分野で、1000の有名サイトが対象となっている。2015年は約46%がセキュリティ性の不足を理由に選定対象から外され、1位の「最も信頼できるWebサイト」には、「Twitter」が選定されている。

OTHRの選定基準は、2015年から「WAFの使用有無」が要項目として追加されている。WAF使用の有無の評価により、「安全」ランクを取得した企業は去年の30%から今年は44%へと増えるなど、選定結果に大きな影響を与えている。

コラムでは、「WAFはそもそもWebセキュリティの基本であり、核心であるWebアプリケーションセキュリティに特化して開発されたもの」と、セキュリティにおけるWAFの重要性を強調した。

WAFの特徴は、外部からの攻撃を事前に遮断してマルウェアなどの有害物がサーバーへ侵入することを防ぎ、Webセキュリティ脆弱性が外部にさらされないようにするなど、Webセキュリティの全般での役割を担っている。

クラウドサービスを試してからハードウェアに移行

同社は、WAF製品を購入する前に、クラウド型WAFサービスを試すことを推奨している。

クラウド型WAFサービスは、簡単な操作で実際にWAFを導入したような効果が得られ、マウスを数回クリックするだけで、Webハッキング攻撃をほぼ遮断できるという。Webサイトハッキング、Webからのデータ漏洩、不正アクセス、Webサイト改ざんなどから防御する機能を搭載する。

クラウド型のため機器の保守コストもかからず、一定期間無料で利用できる。効果や費用に納得できれば、トラフィック量によって最適なプランを選択し、ハードウェアを購入すればよい。

クラウド型WAFの選び方で重要なのは、モニタリング機能であると説明している。Web脆弱性のトレンド分析、Webサイトを狙う攻撃者の行動分析、攻撃と防御のログなどをモニタリング機能で閲覧する いくら早いスピードのWebセキュリティ機器でも、モニタリング機能が乏しければ、無用の長物になってしまう。選ぶときは、直感的にわかるユーザーインタフェースを持つ製品を選ぶべきだという。

もう1つ重要なのがは、クラウド型WAFサービスがハードウェア型WAFと同じ技術で作られているかどうかだ。同じ技術で作られている場合は、クラウドからハードウェアへの移行もスムーズで、システムの変更によって業務の空白は発生しにくい。逆に、クラウド型WAFサービスとハードウェア型WAFサービスが異なる技術であった場合、順調な移行を期待できないと考えたがほうがよい。

最後に、WAFのセキュリティ基盤である「シグネチャ基盤」ではなく「論理演算基盤」の違いを解説している。リストの参照を駆除方法の基本とするシグネチャ基盤は、膨大なトラフィックの量の中で使い続けるのは難しいとし、論理演算基盤のWAFを選ぶことを推奨している。