株式会社 ディレクターズ~Barracuda WAF導入事例
ディレクターズ 代表取締役 加藤慶 氏、アシスタントエンジニア 末留雄介 氏にBarracuda Web Application Firewall(以下Barracuda WAF)を導入した経緯とその効果について詳しく聞きました(写真左は、販売代理店 デジタルテクノロジー 吉浦弘高 氏)。
お客様情報:
社名:株式会社 ディレクターズ
設立:2007年6月
資本金:3,000万円
事業内容
●ホスティング事業
●SSL取得代行業
ディレクターズについて
ディレクターズは、2007年設立のホスティングサービス企業です。社員数22名。オフィスには会員制フリースペース『Re::Boot』も併設されています。
ホームページ改ざんへのトータルな対策として、コストパフォーマンスに優れたBarracuda WAFを導入
ホームページ改ざんへの緊急対策としてBarracuda WAFを活用
株式会社ディレクターズアシスタントエンジニア末留 雄介 様
Q: ディレクターズではBarracuda WAFをどのように活用されていますか。
数ヶ月前に新規のお客様(以下 A社)から「ホームページ改ざんが発生したので、セキュリティ対応の支援を求めたい」と依頼があり、その対策に際しBarracuda WAFを主力アプリケーションとして活用しました。
A社からの問い合わせ内容は「自社管理していたコーポレートサイトがハッキングされ、異様なWebページに書き換えられた。ホスティング企業に問いあわせたが問題は解決しない。知人の紹介を通じてディレクターズなら解決能力があると知り、相談することに決めた」というものでした。まずA社のサーバを実地調査したところ、管理者ログインに厳重な制限をかけるなどセキュリティ対策は一定水準施されていました。しかし、アプリケーションのソースコードを見たところ、構造上セキュリティ面で脆弱性が散見されたため、弊社としてはアプリケーションの脆弱性をつかれたのだと判断しました。
WAFが有効だと判断した理由
Q: 具体的にプログラムのどんな脆弱性が狙われたとお考えですか。
実際にどんな脆弱性が悪用されたのかは、Webサーバのログを調査すればある程度の判定が可能です。しかし、この件ではWebサーバに一か月分のログしか残されておらず、最初にどのアプリケーションが攻撃されたのか、特定するための情報が不足していました。ただ、特定には至らないまでも「プログラムレベル、アプリケーションレベルでの脆弱性が悪用された」ことはほぼ確実でした。ということは改ざん再発を防ぐ対策として、Webアプリケーションファイアウォール(以下 WAF)を導入し、システムを使って主要な脆弱性すべてを塞ぐのが有効といえます。お客様にその旨を提案して了承を得たのち、WAFの本格的な比較検討に入りました。
参考情報:WAFのしくみ
WAF選定の基準
Q: 数あるWAF製品の中から、Barracuda WAFに決定した理由、経緯をお聞かせください。
WAFを導入するにあたっては「価格と機能のバランス」「導入の迅速性」「設定の容易性と柔軟性」を要件としました。
まず「価格と機能のバランス」についてですが、一般に高価な製品が多い印象のあるWAFの中で、A社が導入しやすいよう、コストパフォーマンスの高い製品を検討する必要がありました。次に「導入の迅速性」についてですが、Webサーバへの再攻撃、再改ざんを防ぐためにも、新たに導入するWAFは「発注後、直ちに納入、稼働が可能なもの」が望ましいと考えました。そして「設定の容易性と柔軟性」については、今回はアタックされた脆弱性が特定できていないという前提を考慮し、WAF導入の方針として「まず複数の脆弱性をすみやかに塞ぐことが可能なブラックリスト型のWAFを導入し、その上で通すべき通信をチューニングする」という方法が適切であるという結論に至り、それが容易に行える製品を求めました。また、今後のお客様ニーズに柔軟に対応できる様、詳細の設定変更が自由に行える必要があると判断しました。
これら要件を、弊社のハードウェア、ソフトウェアの主要調達先であるデジタルテクノロジーに伝え、候補製品の提示を受けた上で相互比較しました。当初は「導入の迅速性」「設定の容易性」の観点ではクラウド型WAF、「設定の柔軟性」の観点ではアプライアンス型の製品が勝っていると思っていましたが、Barracuda WAFは「仮想アプライアンスとして導入可能であること」が大きなメリットでした。これなら実機の到着を待つことなく、発注後ただちに導入可能です。「価格と機能のバランス」についても十分満足のいくものだったため、今回はBarracuda WAFが要件に最も合致していると判断し、導入を決めました。
サービス提供者の視点から見たBarracuda WAF
Q: ホスティングなど各種サービス提供者の視点から見たBarracuda WAFへの評価をお聞かせください。
弊社では近い将来、自社独自のセキュリティサービスメニューをつくり、ホスティングの自社顧客向けにBarracuda WAFを含めたメニューを設けることを検討しています。サービス提供者の視点から見た場合、「仮想アプライアンス」という仕様は、高速導入が可能であり、かつ「資産保有の負担(いわゆるTCO)」がありません。また各種設定がマニュアルを見なくても直感的に操作、設定が可能であり、誤設定が生じにくいインターフェースになっているのも、サービス品質を確保する上で良い仕様です。相談した際、迅速に検証ライセンスを払い出していただけたことや、 テクニカルサポートなどの対応レスポンスが早いのも素晴らしいといえます。
ディレクターズでは、引き続き、お客様に選ばれるホスティングサービスを展開するべく、セキュリティの分野にも注力していく方針です。バラクーダネットワークスにはそれら弊社の取り組みを、優れた製品とサポートを通じて後方支援いただくことを希望します。今後ともよろしくお願いします。
導入製品
Barracuda Web Application Firewall
ハッカーからの攻撃をブロックし、顧客情報流出を阻止するWAFの 決定版。
2007年から9年連続、国内販売台数シェアNo.1の実績(※)
※(富士キメラ総研調べ)
