[インタビュー]

WAFでWebアプリの早期リリースが可能に─米F5 Networks製品マネジャー

2010年5月25日(火)IT Leaders編集部

米F5 Networksは、Web高速化装置「BIG-IP」を軸に、同製品をプラットフォームとする各種のネットワーク・アプリケーションを提供している。WAF(Web Application Firewall)機能を提供する「BIG-IP Application Security Manager」(BIG-IP ASM)は、そのうちの1つである。

 インプレスビジネスメディアは2010年5月24日、米F5 Networksでセキュリティ分野のプロダクト・マネージャを努めるIdo Breger氏に、WAFの市場動向と、BIG-IP ASMの最新機能について聞いた。

---WAFを取り巻く2010年現在の市場動向は。

Ido Breger氏: まず、守るべきWebシステムが増えている。Webサーバー側の変化としては、ここへきてレガシー・システムのWeb化が加速している。Webクライアント側の変化としては、タブレットPCやスマートフォンの浸透に見られるように、いつでもどこでも誰でもWeb化された業務システムにアクセスできる状況になってきている。

 攻撃対象となるWebシステムの種類も増えてきた。特定の企業を対象とした攻撃だけでなく、不特定多数への攻撃を自動的に実施する動きが、ここ1年ほど高まっている。Webシステムをランダムにスキャン(走査)し、脆弱性を突くのだ。不特定多数が対象となるため、これまではあまり攻撃対象にならなかった中小企業なども、攻撃を受けるようになる。

---あらためて、WAFの存在意義は。

 Webシステムから脆弱性を排除することは現実的には難しい。このため、脆弱性を減らそうとしたら、WAFの導入が現実解となる。

 どこに脆弱性があるのかが分かっていても、その脆弱性を排除することは容易ではない。開発者に脆弱性の修正を依頼しても、3カ月後に予定している次のリリースで対処する、といった対応になるだろう。開発部門をアウト・ソーシングしている場合は、さらに難しい。

 そもそも、アプリケーション開発者にとって重要なポイントは、Webシステムの機能、性能、拡張性、メンテナンス性、だ。つまり、脆弱性を減らすことには関心がない。管理者側も、より短期に開発することを開発者に求めている。脆弱性を減らすために多くの開発期間を費やすことを、決して望んではいない。

 実際、アプリケーションのコードから脆弱性を排除するために要する負荷は膨大だ。見つかった脆弱性1つを排除するのに必要な日数は、平均して3カ月ほどになる。例えば、SQLインジェクション対策で38日、クロスサイト・スクリプティング(XSS)で58日、セッション固定化(Session Fixation)で104日、不適切な認証(Insufficient Authentication)で125日ほどかかる。

---BIG-IP ASMの近況は。

 日本ではまだ提供していないが、最新版の「バージョン10.2」では、Webクライアントの認識機能などを高めている(国内では、2010年6月上旬に提供予定)。生身のユーザーではないBOT(ボット)による自動的なWebアクセスや、ユーザーが気付かないところでWebブラウザからリクエストを発行するCSRF(Cross Site Request Forgery)攻撃などへの対策機能を強化した。

---日本国内におけるWAFの販売動向は。

帆士敏博氏: ここ1年半ほどは、金融機関やEC(電子商取引)、公共機関などを中心に、WAFの導入が進んでいる。今では誰もがSQLインジェクションなどの言葉を知っており、WAFの認知度も高い。以前と比べると、WAFの導入障壁が下がっているのを感じる。

 以前は、攻撃を受けてから対策を考え、WAFの導入検討へとつながっていた。ところが現在では、情報システムのRFP(Request For Proposal、提案依頼書)にWAFの導入について書かれており、システム構築やシステム刷新とともにWAFが納入されるのが一般的となった。セキュリティに強いSIベンダーから導入し、運用も任せるケースが多い。

 ある証券会社では、為替取引など、新規に作成したWebアプリケーションをリリースするまでのスピードを高める目的で、WAFを導入した。これまではコードから脆弱性を排除することに注力してきたが、コーディングにかかる時間がかかり過ぎており、アプリケーションのリリース・スケジュールに遅延が発生していた。WAFの導入によって脆弱性を残したまま、早期リリースが可能になった。

米F5 Networksでセキュリティ分野のプロダクト・マネージャを努めるIdo Breger氏(右)と、F5ネットワークスジャパンでプロダクト・マーケティング・マネージャを努める帆士敏博氏(左)
写真1:米F5 Networksでセキュリティ分野のプロダクト・マネージャを務めるIdo Breger氏(右)と、F5ネットワークスジャパンでプロダクト・マーケティング・マネージャを務める帆士敏博氏(左)
関連キーワード

F5 Networks / 負荷分散 / Web高速化

関連記事

トピックス

[Sponsored]

WAFでWebアプリの早期リリースが可能に─米F5 Networks製品マネジャー米F5 Networksは、Web高速化装置「BIG-IP」を軸に、同製品をプラットフォームとする各種のネットワーク・アプリケーションを提供している。WAF(Web Application Firewall)機能を提供する「BIG-IP Application Security Manager」(BIG-IP ASM)は、そのうちの1つである。

PAGE TOP