県下、120校を超える高等学校のホームページを運営する 同自治体。システムの更新にあたり、 同自治体にとっては初めての試みとなるウェブアプリケーションファイアウォール(以下、WAF)を導入した。WAF製品の導入を検討したきっかけ、その中でSiteGuardを選んだ理由等について、 同自治体の導入担当者(以下、A氏)及び、構築・運用を担当した某インテグレータの担当者(以下、B社)に話を伺った。

ユーザーの利便性向上とセキュリティの確保

「以前より、SQLインジェクションといったウェブアプリケーション攻撃へのセキュリティ対策の必要性は感じていました。」と、 同自治体の導入を担当したA氏はWAF製品の検討経緯を振り返る。同自治体が運営するウェブシステムは、5年毎にシステムの更新が行われる。システムの更新にあたり、 ユーザーの利便性を高める為に新しいCMSシステムが導入されることになった。そこで、CMSの検討と並行して、2年ほど前からWAFの導入検討を開始したのである。

以前のシステムでは、ユーザーである各学校が使えるアプリケーションの種類に制限をかけていた。データベースやブログ等様々なアプリケーションを利用したいとの要望はあったが、セキュリティ面を考慮し対応を見送ってきた経緯がある。そこでシステムの更新に際し、 ユーザーの要望に応える為、 また運営を効率化する為、CMSの導入に至ったが、その結果、新たなセキュリティ対策が課題となったのである。

「”安全”と”安定稼働”が求められる。」と厳しい面持ちで語るA氏。以前は様々なシステムを 同自治体の環境内で自ら管理していたが、今回のシステム更新では技術的にもリソース的にもセキュリティを保ちながら維持管理するのが難しいと考え、データセンタを活用する方針となる。調達にあたり、構築だけ、運用だけ、といった形で様々な要件を複数のベンダにお願いするか、一社にお願いするかを模索したが、「最終的に一本化することで5年間安定したサービスの提供が見込める 。」とA氏は語る。

運用負荷を抑えたい

「検討開始当初は、”WAF”という言葉を知っている程度で、 どんな製品や機能があるのかも知りませんでした。」と語るA氏。その為、 ウェブや雑誌等での自らの情報収集に加え、いろいろなベンダとも相談をしたが、「WAFは高価で予算的に厳しい」という意見が大半を占めた。そのような折、今回システムインテグレートを担当したB社は、 同自治体に最も適切なシステムデザインを模索する中で、SiteGuardと出会うこととなる。

「WAFは、ホームページと一体、つまりウェブサイトの作りに合わせて設定する必要があり、その為1サイトに対して何百万という費用がかかると想定していました。」と、コスト面の問題を提起する一方で、120校を超える県立高校等のウェブサイトを一元管理する場合、個別のカスタマイズは不可能とも判断していた。「そこで、ウェブサイトを考慮したルール設定が必要な製品でなく、攻撃に特化した、シグネチャ型のWAFを探しました。その結果SiteGuardにたどり着いた訳です。」とB社担当者は語る。

B社がWAF製品の選定にあたり重視したポイントは、運用負荷を軽減し、システムがWAFにとらわれないよう、いろいろな意味で制限が少ないという点であった。「WAFによってウェブシステムが制限されたくなかったんですね。そういう意味でも、シグネチャ型である必要がありました。また、これも重要なポイントですが、構築が容易であること。もちろん価格もありました。(笑)」と、 SiteGuardを選定した理由を解説する。また、「製品選定の際には、アプライアンス型の製品も検討しましたし、コスト面からフリーツールを考えたこともありましたね。」とB社担当者は補足する。このような状況でSiteGuardを選定した 大きな要素としては下記の3点となる。

  1. シグネチャベースの為、個別カスタマイズが不可能という、システム要件をクリアしていたこと
  2. ウェブサイトに合わせてルールを設定する必要がなく、構築・運用が容易であること
  3. 他のWAF製品が比較的高価なのに対して、価格が安かったこと

WAFを導入したことを積極的にアピールしたい

WAF製品を初めて採用することとなった同自治体は、やはり導入時における懸念は拭えなかった。「WAFを使ったことがない為、導入効果が見えない点が一番不安でした。WAFって必要なのか、動くのか、本当に必要なのか・・・といった感じでした。(笑)」とA氏は苦笑する。

「攻撃を止められるのだろう」という想像の領域であり、かといってWAFで全ての攻撃を防げるとは考えていなかった為、「WAFで何が守れて、何が守れないのか」を整理する必要があったのだ。「できること、できないこと」を明確にし、できないことのリスクにどう対応するかを懸念されていたとのこと。「このような情報(※1)があれば、少し助かったのかもしれませんね。」ともA氏は補足した。
※1 「WAFでウェブアプリの脆弱性を守れるか」

「設定はし易かったですね。いまはウェブメール、eラーニング、CMS、 ウェブ系システム全部に対して使っています。ちゃんと動いてますよ。でも、初めて使う製品だったので、最初は正直ドキドキでした。(笑)」と導入作業を担当したB社は語る。また、既存システムに対する影響は大事なポイントであると提言し、「既存システムにWAFを追加する場合、今まで使えたものが使えなくなる可能性もあります。今回は新たに作ったシステムの為、ダメなところは直しながら構築できましたが、既存システムの場合は大変かもしれませんね。」と 導入側の観点からの貴重なアドバイスもいただいた。


最後に、初めての試みであるWAFの導入を終えた、A氏の率直な意見を伺った。

「ウィルス対策やファイアウォールがどこも当たり前になってきて、 今はSQLインジェクション等でホームページが狙われています。アプリケーションを直すか、WAFを入れるか、もしくはサイトをやめるか・・・やめることはできませんからね。(笑)WAFのニーズはあると思いますよ。

5年前は、今ほど技術的にも社会的にもセキュリティが要求されていなかったような気がしています。今回、B社さんに全面的に設計をお願いしましたが、もし自分達だけで取り組んでいた場合、スムーズに事が運んだかは疑問ですね。自分達は技術面では専門家ではありませんからね。初めは、高価なWAFの導入は無理と考えていました。しかし、現在はWAFを導入できて安心しています。 私どもはWAFを導入したことを積極的にアピールしています。新しいCMSもいろいろな学校が使ってくれていますしね。逆に言うと、安全性を確保できたからCMSの機能を提供できたのかもしれません。WAFでセキュリティ対策をし、いろいろな機能を使いたいという各学校の要望に応えることもでき、いまは理想的なウェブシステムになったと考えています。」

導入事例Topへ

SiteGuardシリーズに関するお問い合わせはこちら044-201-4036受付時間:平日9:30~17:30

お問い合わせフォームご質問や資料請求、評価版など