Q.
WAFとは何ですか。

A.
Webアプリケーションファイアウォールのことで、公開ウェブサーバーに対する外部からの不正アクセスを検出・防御します。IDS/IPSでは対応が難しいウェブアプリケーションに対する高度な攻撃を検出・防御することで、改ざんや情報流出などのセキュリティ事故を未然に防止する役割を果たします。同時に、攻撃状況を可視化する効果もあります。


Q.
WAFが保護する範囲(レイヤ)を教えてください。

A.
主にSQLインジェクションやクロスサイトスクリプティングに代表されるアプリケーションレイヤにおける攻撃を防御します。Apache StrutsやWordPressなどのフレームワークやソフトウェアの脆弱性保護にも効果があります。


Q.
定期的に脆弱性診断を実施しています。WAFを導入すれば脆弱性診断は不要ですか。

A.
WAFは、Webサーバーの脆弱性有無とは独立した形で攻撃を防御し、均一的にセキュリティレベルを向上させます。ですが、根本的な対策としてWebアプリケーション自体の脆弱性対策は重要なため、WAFを利用することで脆弱性診断が不要とは言えません。WAFの活用と脆弱性対策をバランスよく行うことを推奨しています。


Q.
WAFはどのようなサイトで利用されていますか。

A.
規模や業種を問わず、様々なウェブサイトで利用されています。ウェブアプリケーションを活用するサイトで特に効果的です。


Q.
SiteGuardシリーズの特長は何ですか。

A.
高い防御性能と使いやすさを両立し、国産ならではの高品質なサポートも特長としています。ソフトウェア製品のため、オンプレミス環境やクラウド環境などインフラを問わず導入可能で、処理性能は使用するハードウェア次第でコントロールできます。数万VM環境や100万サイトを超えるレンタルサーバーでの動作実績など、多くのお客様で活用されており、その安定性には定評があります。


Q.
自社開発製品ですか。

A.
Webアプリケーションファイアウォール「SiteGuardシリーズ」は、日本企業である当社JP-Secureが開発する純国産製品です。


Q.
SiteGuard Server Edition(ホスト型)とSiteGuard Proxy Edition(ゲートウェイ型)の違いは何ですか。

A.
製品形態(SiteGuard Server Editionはウェブサーバーのモジュール、SiteGuard Proxy Editionはリバースプロキシ)が一番の違いです。機能面にも若干の差はありますが、トラステッド・シグネチャ検査やカスタム・シグネチャ検査など主要な機能は共通しています。


Q.
クラウド環境でも導入することはできますか。

A.
ソフトウェア製品ということもあり、推奨動作環境を満たしていれば問題なくご利用可能です。AWS環境をはじめ様々なクラウドサービス上で多数の実績があります。ホスティング・クラウド事業者様における実績が豊富(サービスパートナー様一覧)な点はSiteGuardシリーズの特長です。


Q.
クラウド型WAFと比較した時のSiteGuardシリーズの利用メリットを教えてください。

A.
一般的にサービス仕様に制約のあるクラウド型WAFと異なり、お客様環境にあわせて自由にカスタマイズできるメリットがあります。例えば、チューニングを行う際、条件設定の柔軟性の違いがセキュリティレベルの差につながることがあります。ログを内部に保有するため、運用方針にあわせてログマネジメントできる点もメリットです。また、Webサイトのトラフィック量やFQDNの数によりますが、年額固定のライセンス体系によりコストメリットがでるケースがあります。
※クラウド型WAFについては一般論となり、厳密には事業者毎のサービス仕様に依存します。

 

SiteGuardシリーズに関するお問い合わせはこちら044-201-4036受付時間:平日9:30~17:30

お問い合わせフォーム ご質問や資料請求、評価版など