AWSをはじめクラウドに最適なソフトウェア型WAF「InfoCage SiteShell」（NEC）

日本電気株式会社の提供するWAF「InfoCage SiteShell」は、Webサーバに直接インストールする「ソフトウェア型WAF」であることが特長。

ソフトウェア型であるため、クラウド環境や仮想環境にマッチする。多くのクラウドサービスに対応しており、特にアマゾンウェブサービス（AWS）には、国内ソフトウェアWAFベンダで唯一、正式対応している。今回、「InfoCage SiteShell」の販売促進を担当するNECシステムテクノロジー株式会社第四ソフトウェア事業部の主任である下田仁史氏に、WAFを取り巻く環境や「InfoCage SiteShell」の特長などについて話を聞いた。

――WAFの重要性が再び認識されています

WAFが日本で普及し始めたのは2005年頃、7～8年前です。その後、しばらく落ち着いていましたが、ここ2～3年で再び盛り上がってきた印象です。その背景には、Webサイトへの不正アクセスや情報漏えいといった脅威が再認識されていることや、IDとパスワードのリストでWebサイトに不正ログインを試行する辞書攻撃が多発していることが挙げられます。

不正ログイン試行については問い合わせも増えており、Webアプリケーションの脆弱性へのニーズも継続的にあります。こういった背景のもと、企業側でも、WAFに対する理解が深まっており、着実に市場が広がっている印象です。

――企業ネットワーク環境の変化として、オンプレミスからクラウドへの移行がありますね

オンプレミスからクラウドへ環境を移行する際には、オンプレミスで実施していたセキュリティ対策を、クラウドでも同じレベルに保ちたいという要望が多いです。そのためWAFを導入している企業は、クラウドでもWAFが要件になります。

「InfoCage SiteShell」はソフトウェア型でありクラウド環境でも容易に導入できるため、こういった需要にマッチしています。
また、IaaSにおいては責任分界点が明確で、自由度が高い反面、アプリケーションレイヤのリスク管理はユーザの責任になります。こうしたリスクは、サードパーティのWAFをユーザが導入することでコントロールするという考え方が一般的になりつつあります。

――「InfoCage SiteShell」が対応するクラウドサービスを教えて下さい

「InfoCage SiteShell」は企業向けクラウドサービス全般に対応したWAFで、AWS、Windows Azure、BIGLOBEクラウドホスティングなど、国内の大手IaaSへの対応に力を入れています。特にAWSに対しては、NECとしてパートナー契約を締結し、早期に対応製品を提供しました。AWSにおけるWAFのニーズは急速に高まっており、NECでのAWS環境の対応についての問い合わせや導入実績は着実に増えています。WAFのニーズを持つAWSユーザとしましては、民間業者によるECサイトが多いと認識しています。AWSへのシステム移行を決定し、そこへ「InfoCage SiteShell」を導入したいという相談を受けます。

――「InfoCage SiteShell」の特長や強みを教えてください

「InfoCage SiteShell」は、ソフトウェア型WAFならではの柔軟さ、クラウド環境への高い適合、従量制の課金体系の3つが大きな特長です。

まず、ソフトウェア型WAFという製品特性を生かし、スモールスタートが可能で、サーバ数の変化にも柔軟にも対応しています。また、Webサーバに直接インストールするホスト型だけでなく、専用サーバにインストールしWebサーバの前方で動作させるネットワーク型も用意していますので、最適な構成で導入が可能です。
また、WAFという製品の特性上、Webサイトへのリクエストの中身をチェックするのですが、SSL通信の場合は復号化された状態でチェックする必要があります。このため通信経路の途中でWAFが入ると復号化と再暗号化の処理が発生し、システムやネットワークの性能に大きな影響を及ぼします。この点、InfoCage SiteShell(ホスト型)の場合、Webサーバに直接インストールし、既に復号化されたデータをチェックすることになるため、性能劣化の心配はありません。このことが他社WAFに対する優位点として、多くの企業やエンジニアの方々から評価されています。

クラウド環境への高い適合ですが、たとえばAWSで提供されている統合監視ツール「Amazon CloudWatch」との連携が挙げられます。管理者は、Amazon CloudWatchでWAFの状況の表示設定が可能ですので、通常はAmazon CloudWatchで確認し、攻撃のアラートが上がったら「InfoCage SiteShell」専用の管理画面でアラートの詳細を確認するといった運用ができ、運用負荷の軽減に寄与します。

利用した分のみをお支払いいただく従量制課金も「InfoCage SiteShell」の大きな特長です。AWSをはじめとするクラウドサービスの特長の一つはオートスケール機能です。たとえば、キャンペーンなどでアクセスが急激に増加したときでも、サーバの増強を容易に、しかもリアルタイムで行えるので、サイトへのアクセスが不可能になるような状況を回避することができます。このオートスケール機能に合わせ「InfoCage SiteShell」では、1カ月間に利用したサーバ台数の平均を算出し、その台数に応じてライセンス料金を請求しています。また、「InfoCage SiteShell」はサーバに直接インストールするため、台数が増えると高くなるというイメージを持たれがちですが、ボリュームディスカウントも用意しています。

――導入実績や、お客様からの声があれば教えてください

主に、流通業、製造業、官公庁、金融業などです。企業からの声としては、Webアプリケーションへの攻撃を未然に防ぐことができたという声はもちろん、WAFを導入したことでアプリケーションの脆弱性を浮き彫りにできたという声もあがっています。WAFが、セキュアなアプリ開発に寄与した例です。

また、オンプレミス環境からクラウド環境への移行の際に「InfoCage SiteShell」をご導入いただいたお客様からは、導入や運用が簡単になった、とても使い易いと評価いただいております。オンプレミスでご利用されていたハードウェアWAFでは、導入時のネットワーク設計や運用時のホワイトリストの設定等が煩雑で、かなりのコストを費やされていたそうです。対して、「InfoCage SiteShell」ではソフトウェアのインストールによる導入、NECから提供されるブラックリストを適用と、導入から運用までが容易になります。これに加え、大規模システムに対するWAFの導入や運用に関して豊富な実績を持つNECがサポートいたしますので、安心してWAFを利用することができます。

――今後の展開について教えてください

今後はクラウド環境への対応にさらに力を入れていきます。オンプレミスで実績のある製品をクラウドに対応させながら、社外の製品との連携を含めたアプローチも推進します。

たとえばトレンドマイクロ株式会社の「Trend Micro Deep Security」と連携したプロモーションを開始しています。サーバの統合型セキュリティソフトである「Trend Micro Deep Security」を「InfoCage SiteShell」と併せて利用することで、包括的なセキュリティ対策を実現できます。どちらもホスト型(エージェント型)ですので、AWSと相性が良く、AWSのセキュリティ対策を検討されているお客様には是非とも両製品を利用していただきたいです。また、NECの高可用性ソフトウェア「CLUSTERPRO」などもAWSに対応させており、今後もオンプレミスで実績のある製品をクラウドに対応させることで、企業の環境変化に沿った提案をしたいですね。

――ありがとうございました

（吉澤亨史）