オープンソース由来の国産WAFにかける意気込み開発者の金床氏とSSTに聞く(1/2 ページ)

Webアプリケーションファイアウォールの機能をサービスとして提供する国内初の取り組みをセキュアスカイ・テクノロジー(SST)が始めた。オープンソース由来の同サービスの開発を手がける金床氏とSSTの若林氏に、その狙いと目標を聞いた。

» 2009年09月19日 08時00分 公開
[國谷武史,ITmedia]

 WebサイトやWebアプリケーションを標的にするサイバー攻撃が激増する中、これらの攻撃に対処する手段としてWebアプリケーションファイアウォール(WAF)が注目されている。WAFはクロスサイトスクリプティングやSQLインジェクションなどWeb特有の脆弱性に特化してシステムを保護できるものの、導入や運用にはある程度の手間やコストも伴うことから、使いこなすようになるまでには時間やリソースを費やす側面もある。

 Webセキュリティ企業のセキュアスカイ・テクノロジー(SST)は、オープンソースのWAF「Guardian」をベースにWAFの機能をオンラインで安価に提供する国内初(同社調べ)のサービス「Scutum」を6月に始めた。Scutumの開発を手がける「金床」こと、SST技術顧問の佐藤匡氏(以下、金床氏)、副社長の若林進二郎氏に同サービスの狙いと特徴を聞いた。

Scutumの開発と運用を担当する金床氏(右)とSSTの若林氏

経営者が謝罪しなく済むように

 WAFにはソフトウェアベースやアプライアンスベースなどの形態があるが、パッケージ製品としての価格は一般的に数百万〜1000万円以上になる。また、Webの脆弱性を突く攻撃を的確に防ぐためにはホワイトリストやブラックリストなどの調整が必要になるが、人的リソースに限りのある企業では思うように作業できないことも多い。

 Scutumの目的について、若林氏は「限られたリソースの企業にとって、メインのビジネスに使うシステムを運用しながらWAFも同時に使いこなすというのは非常に難しい。WAFという言葉を知らない企業でも安心して利用できる仕組みを実現したかった」と説明する。

 また金床氏は、「データベースへのハッキングなどで情報が漏えいしてしまえば、会社のトップが謝罪し、会社の信用も失墜してしまう。WAFというワンクッションの機能を用意するだけで、会社がこうしたリスクを回避できるようにしたいと考え続けていた」と話している。

 Scutumの前進となるGuardianは、金床氏が1998年からセキュリティやネットワーク関連の話題を提供している開発者向けサイト「@JUMPERZ.NET」で、オープンソースのWAFソフトウェアとして公開したもの。開発は2002年ごろにスタートした。

 金床氏は現在も取締役を務めるビットフォレストでシステム全般を担当していた。「ApacheやOpenSSLといったWeb関連システムの脆弱性が相次いで見つかった2000年代初頭は、パッチ適用のために検証や設定変更などに日々追われ、寝る間もないほど大変だった。対応していく中で攻撃の特徴をある程度は見分けられるようになり、攻撃を事前に自動検出できる仕組みを自社用に開発した。その仕組みを一般にも役立ててもらうためにGuardianとして公開した」と、金床氏は経緯を話す。

 Guardianを公開した後も、SQLインジェクションの脆弱性などの新たな攻撃手法が広まるごとに、攻撃を検出できるよう開発を継続した。Scutumとして商用化した今では主要なもので15種類以上の攻撃パターンを検知し、ブロックできるようにしている。

 「Webサーバなどの運用を毎日担当している人には常識だが、修正パッチが公開されたからといって簡単に適用できるものではなく、設定変更やそれに伴うサービスへの影響を検証するだけでも大変な手間になる。出来ればWAFのような仕組みを追加するだけで、こうした負担を幾らかでも軽減したいと思う」(金床氏)

 金床氏は、Webシステムを運用するより広範の企業に自身が手掛けてきたWAFを提供するという狙いから、SSTと共同でGuardianの商用化を決めたという。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ