Webアプリケーション・ファイアウォールの分野で顧客満足度1位～ジェイピー・セキュア社「SiteGuard」の、高い顧客満足度の秘密～

株式会社イードは、企業のIT担当者を対象に、セキュリティ製品・サービスに関する満足度調査を行い、製品カテゴリ毎に、導入、運用管理、サポート、費用対効果など、各フェーズの満足度を数値化した。

近年普及が著しいWebアプリケーション・ファイアウォール（以降、WAF）部門では、国産製品「SiteGuard」が総合満足度1位となった。同製品は、他にも、導入、運用管理、スループット、トラブル対応、サポートの各部門でも満足度1位となっている。

同製品を開発・販売する、株式会社ジェイピー・セキュア（以降、JP-Secure）の取締役兼プロダクト推進部長の齊藤和男氏にインタビューを行い、SiteGuardの開発の歴史をひもとき、高い顧客満足度を得た秘密を探った。

● SiteGuardの開発経緯

――SiteGuardの開発に至った経緯をご教示ください。

「SiteGuard」は2005年に開発を始め、2006年にリリースしました。2005年は、大手ネットサービス会社が「SQLインジェクション」という手法を使ったWebサーバへの攻撃に晒されるなど、大きな事故が起きた年です。前年に中国でSQLインジェクションを用いた攻撃ツールが出回ったこともあり、Webアプリケーションを狙った攻撃が増加傾向にありましたが、この事故を契機にSQLインジェクション、WAFといったキーワードが世の中に浸透し、危険性が認知されてきました。

一方、対抗策としてのWAF製品は、アプライアンスを中心に海外から日本市場に入ってはきていましたが、普及は進んでいませんでした。その要因の1つに、ユーザ側の負担、具体的には通信を検査する仕組みとしてホワイトリストを使用している点が挙げられる、と我々は判断していました。ホワイトリストでは、個々のサイトごとに異なるWebサーバの膨大な通信パターンをすべて洗い出し、WAFに許可する通信のタイプを指定する必要があります。その方法では、導入時の設計に手間がかかりますし、運用時のメンテナンスも簡単ではありません。

こうした点を踏まえ、我々は「使いやすさ」を追求したWAFの開発に着手しました。ホワイトリストの代わりにブラックリストを取り入れ、ユーザ側で発生する作業を抑えられるようにしたのです。ここで重要になるのが、ユーザに提供するブラックリスト（シグネチャ）の防御精度です。この点は、セキュリティトップベンダーである株式会社ラックとの技術提携により解決できました。

● 顧客満足度の高さの理由

――今回、顧客満足度で1位になった理由はどこにあるとお考えですか？

利用者の視点で開発してきた点があると考えています。JP-SecureではWAF本来の防御機能の高さは当然のものと位置づけた上で、製品コンセプトとして使いやすさを徹底的に追求してきました。まずは、前述のブラックリストをベースとした防御ロジックの採用により、ユーザの導入負担を大幅に削減できました。

また直感的に分かるGUIを模索し続けています。バージョンアップのたびに画面遷移を洗練させ、注意書きを赤文字で添えるといった、細かい操作性にも配慮しています。お客様はGUIを使われる方のほうが多いのですが、設定ファイルを直接編集して運用するケースもあります。そのような場合も設定がシンプルですので、高い技術力を持つ管理者の方にとっては、慣れてしまうとその方が運用しやすいことがあります。

―実際、アンケート結果でも「導入満足度」という項目のポイントが、他社を引き離しています。それ以外の点でも、顧客満足度につながる点はありますか？

サポート対応を重視して取り組んでいます。お客様からのお問い合わせ、特に電話の場合は緊急時が多いものです。電話を受けたサポートスタッフは、単に話を伺って受付処理を行うのみならず、その電話で解決できることを目指しています。各スタッフが製品を熟知し、高いスキルを持っていますし、開発陣とも密に連携をしています。

● 今後の展開

―― 今後、SiteGuardの機能はどのように発展していくのでしょうか。

8月に新バージョンのリリースを予定しており、防御機能と管理機能の双方を強化しています。

防御機能については、ブルートフォース攻撃等の対策を目的とし、同一IPアドレスからの接続を監視、ブロックする機能を新たに搭載します。また、クロスサイトリクエストフォージェリ(CSRF)の防御機能の強化やクリックジャッキングの対策に活用できる機能も追加予定です。

管理機能については、使いやすさを向上させるため、Web管理画面をリニューアルします。ログ画面の見やすさが大幅に改善される（図）ほか、お客様自身が簡単に運用できるよう、画面の遷移やボタンの配置など細かな点も改良しています。また、管理者へのメール通知機能を強化し、指定間隔によるサマリレポートとリアルタイム通知の選択が可能になります。このほか、GUI上でのマルチインスタンス管理や、SSLプロキシ、IPv6への対応も行う予定です。

―― 営業的な側面からはどのような戦略をお持ちでしょうか。

以前は、販売パートナー経由でソフトウェアライセンスを導入いただく形が中心でした。現状は、同様のソフトウェア提供に加え、ホスティングサービスへの組み込みやアプライアンス製品化など、アライアンスによる提供形態が増えてきています。

事例として、さくらインターネット株式会社の「さくらのレンタルサーバ」や株式会社paperboy&co.の「ロリポップ！」「ヘテムル」などのホスティングサービスで採用いただいています。アプライアンス製品の例では、本年4月に販売開始されたセイコーソリューションズ株式会社のロードバランサ/SSL/WAF標準搭載の「Netwiser SX-3550」などがあります。

SiteGuardはWAF市場では比較的少ないソフトウェア製品であるため、様々な環境で使える点が強みになっています。今後も通信事業者やネットワーク機器ベンダーと協力し、より多くのWebサイトで活用していただけるよう、取り組んでいきたいと考えています。

―― ありがとうございました。