株式会社ノーリツ～Barracuda WAF導入事例 – 脆弱性検査のコスト

WAFを導入してから約4年が経過する同社では、Barracuda WAFを導入して一番良かったこととして、Webサーバのセキュリティレベルの統一化だという。株式会社ノーリツIT推進統括部IT推進部運用インフラグループの梶間雅人氏によると、「弊社では15サイトのWebアプリをBarracuda WAFで保護しているが、Webサイトのカットオーバー期間やバージョンによりセキュリティレベルが異なるため、一定のセキュリティレベルを保つことが困難であった。Barracuda WAFを導入したことによって、すべて一定のセキュリティレベルで保護されていることが、一番の安心感につながる」と語る。保護対象のサーバの一部は、保護対象のサーバの一部は、構築時期も異なり、セキュリティレベルを統一するには困難なサーバもあり、Barracuda WAFを導入しておくことで、昨今のニュース等で話題となる不正アクセスに対しても、同社では既に対応済みという安心感があるという。

Barracuda WAFを導入した2009年1月当初は、Web GUIがすべてフルローカライズされていなかったが、ファームウェアバージョンアップにより、現在はすべて日本語で操作が可能だ。一般的なWAF製品は英語での操作を余儀なくされるものも多い中、Barracuda WAFは日本語で操作が可能で、特にWebファイアウォールログの詳細は、その攻撃が妥当なものか判別する際に、日本語での説明が付属されているため、とても使い勝手がよいという。

WAFを導入した大きなメリットは、定期的な脆弱性検査のコストを大幅に削減できた点がある。ノーリツでは、4年前にWAF導入以降、大幅なWebサーバの 改修作業は減ってきている。「脆弱性検査は、セキュリティトレンドが変わる毎に、定期的に受診する必要があり、それに合わせて修正作業も発生する。WAFを導入しておけば、未然のセキュリティ対策として手立てが打てるため、運用中のサーバに手を加える必要がなく、なおかつ一定のセキュリティ対策が講じられる」と株式会社ノーリツIT推進統括部IT推進部運用インフラグループの田村卓弘氏は語る。

WAF導入後の管理運用については、最新の定義ファイルが自動ダウンロード・適用されるため、日々の管理はログを管理する程度で10分にも満たないという。また新規Webアプリの登録・ポリシーの共有化も、登録済みのサイトに影響を及ぼすこともないため日々の運用ベースで対応が可能だ。

保護対象サーバの増加を見越して、同社ではWAFの増設も検討を開始している。導入時の2009年は、まだ物理ベースのアプライアンスが主流だったが、同社の仮想システムへの推進に伴い、今後の増設の際は、拡張が容易な仮想アプライアンスでの増設を検討中だという。

ノーリツ様の例では、15サイトの管理をWAFで行なっている。バラクーダ独自調査により5年間、各サイトに対して脆弱性検査と改修を行なった場合と、Barracuda WAF460を2台の冗長構成で導入した場合の試算例を計算した。5年間のコスト累計を見ると、WAFを2台構成で導入しても、トータルコストは1/10程度におさまることが確認できる。