札幌学院大学～Barracuda WAF導入事例

札幌学院大学電子計算センター原田 寛之 様

大学のWebシステムでは、データベースサーバと連携し、個人情報を収集するシステムが意外に多く存在する。例えば、札幌学院大学様では、志願する高校生を対象にオープンキャンパスを実施しているが、道内の各主要都市からキャンパスまで無料バスを運行している。そのバス予約フォームは、Webフォームに参加希望日、連絡先などの個人情報を入力してもらい、バックエンドのMySQLで情報を蓄積している。当然、データベースの管理画面は、外部からアクセスできないようにACLに配慮しているが、Webアプリに対して攻撃されてしまうと、データ流出の危険もある。また脆弱性検査は定期的に実施しているが、Webアプリは対象にしていなかったので、WAFによって、SQLインジェクションなどの攻撃を防御できることは、システム全体の信頼性を高めることにつながる。

バラクーダネットワークスの一次代理店から提案されたBarracuda Web Application Firewallだが、札幌学院大学様では、2007年からBarracuda Spam & Virus Firewallを導入しており、さらに2013年2月には、仮想アプライアンスを導入したことにより、Barracuda Web Application Firewall仮想アプライアンスの採用にも大きな抵抗はなかった。使い慣れたBarracuda Spam & Virus Firewallと同じデザインの管理画面で、さらに日本語化対応されていることもあり、初期設定はすべて同校で実施することができた。 Webアプリで誤検知が起こらないようにフィットチューニングするには、セキュリティのノウハウが必要になるため、一次代理店が主催する年間数百件以上の脆弱性検査で培ったWebセキュリティの経験を元にしたチューニング講習会を受講した。これにより必要な知識を身に付けることができ、運用もすぐに開始することができたという。また懸念していた誤検知に関しても、ログから簡単に除外設定できるのも運用に乗せやすい利点であった。

Barracuda Web Application Firewall 導入前は、日次で公開サーバのログを確認して、攻撃とおぼしき通信を確認していたが、導入後はログを確認するだけで、どんな攻撃が来ているのか、明確に「見える化」できたことによる安心感は大きい。さらに、従来は、ログが各サーバに分散していたため、管理負荷が大きかったが、WAFを経由する通信は、攻撃、アクセスログともにWAFのGUIで一括監視できるので、予想していなかったメリットを享受できたという。

今回はワンアーム構成で導入したが、今後の保護対象サーバの拡張を考慮した構成だという。「Barracuda Web Application Firewallには、保護対象サーバを対象とした負荷分散が標準装備※2されているので、それらの機能も有効活用しながら、順次保護対象サーバを追加したい」と札幌学院大学電気計算センターの原田寛之氏は語る。※2 モデル460以上に標準搭載

導入製品