ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

IT導入支援

ライムライト・ネットワークス・ジャパン株式会社提供コンテンツ

2016年09月14日

「クラウド型WAF」とは何か? Webサーバのセキュリティ対策に有効な理由

世界最大規模のプライベートCDNネットワークを擁し、ウェブサイトや動画をはじめとするコンテンツの高速配信サービスを提供するライムライト・ネットワークスは、ここ1、2年で矢継ぎ早にセキュリティソリューションを提供している。1つはDDoS攻撃対策の「DDoS Attack Interceptor」であり、もう1つが2016年9月にリリースされたばかりのクラウド型WAF「Limelight Web Application Firewall」だ。同社のVice PresidentであるMatt Soldo氏の来日を受けて、ライムライト・ネットワークス・ジャパンのカントリーマネージャーである田所 隆幸氏とともに、同社のセキュリティ戦略とLimelight Web Application Firewallの特徴について話を聞いた。


クラウド型WAFのニーズが高まっている

 現在、多くの企業がシステムのクラウド化をすすめている。それは、セキュリティでも例外ではない。これまでオンプレミスで稼働していたセキュリティシステムを、クラウドに移行する例が増えている。WAFもその1つだ。

 WAFは「Web Application Firewall」の略で、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するソリューションだ。現在のWebサイトは、ユーザーによって表示する情報を変えたり、バックエンドのデータベースと接続して検索ができたりと、内容を動的に変更できる場合がほとんどだ。攻撃者は、こうした動的な仕組みを悪用して攻撃を仕掛ける。それを保護するのがWAFである。

 従来、WAFというと、Webサーバの前に設置するアプライアンスのイメージが強かった。Webサイトが稼働しているWebサーバの前に設置して、外部の攻撃からWebサーバを守るわけである。ところが、最近、クラウド型のWAFが注目を集めている。Matt Soldo氏は、次のように説明する。

「近年、ハードウェアよりもクラウド型のWAFへのニーズが高まっています。理由はハードウェアを購入する必要がなく、導入も手軽で、導入後の運用も不要だからです。米国はもちろん、ヨーロッパでもクラウド型WAFへのニーズが非常に高まっています」(Soldo氏)

photo

Limelight Networks
Vice President, Global Solutions Engineering
Matt Soldo氏


動的コンテンツへの攻撃を防ぐ「Limelight Web Application Firewall」

 動画をはじめとするコンテンツ配信を高速化するCDNを提供するベンダーとして知られるライムライト・ネットワークスは、2016年9月、クラウド型WAF「Limelight Web Application Firewall」をリリースした。

 実は、それに先だって同社は、DDoS対策のソリューションである「DDoS Attack Interceptor」もリリースしている。CDNベンダーとして確固たる地位を築いた同社が、セキュリティソリューションに力を注いでいるのは理解できるが、なぜ、いまWAFなのか。

「実は以前から、我々のCDNサービスおよびDDoS Attack Interceptorを利用されているお客様から、WAFも提供してほしいという要望が増えていました。なぜなら、弊社のCDNを使っているお客様の場合、すべてのWebのトラフィックが弊社のCDNを経由するため、弊社側でWAFを提供すれば、お客様側でWAFを運用する必要がなくなるからです」(Soldo氏)

 ライムライト・ネットワークスは、2001年にCDNベンダーとして創業した企業だ。その特徴は、世界最大規模のプライベートネットワークを持っていることだ。「DDoS Attack Interceptor」は、このプライベートネットワークを、企業のWebサーバを守るバリアとして活用してDDoS攻撃を防ぐソリューションだが、これにWAFを組み合わせることで、Webサイトへのパフォーマンスにほとんど影響を与えることなく、攻撃を防御できるという。ライムライト・ネットワークス・ジャパン カントリーマネージャー 田所 隆幸氏は、次のように説明する。

「Webサイトは静的コンテンツと動的コンテンツで構成されています。静的コンテンツへの攻撃はプライベートネットワーク上に配置されたキャッシュサーバで吸収されます。したがって、Limelight Web Application Firewallでは、それ以外の動的コンテンツだけを処理すればよいのです」(田所氏)

photo

ライムライト・ネットワークス・ジャパン
カントリーマネージャー
田所 隆幸氏


 CDNのネットワークには「エッジ」と呼ばれるキャッシュサーバが存在する。ユーザーのリクエストに対しては、エッジがオリジナルのWebサーバに代わってデータを返す。文字や画像などの静的コンテンツはエッジにキャッシュできるため、DDoS攻撃が発生してもオリジナルのWebサーバは保護される。

 しかし、動的コンテンツはキャッシュできないため、ユーザーのリクエストはオリジナルのWebサーバに到達する。これはWebサーバへの攻撃でも同様だ、Limelight Web Application Firewallはその攻撃を防御する。

 DDoS Attack Interceptorは静的コンテンツ、Limelight Web Application Firewallは動的コンテンツと役割分担して防御することで、オリジナルWebサーバへのアクセスを抑え、パフォーマンスへの影響を最小化するのである。

独自フィルターの作成や攻撃状況のリアルタイムな把握も可能

 クラウド型のWAFは、すでにいくつかのベンダーがリリースしている。では、Limelight Web Application Firewallの特徴は何か。当然ながら、エンタープライズ向けのWAFに必要とされる機能は、すべて揃っている。

 Webアプリケーションのセキュリティについては、OWASP(注1)が公開している脆弱性のトップ10が知られている。これには「SQLインジェクション」や「クロスサイトスクリプティング」などが含まれるが、Limelight Web Application Firewallでは、これらすべてのフィルタリングに対応している。さらに、独自のフィルターを作ることも可能だ。

注1:OWASP:The Open Web Application Security Project。Webアプリケーションのセキュリティの課題を解決することを目的とした国際的なオープンなコミュニティ。

「標準的なフィルターで不十分な場合は、お客様自身でフィルターを作ることが可能です。また、必要であれば、弊社側でフィルターを作成して、ご提供することもできます。また、フィルタリングのルールをグルーピングし、ドメインごとにグルーピングしたルールを個別に適用することで、最適な防御を実現できます」(Soldo氏)

 また、ユーザーに提供されているポータルサイトで、攻撃の状況をリアルタイムに把握できるのも大きな特徴だ。

「ポータルのダッシュボードを見ると、現在、行われている攻撃の種類や規模を、グラフや画像を用いて視覚的に確認することができます。それを見てアラートを出すのか、ブロックするのか等を判断することができます」(Soldo氏)

photo
(クリックで拡大)

ダッシュボードでは、攻撃の内容などがグラフィカルに表示される


 なお、WAFの製品・サービスによっては、ドメインが1つ増えるごとに課金が発生する場合があるが、Limelight Web Application Firewallではドメインの数に制限はない。このため、多くのドメインを運用していても、直接コストに反映されない点も特徴的だ。またWAFを導入したことによるパフォーマンスの劣化については体感には至らない程度、最小限に抑えられている点もありがたい。加えて、WAFの管理・運用などをお任せできるフルマネージドサービスであるため、ユーザーは安心して本来のコア業務に集中できるだろう。

Limelight Web Application Firewallを支える世界最大規模のCDNネットワークのキャパシティ

 まだリリースされたばかりのLimelight Web Application Firewallだが、すでにグローバルで展開するECサイト、タイヤメーカー、ゲーム会社、化粧品会社などで先行導入されているという。現在、アプライアンスのWAFを導入している企業からのリプレイスに関する問い合わせも多いようだ。Limelight Web Application Firewallの強みについて、Soldo氏は次のように強調する。

「1つは、世界最大規模のCDNネットワークのキャパシティです。Webサーバへの攻撃にともなう巨大なトラフィックを受け止められるのは、弊社だけといっても過言ではありません。また、お客様専用のポータルで攻撃の状況をリアルタイムに把握できることと、お客様自身にフィルターをカスタマイズしていただけるのも強みです」(Soldo氏)

 また、田所氏は、同社がクラウド型のWAFを提供する意義と日本市場での展開を、次のように説明する。

「我々のミッションは、Webサイトを含めたお客様の大切なコンテンツを、グローバルに、より早く、よりセキュアにお届けすることです。Limelight Web Application Firewallは、"よりセキュアに"という我々のミッションが反映されたサービスです。日本市場においては、まずは弊社の既存のお客様にご提案しつつ、パートナー戦略も含めて、さまざまな可能性を柔軟に検討したいと考えています」(田所氏)

 日本では、クラウド型WAFの認知度はまだそれほど高くない。しかし、今後、そのメリットが知られるようになれば、一気に広がる可能性が高い。もしも、現在、アプライアンス型WAFのコストや運用に頭を悩ませているなら、ぜひLimelight Web Application Firewallに注目していただきたい。


photo

会社情報
ライムライト・ネットワークス・ジャパン株式会社
URL: https://jp.limelight.com/
TEL: 03-5771-4230
所在地:  東京都港区北青山2丁目7番28号 NAビルディング 2F
事業内容: インターネットによるデジタルコンテンツ配信のためのソリューションの提供、サービス導入に関連するコンサルティングサービス


  • 日本の良質なコンテンツが、なぜ世界配信できていない? カギを握るCDNの現状

    日本の良質なコンテンツが、なぜ世界配信できていない? カギを握るCDNの現状

    コンテンツデリバリネットワーク(CDN)ベンダーとして知られるライムライト・ネットワークスは、2016年にDDoS対策およびクラウド型WAFのセキュリティサービスをリリースし、着実にサービス範囲を広げてきている。新しい分野であるセキュリティサービスの手応え、そして既存のCDNサービスの現況はどうなのか。今年度より、東京に長期滞在することになったアジア地域を統括するソリューション・エンジニア・ディレクター Kyle Faber氏と、同じくアジア地域の営業部門を統括するグループVP Kwangsik Kim氏、そして、日本国内を統括するカントリーマネージャーの田所 隆幸氏に、同社の今後の展開、日本でのビジネスについて話を聞いた。

  • 日本のWebユーザーの「わがまま」はデバイスを問わない! 最新市場調査で判明

    日本のWebユーザーの「わがまま」はデバイスを問わない! 最新市場調査で判明

    CDN(Contents Delivery Network)サービスを提供するライムライト・ネットワークスでは、日本国内において約1000名を対象としたユーザー調査を実施、オンライン行動におけるコンシューマーの意識と行動特性を明らかにした。その結果、見えてきたのは、コンシューマーは非常に多くの時間をネット上で過ごしており、面白いコンテンツと共にストレスのないアクセス環境を求めているということだ。こうした現状を受けて、サービス提供側の企業には、どのような取り組みが求められるのか。ライムライト・ネットワークス・ジャパン 日本法人代表の田所 隆幸氏に話を聞いた。

  • 「4秒ルール」は時代遅れ 公式サイトが重いだけで顧客はあっという間に離れていく

    「4秒ルール」は時代遅れ 公式サイトが重いだけで顧客はあっという間に離れていく

    いまや、Webサイトを持っていない企業はほとんどないだろう。顧客が情報収集する際の手段としてインターネットが主流となっている昨今、Webサイトのパフォーマンスがビジネスに何らかの影響を及ぼすのは、どの企業も同じだ。では、サイトの遅延を防ぎ、パフォーマンスを高めるために、企業がとれる対策は何か。その代表がCDN(Content Delivery Network)だ。世界最大規模のプライベートネットワークを活かしたCDNサービスを提供するライムライト・ネットワークス・ジャパンに、CDNの仕組みやCDNサービス選択のポイントを聞いた。

  • 対策が困難なDDoS攻撃、どうすれば…? 意外なところから切り札が登場!

    対策が困難なDDoS攻撃、どうすれば…? 意外なところから切り札が登場!

    DDoS攻撃は、サイバー攻撃の主な手法として古くから知られている。2015年4月に改訂された金融庁の金融検査マニュアルでも、サイバー攻撃として「DDoS攻撃」が明記され、対策を打つ必要性を謳っている。DDoS攻撃が一般的かつ重大な攻撃であることが、政府機関においても認められた格好だ。ただし、DDoS攻撃を完全に防ぐ方法は、実はまだ確立されていない。それはなぜなのか。また、現時点で企業がとりうる最善の対策は何なのか。DDoS対策ソリューションに本格参入したライムライト・ネットワークスに話を聞いた。

Webセキュリティ ジャンルのセミナー

一覧へ

Webセキュリティ ジャンルのトピックス

一覧へ

Webセキュリティ ジャンルのIT導入支援情報

一覧へ

関連リンク

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング