米F5 Networksは、Web高速化装置「BIG-IP」を軸に、同製品をプラットフォームとする各種のネットワーク・アプリケーションを提供している。WAF(Web Application Firewall)機能を提供する「BIG-IP Application Security Manager」(BIG-IP ASM)は、そのうちの1つである。
インプレスビジネスメディアは2010年5月24日、米F5 Networksでセキュリティ分野のプロダクト・マネージャを努めるIdo Breger氏に、WAFの市場動向と、BIG-IP ASMの最新機能について聞いた。
---WAFを取り巻く2010年現在の市場動向は。
Ido Breger氏: まず、守るべきWebシステムが増えている。Webサーバー側の変化としては、ここへきてレガシー・システムのWeb化が加速している。Webクライアント側の変化としては、タブレットPCやスマートフォンの浸透に見られるように、いつでもどこでも誰でもWeb化された業務システムにアクセスできる状況になってきている。
攻撃対象となるWebシステムの種類も増えてきた。特定の企業を対象とした攻撃だけでなく、不特定多数への攻撃を自動的に実施する動きが、ここ1年ほど高まっている。Webシステムをランダムにスキャン(走査)し、脆弱性を突くのだ。不特定多数が対象となるため、これまではあまり攻撃対象にならなかった中小企業なども、攻撃を受けるようになる。
---あらためて、WAFの存在意義は。
Webシステムから脆弱性を排除することは現実的には難しい。このため、脆弱性を減らそうとしたら、WAFの導入が現実解となる。
どこに脆弱性があるのかが分かっていても、その脆弱性を排除することは容易ではない。開発者に脆弱性の修正を依頼しても、3カ月後に予定している次のリリースで対処する、といった対応になるだろう。開発部門をアウト・ソーシングしている場合は、さらに難しい。
そもそも、アプリケーション開発者にとって重要なポイントは、Webシステムの機能、性能、拡張性、メンテナンス性、だ。つまり、脆弱性を減らすことには関心がない。管理者側も、より短期に開発することを開発者に求めている。脆弱性を減らすために多くの開発期間を費やすことを、決して望んではいない。
実際、アプリケーションのコードから脆弱性を排除するために要する負荷は膨大だ。見つかった脆弱性1つを排除するのに必要な日数は、平均して3カ月ほどになる。例えば、SQLインジェクション対策で38日、クロスサイト・スクリプティング(XSS)で58日、セッション固定化(Session Fixation)で104日、不適切な認証(Insufficient Authentication)で125日ほどかかる。
---BIG-IP ASMの近況は。
日本ではまだ提供していないが、最新版の「バージョン10.2」では、Webクライアントの認識機能などを高めている(国内では、2010年6月上旬に提供予定)。生身のユーザーではないBOT(ボット)による自動的なWebアクセスや、ユーザーが気付かないところでWebブラウザからリクエストを発行するCSRF(Cross Site Request Forgery)攻撃などへの対策機能を強化した。
---日本国内におけるWAFの販売動向は。
帆士敏博氏: ここ1年半ほどは、金融機関やEC(電子商取引)、公共機関などを中心に、WAFの導入が進んでいる。今では誰もがSQLインジェクションなどの言葉を知っており、WAFの認知度も高い。以前と比べると、WAFの導入障壁が下がっているのを感じる。
以前は、攻撃を受けてから対策を考え、WAFの導入検討へとつながっていた。ところが現在では、情報システムのRFP(Request For Proposal、提案依頼書)にWAFの導入について書かれており、システム構築やシステム刷新とともにWAFが納入されるのが一般的となった。セキュリティに強いSIベンダーから導入し、運用も任せるケースが多い。
ある証券会社では、為替取引など、新規に作成したWebアプリケーションをリリースするまでのスピードを高める目的で、WAFを導入した。これまではコードから脆弱性を排除することに注力してきたが、コーディングにかかる時間がかかり過ぎており、アプリケーションのリリース・スケジュールに遅延が発生していた。WAFの導入によって脆弱性を残したまま、早期リリースが可能になった。
