「正直に言ってWAF(Web Application Firewall)のマーケットは現状まだ小さい。今後大きく伸びる可能性は高いと思っている」
このように展望を語るのは、独立系ITコンサルティング調査会社アイ・ティー・アール(ITR)でシニア・アナリストを務める藤俊満氏だ。
WAFはWebサイトを守るためのセキュリティ対策製品。サーバーに届く前の通信をアプリケーションレイヤーまで解析して攻撃を事前にブロックする。導入企業が増えており、ITRの調査では国内WAF運用監視サービス市場の2018年度の売上金額は93億6000万円となっている(図表1)。前年度比18.2%増の高成長だ。「以前は、一部上場企業内でも限られた企業だけが導入していたが、近年は中堅・中小規模の企業にもマーケットが広がっている」と藤氏はその要因を語る。
図表1 国内WAF運用監視サービス市場予測
上場時にWAFの有無を確認WAF市場が拡大している背景にはユーザー企業を取り巻くさまざまな変化がある。まずは守るべき対象の増加だ。企業が運営するWebサイトの数は増え続けている。また、自社のIT基盤をパブリッククラウドに移行する企業も増えており、これらも攻撃者の標的になった。
Webサイトやクラウドを狙う通信としては、不正に侵入するための脆弱性などを探すスキャン系、その脆弱性を悪用してクレジットカード情報などの入力時に攻撃者の用意した偽サイトに誘導するフィッシング系、大量のトラフィックを送り付けてサーバーや回線のリソースをパンクさせるDDoS攻撃などが有名だ。近年、これらの攻撃はボットなどのツールで自動化されている(図表2)。そのため「インターネットでアクセスできるサイトは無差別に狙われている」(藤氏)ようになっている。
図表2 ボット(ツール)で自動化される近年の脅威
企業の意識も高まっている。2015年、経済産業省が発行した「サイバーセキュリティ経営ガイドライン」がきっかけの1つだ。2017年にはガイドラインのVer2.0が出た。
ガイドラインではセキュリティ対策は経営者のリーダーシップが重要であると明言され、経営課題であるという認識が世に広がった。「系列企業や、下請けを含めたサプライチェーン全体を主管になっている企業が守れというメッセージが込められている」とサイバーセキュリティクラウド(CSC)代表取締役社長の大野暉氏は解説する。
実際、取引先の中小企業のセキュリティ体制を確認する大企業は増えている。また、「会社が新規上場する前の審査過程では、セキュリティ対策の一環でWAFについて言及する企業も出てきた」とも大野氏は言う。様々なタイミングでWAFを意識する環境になっている。