Q.
WAFは何をするものですか。

A.
公開ウェブサーバーに対する外部からの不正アクセスを防御します。ファイアウォールやIDS/IPSでは対応が難しいウェブアプリケーションに対する高度な攻撃を検出・防御することで、改ざんや情報流出などのセキュリティ事故を未然に防止する役割を果たします。同時に、攻撃状況を可視化する効果もあります。


Q.
WAFが保護する範囲(レイヤ)を教えてください。

A.
主にSQLインジェクションやクロスサイトスクリプティングに代表されるアプリケーションレイヤにおける攻撃を防御します。一部Apache Strutsなどミドルウェアの脆弱性保護にも効果があります。


Q.
定期的に脆弱性診断を実施しています。WAFを導入すれば脆弱性診断は不要ですか。

A.
WAFは、Webサーバーの脆弱性有無とは独立した形で攻撃を防御し、均一的にセキュリティレベルを向上させます。ですが、根本的な対策としてWebアプリケーション自体の脆弱性対策は重要のため、WAFを利用することで脆弱性診断が不要とは言えません。WAFの活用と脆弱性対策をバランスよく行うことを推奨しています。


Q.
ウェブサイトにはどのような脅威がありますか。

A.
不正アクセス手法は多様化しており一概には言えませんが、代表的な被害に改ざんと情報漏えいがあります。これらは、情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2017(組織)」において3位と6位に挙げられています。改ざんは公表される被害事例も多く、サイトの表示内容が目に見える改ざんだけでなく、密かにマルウェアサイトへ誘導される改ざんなど、手法が巧妙化しています。情報漏えいは、個人情報などの機密情報を保有するシステムで、SQLインジェクション等の攻撃によりデータベースへ不正にアクセスされ、情報が搾取されるケースが多々あります。

【外部サイト】IPA「情報セキュリティ10大脅威 2017」


Q.
WAFはどのようなサイトで利用されていますか。

A.
規模や業種を問わず、様々なウェブサイトで利用されています。ウェブアプリケーションを活用するサイトで特に効果的ですが、コンテンツが静的なページ(HTML等)のみのサイトでも導入されています。


Q.
SiteGuardシリーズの特長は何ですか。

A.
高い防御性能と使いやすさを両立し、国産ならではの高品質なサポートも特長としています。ソフトウェア製品のため、オンプレミス環境やクラウド環境などインフラを問わず導入可能で、処理性能は使用するハードウェア次第でコントロールできます。100万サイトを超える多くのお客様で活用されており、その安定性には定評があります。


Q.
自社開発製品ですか。

A.
Webアプリケーションファイアウォール「SiteGuardシリーズ」は日本企業であるJP-Secureが開発する純国産製品です。


Q.
SiteGuard Lite(ホスト型)とSiteGuard(ゲートウェイ型)の違いは何ですか。

A.
製品形態(SiteGuard Liteはウェブサーバーのモジュール or SiteGuardはプロキシ)が一番の違いです。機能面にも若干の差はありますが、トラステッド・シグネチャ検査やカスタム・シグネチャ検査など主要な機能は共通しています。


Q.
クラウド環境でも導入することはできますか。

A.
ソフトウェア製品ということもあり、推奨動作環境を満たしていれば問題なくご利用可能です。AWS環境をはじめ様々なクラウドサービス上で多数の実績があります。ホスティング・クラウド事業者様における実績が豊富(サービスパートナー様一覧)な点はSiteGuardシリーズの特長です。


Q.
クラウド型WAFと比較した時のSiteGuardシリーズの利用メリットを教えてください。

A.
一般的にサービス仕様に制約のあるクラウド型WAFと異なり、お客様環境にあわせて自由にカスタマイズできるメリットがあります。例えば、誤検出対応などでチューニングを行う際、条件設定の柔軟性の違いがセキュリティレベルの差につながることがあります。すべてのログを内部に保有するため、運用方針にあわせて自由にログマネジメントできる点もメリットです。同様に、万が一の障害対応も内部でコントロールすることができます。また、Webサイトのトラフィック量やFQDNの数によりますが、年額固定のライセンス体系によりコストメリットがでるケースがあります。
※クラウド型WAFについては一般論となり、厳密には事業者毎のサービス仕様に依存します。


SiteGuardシリーズに関するお問い合わせはこちら044-201-4036受付時間:平日9:30~17:30

お問い合わせフォームご質問や資料請求、評価版など