クラウドWAFで「守れること」「守れないこと」と選び方のコツ：IT導入完全ガイド（3/4 ページ）

導入が容易で、万一の場合も対処するまでの猶予時間の確保が期待できるクラウドWAFだが、万能薬ではない。「守れないこと」を理解して製品選定を行おう。

[宮田健，キーマンズネット]

手間と技術をサービスとして享受する

　利用者にとっては運用の手間が少なくなる仕組みだが、実際にはその「運用」はクラウドWAFサービス事業者側が擁するセキュリティ専門のエンジニアらが一括して肩代わりしている。多くのクラウドWAFサービス事業者は国内に監視・研究センターを持っており、セキュリティ専門のエンジニアが日々、インターネット上の脅威を監視し、脆弱性の情報をつかんだ場合には攻撃の兆候が出る前に「パターンをアップデートする」という重要な作業をしている。

　例えば、セキュアスカイ・テクノロジーやNECの場合は、日本国内に監視センターを持ち、多くのアナリストを在席させている。セキュアスカイ・テクノロジーでは昨今話題になったApache Struts2の脆弱性やSSLの脆弱性（Poodle）、bashの脆弱性（shellshock）といったものに対しては、情報処理推進機構（IPA）による注意喚起が出た当日、またはその前にパターンを提供している。

表1　セキュアスカイ・テクノロジーの「Scutum」での対応事例（出典：セキュアスカイ・テクノロジー）

　また、NECの場合はクラウドWAFだけでなく、他のセキュリティデバイスに対して独自のデータベース情報を活用したセキュリティ運用サービスを提供している。例えば、NEC自身の社内ネットワークで分析・収集した情報もクラウドWAFサービスのパターンに反映しているという。

図2　NECの「ActSecureトータルセキュリティサービス」の例　独自の情報を含むセキュリティインテリジェンスを防御に活用している（出典：NEC）

　このように、クラウドWAFはサービスの機能もさることながら、どのくらいの「セキュリティインテリジェンス」があるのかという点も選択の重要な指標となる。最近ではセキュリティベンダーも技術ブログなどの形で技術情報を広く公開していることが少なくない。こうした情報源からサービス事業者らの技術力を推し量ることもできるだろう。