オープンソース由来の国産WAFにかける意気込み：開発者の金床氏とSSTに聞く（2/2 ページ）

[國谷武史，ITmedia]

技術者目線のWebセキュリティ

　Webシステムを標的にする攻撃によって被害を受けた場合、企業内では複雑な対応を強いられる場合もある。例えばWebの脆弱性を突く不正アクセスは、不正アクセスという視点からネットワーク管理者が対応すべきか、それとも、脆弱性という視点からシステム管理者（もしくは開発者）が対応すべきかをいったシーンがある。WAFの運用管理でも同様のケースが発生することもある。

　Scutumは、こうした複雑な対応のほとんどをSSTと金床氏が担当することで、ユーザー企業の技術者や管理者が主業務に集中できるようにするのを支援するのが狙いだという。若林氏は、「セキュリティばかりに仕事のリソースを割かなければならないという担当者の負担をわれわれが受け持つことで、本業に集中していただきたい」と話す。

　サービスを利用するには、事前にサイトのトラフィック量などを調査するが、問題がなければDNSレコードをSSTのデータセンターに変更するだけで良い。データセンターのScutumのシステムがWebシステムに対する不正な通信を遮断する仕組みで、正常な通信だけをユーザー企業に転送する。不正通信のブラックリストのチューニングや問題対応はSSTが行う。

　なお、Webサイトを運営している場合にはサイト解析などを導入している場合も多い。Webサーバのアクセスログで解析している場合にはScutumを経由することでIPアドレスが変更してしまうため、同社が一定期間ごとに元のIPアドレス情報をユーザー企業に提供するが、JavaScriptを利用するベンダーサービスなどの場合には影響しない。

　Scutumの料金は、サイトのトラフィック量に応じた価格体系を導入しているが、現時点では少トラフィックのサイト優先しているという。「大規模サイトでは自社である程度対策を実施しているとこをろも多く、自社での対応が難しい企業へまず提供していきたい」（若林氏）

　9月中旬現在で40サイト以上をScutumが保護しており、内訳はショッピングサイトや金融サービス、企業サイトなど、規模や事業内容もさまざまだという。「サービスを始めてみて、Webの安全性を確保したいというニーズが強いことを実感している」（若林氏）

セキュリティ強化にはフレームワークが必要

　WAFの存在は、脆弱性を抱えているWebシステムを外側から囲う壁のようなもの。Webシステムのセキュリティ強化するためには、開発者が脆弱性を作らないための教育を受けることや、稼働前に脆弱性を検査するなどの対策も併用することが望ましいと指摘するセキュリティ専門家も多い。

　こうした意見に対して金床氏は、「Webのセキュリティを考慮した包括的なフレームワークのようなものを構築すべき」と話す。セキュリティを強化すればするほど、アプリケーションやシステム開発における自由度が失われてしまい、その結果、開発者の意欲を低下させてしまいかねないというのが、同氏の見解だ。

　「例えば、以前にはバッファオーバーフローなどの脆弱性が問題視されたが、今では実際の被害は少ない。その背景にはJavaやphp、Rubyといった開発言語が脆弱性を作りにくくする仕組みを考慮したからだと思う。C言語などに比べると幾分自由度が犠牲になった部分もあるが、開発者がそれを受容できる自由度が確保されている」（金床氏）

　特に開発レベルの脆弱性対策では、開発者の意欲とセキュリティのバランスを配慮した新たな枠組みの実現が求められるという。

　Scutumの今後について、金床氏は「Webに携わる企業担当者がセキュリティ対策で困ることのないよう支援を広げていきたい」と話している。

企業向け情報サイト「ITmedia エンタープライズ」へ

過去のセキュリティニュース一覧はこちら