「WAFは中堅・中小企業にこそ使ってほしい」と、BarracudaのCEOMaker's Voice

米国での調査によると、サイバー攻撃を受けた企業の66%が100人以下の企業だった。Webシステムへの侵入を狙う攻撃が多く、米セキュリティ企業のBarracuda NetworksではWebアプリケーションファイアウォールの利用を勧めている。

» 2011年11月02日 08時00分 公開
[國谷武史,ITmedia]
Barrcuda Networks ディーン・ドラコCEO

 米セキュリティ企業のBarracuda NetworksでCEOを務めるディーン・ドラコ氏は、「金融業界以外の中堅・中小企業のWebシステムを狙うサイバー攻撃が増えている」と警鐘を鳴らす。米国での調査や同社のセキュリティ研究部門の分析から、この傾向が分かったという。

 米Verizon Businessなどのセキュリティ調査チームが2011年に公表した企業のデータ侵害レポートによると、サイバー攻撃を受けた企業の規模は従業員数100人以下の企業が全体の66%を占めた。業種別では非金融系が78%だった。これについてドラコ氏は、「攻撃者は発見されるリスクや攻撃の手間がかからない小売店などのWebサイトに侵入して、業務データを盗み出したり、システムを乗っ取ったりしている」と指摘する。このため同社は、中堅・中小企業にWebアプリケーションファイアウォール(WAF)の導入提案に注力しているとのことだ。

 WAFとは、Webシステムを狙う攻撃に特化した対策システム。クロスサイトスクリプティングやSQLインジェクションといったWebシステムの脆弱性を突く攻撃を遮断する。Webシステムの脆弱性対策は、コストや手間、時間がかかるために敬遠されることが多く、まずはWAFで攻撃を防ぐことを勧めているITセキュリティ専門家も多い。

 しかしWAFの運用は、チューニングや攻撃パターンへの追従などにおいて高度な知識や経験が必要になり、Webシステムの仕組みやセキュリティに詳しい人材が不可欠とされてきた。このためWAFの運用を代行したり、機能をオンラインで提供したりするサービスが徐々に増えている。

 BarracudaのWAFは、基本的にユーザー自身が運用する製品とのこと。だが攻撃パターンへの追従は、同社のセキュリティ研究部門が頻繁に提供する最新情報が自動的に適用される仕組みであるため、運用の手間がかからないとドラコ氏は強調する。このほかにも、攻撃者からWebサーバの存在を知られないようにするリバースプロキシ機能や多要素認証機能などを備える。

 また外部機関に委託してユーザー調査も実施し、ユーザーの25%が1日以内に、64%が1週間以内に導入を完了できたと答えたという。93%の企業はWAFの対策効果を実感しているとも答えていた。

 同社のWAFは、自前でセキュリティ対策をするユーザー企業にとっては満足度の高い製品であるようだ。ただ、国内では同社が利用を呼び掛ける中小企業の多くが、ASPサービスやホスティングサービスを利用し、Webシステムの運用を外部委託している。WAFを使うにはサービス事業者の対応が必要になってくる。

 ドラコによれば、サービス事業者との提携も進めており、既に米国の大手サービス事業者のRackspaceがBarracudaのWAFの機能をユーザーに提供しているという。国内でも今後サービス事業者との提携を広げていきたいとの方針だ。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ