アカマイが“クラウドベースのWAF”を実現、PCIDSS準拠ネットワークとして提供

ソリューションズ・エンジニアの国谷俊夫氏

　アカマイ株式会社は5月20日、クラウドベースのWebアプリケーションファイアウォールモジュール（以下、WAFモジュール）を発表した。アカマイのサーバーネットワーク「EdgePlatform」上に実装されるWAFで、攻撃トラフィックがデータセンターに届く前に防御できるのが特長。これを利用して、クラウド上で安全なクレジットカード決済用ネットワークを提供する「PCIDSS完全準拠サービス」も、同日からスタートする。

　WAFモジュールは、SQLインジェクションやクロスサイトスクリプティングなどのHTTP攻撃から、Webアプリケーションを防ぐためのセキュリティモジュール。世界中のアカマイネットワーク上に4万台分散されたサーバー群・EdgePlatform上に実装される。データセンター側に専用ハードウェアを設置しなくて済むほか、保守・運用もアカマイが行うため、ユーザーはWAFの運用コストを削減できる。米Akamai 日本担当副社長兼アカマイ 代表取締役社長の小俣氏は「業界初のクラウドベースのWAF」とアピールしている。

　ベースとなったのは、Breach Securityの「ModSecurityテクノロジ」。100個のアプリケーションセキュリティルールが利用可能で、HTTP/HTTPS双方をサポートするほか、IPホワイトリストやIPブラックリストによる防御機能も備える。5月20日からβ版を、2009年後半から正式版を出荷する予定。

　これに伴い、WAF機能を有したクレジットカード決済用ネットワークを、PCIDSS完全準拠サービスとして提供開始する。同ネットワークでは、WAFモジュールにより、PCIDSSの中で「公開されたWebアプリケーションのセキュリティ」を定める要件6.6に対応。さらにカード情報を伝送しない仕組みなどにより、ネットワークに関連するPCIDSSの要件をすべて満たしていたのが特長という。

　このネットワークを導入することで、PCIDSSすべての要件がクリアされるわけではないが、「データセンター側のPCIDSS対応と同社のネットワークを組み合わせることで、ネットワークを含んだシステム全体でPCIDSS対応が可能となるのがメリットだ」と、ソリューションズ・エンジニアの国谷俊夫氏は話す。WAFの機能をクラウドに持たせることで、HTTP攻撃件数に応じて、アプライアンスなどを増強する必要がなく、ネットワークの遅延問題などを効率的に解消できるとのこと。

　なお発表会では、一般社団法人日本オンラインゲーム協会（以下、JOGA） 事務局長の川口洋司氏が登壇し、エンドースメントを贈る一幕も。オンラインゲーム業界では、2007年にユーザーアカウント数が6000万を超え、決済などに関したトラブルが増加している。これに伴い、同会では、2008年よりカード情報保護に注力。VISAが開発したオンライン決済時の本人確認技術「3-Dセキュア」の導入を進め、2009年度には、業界内100％の採用を目指している。

　「これに加え、今後はさらに1段上の対策として、PCIDSS準拠の検討も始めた。その標準インフラとして、アカマイのサービスを業界に推奨していく」（川口氏）とのこと。

EdgePlatform上にWAFを実装	PCIDSS準拠のネットワークとして提供	【左】JOGA 事務局長の川口洋司氏【右】米Akamai 日本担当副社長兼アカマイ 代表取締役社長の小俣氏