CMSなどの普及により、プログラミング等の深い知識がなくとも自由にWebサイトを構築できるようになって久しい。そのため、企業はより手軽にビジネスにWebサイトを活用するようになり、コンテンツについても年々リッチで表現力豊かなものになっている。そうした一方で、最近問題となっているOpenSSLの脆弱性に見られるように、現在のWebサイトのセキュリティ対策には、基盤からアプリケーションに至るより広範なレイヤの視点が求められている。

このような状況を受け、「Webサイト運用を行う企業がとるべきセキュリティ対策」のポイントをわかりやすく解説する、注目のセミナーがまもなく開催される。ここでは、このセミナーに登壇予定で、Anti-DDoSやWAFをはじめとしたさまざまなセキュリティソリューションを開発している、NSFOCUSジャパン株式会社のプロダクトマネージャ 佐藤剛氏に登場いただき、多くの企業に共通するWebセキュリティ対策の現実解を示してもらった。

「大規模サイト管理者に学ぶ、セキュリティの極意」の参加申し込みはこちら(参加費無料、7月25日(金)開催、東京都千代田区、開場13:30~)

DDoS対策ソリューションで培った技術を応用したWAFの強み

NSFOCUSジャパン株式会社 プロダクトマネージャ 佐藤剛氏

「最近はオープンソースのCMSなどを使うことで、従来ならばSIerに構築依頼していたようなWebサイトでも、Webデザイナーなどが自らの手で効率よく、また低コストで構築できるようになっています。しかしそうした利便性の反面、セキュリティについてはどうしても甘くなってしまう傾向にあります。OpenSSLの脆弱性にしても、スキルに乏しい場合バージョンアップを行うぐらいしか対策ができませんが、それもDBサーバなど社内のさまざまなシステムと連携していると簡単にはいきません。コストと時間、そして人的リソース面で大きな負担となってしまうことでしょう」──開口一番、佐藤氏はこう指摘した。

Webサイトのアプリケーションやコンテンツ基盤だけでなく、さらにその下のレイヤにあるサーバOSの問題も見逃せない。2015年7月15日(日本時間)にWindows Server 2003のサポート終了が控えているが、サポートが停止するとその脆弱性を突いた攻撃が急増するおそれもあるのだ。さらに、最近情報漏えい事件が頻発しているパスワードリスト型攻撃のように、ユーザー側にもある程度の対策が求められるような脅威も出てきている。

Webサイトのセキュリティ上の脅威と、企業の担当者の知識やスキルの間の乖離はますます大きくなっているが、NSFOCUSジャパンが販売する「NSFOCUS WAF」は、そのような状況下においてでも、最新のセキュリティ対策を自動的に施すことができるという。NSFOCUS WAFは、さまざまなウェブセキュリティ診断方法を組み合わせたソリューションにより、未知の脅威からウェブアプリケーションを保護することができるという。ふるまいベースのAnti-DDoSメカニズムを統合することで、従来のウェブベースの脅威およびDDoS攻撃に対する防御を実現するのである。

「Anti-DDoSソリューションで培った技術とノウハウをWAFに応用することで、通常は気づかないような少量のトラフィックによる攻撃さえもブロックすることができます。また、一般的なWAF製品のようにトラフィックを絞り込むのではなく、ふるまい検知を活用するため、ユーザーへの影響を最小限にとどめられる点も特徴となっています」と佐藤氏は説明する。

中国・北京に本社を置くNSFOCUSは、2000年の設立以降、DDoS攻撃対策をベースに研究実績を積み重ねてきている。中国国内の三大キャリアで採用されるなど、Anti-DDoSソリューションで中国トップシェアを誇る同社だが、2011年には日本法人が設立され、国内のNSFOCUS WAFユーザーに対しても開発元メーカーとして24時間365日のサポートを提供している。ネットワークの監視やシグネチャファームのアップデートに加えて、(エマージェンシー対策として)万が一攻撃を受けた場合であってもWAFのチューニングも含めた対処をNSFOCUS側で行うなど、サポート体制は非常に手厚い。そのため専門スタッフのいない企業であっても、自社のWebサイトのセキュリティレベルを常にハイレベルで維持することができるのである。

7月25日に開催する「マイナビニュースITサミット-大規模サイト管理者に学ぶ、セキュリティの極意-」の佐藤氏の講演では、昨今の具体的な攻撃事例について解説したうえで、企業ごとの予算や人的リソース、そして目的に合った、現実的で且つWAF導入のために欠かせない考え方が示される予定だ。

「脅威に対してただいたずらに恐れるのではなく、まずどこを守ればいいのかを見極めることが大切です。事実を踏まえて一緒に考えながら解決の糸口がつかめるような内容にしたいですね」と佐藤氏は意気込みを示す。

セキュリティの強化と効率化、その両立を目指す企業の担当者には、必見の講演となることだろう。