ジェイピー・セキュア 「SiteGuard」 導入実績100万サイト以上の国産WAF 顧客の環境を守るセーフティネットに

ホスティングなどを展開するサービス事業者にとって、アプリケーションの脆弱性対応は頭の痛い問題だ。勝手に修正するわけにはいかないが、かといって放置するにはリスクがありすぎる。そんなときに活用できるのが、業界最速レベルで防御機能を提供するジェイピー・セキュアのWAF製品「SiteGuard」だ。
齊藤和男氏

ジェイピー・セキュア
取締役CTO
齊藤和男氏

 Webアプリケーションの脆弱性を突いた攻撃は、収まる気配を見せない。独自のWebアプリケーションに存在するSQLインジェクションやクロスサイトスクリプティング(XSS)の脆弱性を突いての改ざん、情報漏洩に加え、最近ではWebサービスを構成するミドルウェアやCMSでも相次いで深刻な脆弱性が発覚した。

 根本的な対策は、アプリケーションの改修、もしくは脆弱性を修正した最新のバージョンへのアップデートだ。しかし、昨年から今年にかけて明らかになったオープンソースのCMS「WordPress」や、Webアプリケーションフレームワーク「Apache Struts2」の脆弱性への対応を見ると、すでに稼働中のサービスでは速やかな対応が非常に難しいこともわかる。アップデートしたら一部の機能が使えなくなったり、プラグインの動作がおかしくなっては一大事だからだ。環境を用意しての動作確認は必須だし、それには工数もコストもかかる。

 一方、攻撃側にとってそんな事情はおかまいなしだ。脆弱性情報が公開されるとすぐに、それを悪用した攻撃コードがやってくる。Apache Struts2の脆弱性に関しては、情報が公になるかならないうちから攻撃コードが流通し始めたほどだ。残念ながら、次のメンテナンス時にアップデートを計画しながら、被害を受けてしまったサイトもあるという。

 クラウドやホスティングサービスを展開している企業では、問題はさらに深刻だろう。ユーザーがルート権限を持つサービスの場合、インフラやサーバーは事業者側で提供していても、その上で動作するOSやミドルウェア、アプリケーションのセキュリティ管理はユーザー自身で対応する必要がある。「早急なアップデートが望ましい」と呼び掛けても、最終的な判断・対処は顧客企業に委ねられる。たとえ古いバージョンのまま放置されたシステムがあっても、事業者側が勝手に手を加えるわけにはいかない。そこで注目されているのが、Webアプリケーションファイアウォール(WAF)の導入による攻撃検知・被害緩和だ。

多様なプラットフォームを サポートきめ細かな設定にも対応


 WAFとは、Webアプリケーションの脆弱性を悪用する攻撃を防ぐことに特化したセキュリティソリューションだ。ファイアウォールやIDS/IPSではカバーしきれない脆弱性を狙った不正アクセスを検知し、防御する。

 WAFそのものは、SQLインジェクションの脆弱性を突いたWeb改ざんが多発し始めた2005年頃から登場した、息の長いソリューションだ。しかし残念ながら、うまく使いこなせているケースはあまり多くなかったのではないだろうか。というのも、当初市場で主流だったホワイトリストに基づいて攻撃を検出する製品では、適切に運用するためのチューニングに手間がかかり、敬遠される理由の1つとなっていた。

 これに対しジェイピー・セキュアの「SiteGuard」は、ブラックリスト方式、つまりシグネチャに基づいて不正アクセスを検出する仕組みを採用したWAF製品だ。ApacheにはじまりNginx、IISと主要なWebサーバーに対応するほか、OSとしてもRed Hat Enterprise Linux、CentOS、Ubuntu、FreeBSD、Windows Serverと、幅広いプラットフォームをサポートしている。

 アプライアンスではなくソフトウェアで提供されるため、ホスティングサービスやクラウド環境での導入も容易に行える。事実、エンタープライズだけでなく様々なサービス事業者でも採用され、標準的なメニューの1つとしてSiteGuardによるセキュリティサービスが組み入れられている。

 SiteGuardには、リバースプロキシとして動作するゲートウェイ型の「SiteGuard」と、Webサーバーのモジュールとして動作するホスト型の「SiteGuard Lite」がある。特にApacheとSiteGuard Liteは親和性が高く、「特定のユーザーのみにこの設定を適用したい」「指定の顧客のログをここに出力したい」といったきめ細かな運用が可能だ。JP-Secureではこれまでの運用ノウハウをまとめたガイドラインも用意しており、サービス事業者に好評だという。

図表1 Apache Struts2の脆弱性を悪用する攻撃への対応スピード(抜粋)

図表1 Apache Struts2の脆弱性を悪用する攻撃への対応スピード(抜粋)

※主な注意喚起とは対象の脆弱性に関してJPCERT/CCや情報処理推進機構(IPA)等の外部機関が公表する注意喚起情報を指しています。
※SiteGuardシリーズの対応には新規シグネチャのリリースまたは既存シグネチャでの対応に関する情報提供を含みます。

柔軟な料金体系でエンドの負担軽減 大規模環境の安定運用にも定評


 WAFに限らずセキュリティ市場では海外ベンダーの製品が存在感を示しているが、SiteGuardはJP-Secureが一から開発した国産WAF製品だ。しかも、「構築・導入から運用スタートまで、変更のリクエストも含めすべて支援する」というポリシーで、顧客からの多様な要望に柔軟に対応し、手厚いサポート体制があることが最大の特長だ。

 「ホスティング事業を展開しているお客様の要望に応じて、『ユーザー個別の設定を適用したい』『複数の設定ファイルを使い分けたい』といった細かな要望についても検討し、ニーズがあるものはどんどん取り入れている。できる限りお客様の視点を持ってサポートに取り組んでいる点が評価されています」(ジェイピー・セキュア 取締役CTO 齊藤和男氏)

 もう1つユニークなのはコスト面での柔軟性だ。セキュリティ対策は重要だが、そのために月額数千円のサービスに月額数万円ものコストを上乗せするようでは意味がない。そこでJP-Secureでは、「VM単位で一律課金」ではなく、事業者とともにビジネスモデルを検討し、エンドユーザーに大きな負担がかからない形で、安心して利用できるサービス作りに取り組んでいる。

 数万VMといった大規模環境での安定運用にも定評があることから、さくらインターネットやGMOペパボ、GMOクラウドなど多くのサービス事業者が採用し、「安心して利用できるサービス」として差別化することに成功している。

 「ソフトウェア型のソリューションは運用が面倒というイメージがあるが、構築から運用までを支援しつつ、他者とは比べ物にならないコストで、JP-Secure Labsの蓄積・知見に基づいた安全な環境を提供しています」と齊藤氏は話す。

図表2 国産ソフトウェアWAF「SiteGuard」の概要

図表2 国産ソフトウェアWAF「SiteGuard」の概要
画像をクリックして拡大

ラボにおける研究成果を公開 セキュリティ業界の底上げも支援


 JP-Secureでは、セキュリティ業界全体の底上げにも取り組んできた。一例が、無償で利用可能なWordPress専用のセキュリティプラグイン「SiteGuard WP Plugin」で、ダウンロード件数は約45万に上り、アクティブユーザーも10万を超えるという。

 同社はこうした取り組みをさらに強化すべく、2018年2月、Webサイトのセキュリティに関する調査・研究に取り組む「JP-Secure Labs」を設置。第一弾の成果として「ウェブサイトを取り巻く脅威と対策」と題するレポートを公開した。パートナー企業であるGMOぺパボ、GMOクラウドの協力を得て、ホスティングサービスの環境において、どのような攻撃が検出されているか、どの国のIPアドレスから攻撃が多いかといった傾向をまとめたもので、対策にまで踏み込んで解説している。今後はさらに定点観測の情報などを反映し、有用な情報を提供していく方針だ。

 深刻な脆弱性があることはわかっていても今すぐには身動きできない──。そんな企業やサービス事業者にとって、SiteGuardは心強いセーフティネットではないだろうか。

page top
お問い合わせ先
株式会社 ジェイピー・セキュア
TEL:044-201-4036
URL:https://www.jp-secure.com/