Enterprise Watch
最新ニュース

「Webアプリケーションファイアウォールでも統合の強みを最大限に生かす」-米F5 Networks


 F5ネットワークスジャパン株式会社とF5 Networks(以下、F5)では、アプリケーション配信を支援する製品の1つとして、Webアプリケーションファイアウォール(以下、WAF)アプライアンス「TrafficShield」を販売している。通常のファイアウォールでは保護できないWebアプリケーションの保護のための製品だが、この製品を導入することの意味はどこにあるのだろうか。今回は、WAF製品戦略について、来日したF5のプロダクトデベロップメント担当副社長、David Movshovitz氏に話を聞いた。


F5のプロダクトデベロップメント担当副社長、David Movshovitz氏
 Movshovitz氏はまず、「通常のファイアウォールではアプリケーションを保護できないし、特にSSL暗号化を受けている際には、まったく盲目的な状況だ。WAFではこうした状況を改善でき、顧客情報やサーバーの保護を行えるので、企業内にある顧客データが盗まれるリスクを大幅に軽減できるだろう」とその必要性を訴える。

 そして、「セキュリティの視点から考えると、アプリケーションがもっとも弱い」と指摘した。同氏はこの理由について、「開発者は、性能や使い勝手の良さなどのプレッシャーにさらされており、セキュリティをおろそかにしがち」と説明。また、「プログラマーが1人でも妥当な手順を踏まず、1つでもパラメータのチェックを怠れば、攻撃の対象になる。IT管理者も、パッチが提供されているとしても、多くの場合、さまざまな理由からそれをあてない」とも付け加えた。

 当然、攻撃者側もこうした点に着目しており、もっとも脆弱な点としてみなされている、アプリケーションの攻撃をよく行っている。その保護のために、WAFが必要となってくるのだが、プライバシー保護を要求する各種の規制も、WAFの普及を後押ししているという。


 では実際、TrafficShieldはどうやってWebアプリケーションを保護しているのだろう。Movshovitz氏は同製品で採用している手法を、「ネガティブセキュリティロジックとポジティブセキュリティロジックの2つのアプローチ」と説明する。前者は、いわばウイルス対策ソフトが通常採用している「パターンマッチング」の手法と同じもの。パターンに合致するものは確実に検出できる利点を持つが、シグネチャを利用するため、その更新を頻繁に行わなくてはならない点、アプリケーション固有の脆弱性は保護できない点などが欠点となる。

 そこでF5では、ポジティブセキュリティロジックを利用してこれを補完している。これは、開発者側が規定した正しい動きのみを許可し、それ以外のものをブロックする手法で、F5ではこれを実現するためにアプリケーションフローモデルというコンセプトを元にしている。これは、ユーザーがアプリケーション内でどういう動きを取るかをあらかじめ把握し、URLやパラメータ、値を見ていくことで適切な行動かどうかを把握するというもの。

 Movshovitz氏は「例えば、ある値がユーザーに対して示され、リクエストが戻ってきた場合に、それが変更・改ざんされていないかを検証する。値をチェックしないでパラメータの形式やCookieの形式のみをチェックして送った場合、なりすまされたものが戻ってくる可能性がある。この部分がチェックできるのは当社の優位性だ」と語った。

 さらに別の優位性としては、同社のロードバランサー「BIG-IP」でも利用されている基幹OS「TMOS」上への統合が完了している点もあるという。現在は、単体で動作する製品としてのTrafficShieldと、BIG-IP上に統合したモジュール「ASM」の両形態でWAFを提供しているが、このどちらもTMOSで動作している。ASMでは、BIG-IPの持つフェイルオーバーをはじめとするネットワーク機能の機能やSSL機能を利用することも可能。またTMOSの「クラス分け」機能を使うことによって、違ったセキュリティゾーンに対してアプリケーションを分解し、それぞれに対して異なるレベルのセキュリティをかけられるという。

 「管理を簡素化した形で実現するためには、アプリケーションの各構成部分によってセキュリティのニーズが変化することを考慮する必要がある。Webサイトの一般的な部分は簡素化する一方、トランザクション部分をきめ細かくする保護するハイブリッド型のアプローチが最適だろう」(Movshovitz氏)。


 またWAFの将来的な予測に関してMovshovitz氏は、「米調査会社では、今後数年の急成長を予測しているが、アナリストは、単独の製品よりもアプリケーション配信プラットフォームの一部として展開されるとも予測している」と説明。BIG-IPを核に、WAN最適化製品やSSL-VPNなどの製品をそろえている現状を踏まえ、「統合の核としてのTMOSがあるし、(TrafficShieldを提供していたMagniFireなどの)企業を買収した当時から、重要なマイルストーンとして統合を考えていた。WAFのプラットフォームへの統合は1年たって相当進んでおり、競合よりも1年先を行っていると思っているし、F5は競合よりも進んでいると、アナリストに評価されてもいる」とした。さらに、「単なるWAFを超えて、メールやWebサービス、VoIPもサポートできるように強化していく」と述べ、今後の展開にも自信を示している。

 「アナリストが、『ロードバランシングはすでにコモディティになってきた、差別化はいかにアプリケーション配信領域でセキュリティをカバーするかだ』といっているように、WAFは、この領域における1つの始まりといえるだろう。アプリケーション配信において、BIG-IPとともに進めていく」(Movshovitz氏)。



URL
  F5ネットワークスジャパン株式会社
  http://www.f5networks.co.jp/


( 石井 一志 )
2006/06/23 18:03

Enterprise Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.