[パートナー事例] Web Application Firewall によって脆弱性対策を短期間で実現 ~Azure Marketplace で提供される KEMP 製品を活用した、エスアイイーの新たなセキュリティ ビジネスとは~【11/15 更新】


IT スクール、システム インテグレーション、人材コンサルティング、WEB マーケティングの 4 つの事業を柱に、ナレッジ サービス プロバイダーとして活動する株式会社エスアイイー (以下、エスアイイー) 。2015 年 7 月には脆弱性診断などのセキュリティ ビジネスもスタートし、短期間で脆弱性対策を行える WAF (Web Application Firewall) の提案も行っています。ここで活用されているのが、Microsoft Azure Marketplace で提供されている、KEMP Technologies の「Virtual LoadMaster」です。

今回は、株式会社エスアイイー セキュリティ事業部 事業部長の本田 崇 氏と、KEMP Technologies の岸 勇二 氏、星野 晋一 氏に、現在取り組んでいるセキュリティ ビジネスの概要や、KEMP 製品採用の経緯、Azure Marketplace のメリットなどについてお話をお聞きしました。

kemp1

写真左より、KEMP Technologies Country Manager 岸 勇二 氏、KEMP Technologies Systems Engineer 星野 晋一 氏、株式会社エスアイイー セキュリティ事業部 事業部長 本田 崇 氏

 

 

エスアイイーと KEMP Technologies の概要

 

まず両社の概要についてお教えください。

 

kemp2 KEMP Technologies は「LoadMaster」という ADC (Application Delivery Controller) をメインにソフトウェア製品の開発を手がける企業です。ハードウェアと一体となったアプライアンス製品もラインアップしていますが、その中身は多様なマシンの上で動かせるようになっています。LoadMaster は、アプリケーションとサービス配信のためのすべての機能を集約しており、L4/L7 負荷分散によるコンテンツ スイッチングや、先進的な SSL トラフィック管理、WAF の機能を提供します。また ADC としては最も早く 2013 年第 3 四半期に Azure に対応し、Azure Marketplace にも 2014 年第 4 四半期に最初の ADC ソリューションとして登録されています。

 

本田 エスアイイーは、IT スクール「システムアーキテクチュアナレッジ」、システム インテグレーション、人材コンサルティング、WEB マーケティングの 4 つの事業を展開する、ナレッジ サービス プロバイダーです。2015 年 7 月にはセキュリティ ビジネスも開始しており、脆弱性診断などのサービスを提供しています。IT システムの開発、運用保守、セキュリティの経験やノウハウを持った専門チームが、お客様システムの特性や課題を踏まえたうえで、セキュリティに関するスピーディな問題解決を提案しています。このサービスの中には、無料の簡易診断サービスである「脆弱性診断サービス・ZERO」も用意されており、ここで大まかな診断を行ったうえで、より掘り下げた診断を行えるようにしています。

 

そのセキュリティ ビジネスで、Azure Marketplace で提供されている LoadMaster (Virtual LoadMasterVLM) を活用されているのですね。

 

本田 そうです。実際に脆弱性診断を行うと、8 割以上のシステムで脆弱性が見つかります。そのうち半分は緊急性が高く、即座に対策する必要があります。しかし根本的な対策を短期間で行うのは、決して簡単ではありません。脆弱性の主な原因は、Web アプリケーションのコード、開発フレームワーク、稼働インフラですが、コードの修正にはそれなりの工数が必要になり、開発フレームワークや稼働インフラのパッチ適用も、影響度の調査などに時間がかかるからです。このような問題をなんとか解決できないかというご要望は、以前から数多くいただいておりました。その解決手段として採用したのが、WAF 機能を提供する LoadMaster です。

 

 

エスアイイーが LoadMaster を採用した理由

kemp3
エスアイイーでは以前から LoadMaster を使われていたのですか。

本田 いえ、この案件での利用が初めてです。

 

ADC 製品は他のベンダーからも提供されていますが、なぜ KEMP 製品を選ばれたのでしょうか。

 

本田 大きく 4 つのポイントがあります。第 1 Azure で使えることです。スピーディな脆弱性対策の手段として WAF を提案しても、それがオンプレミスの製品では導入コストがかかり、短期間での決済が困難です。また中長期的にはコード修正やパッチ適用で対応するので、WAF はテンポラリーな緊急対応として利用したい、というお客様も少なくありません。このようなご要望に対応するには、クラウドでの提供が有効です。Azure には VPN 接続のサポートもあるため、お客様サイトへのアクセスをいったん Azure にリダイレクトし、それを WAF で無害化したうえでお客様サイトに転送するといったことも、安全に行なえます。

 

Azure なら安全性の高い対応を、高いスピード感で実現できるわけですね。

 

本田 そのとおりです。第 2 のポイントは、ルール セットの設定が容易だということです。KEMP には標準のルール セットが用意されており、その中から必要なものだけを選択して使うことができます。たとえば、アプリ コードにどのような脆弱性があるのか、どの開発フレームワークや稼働インフラを使っているのかがわかれば、当社なら 1 日でルール セットを設定できます。他社の WAF 製品では実際に導入しても使いこなせないケースが少なくないようですが、LoadMaster ならその問題がありません。

 

kemp4星野 KEMP が提供する標準ルール セットは、OWASP (Open Web Application Security Project) をベースに、KEMP のノウハウに基づいてカスタマイズしています。OWASP は、Web アプリケーションのセキュリティに関する課題解決を目的とした、国際的なオープン コミュニティです。運営母体である The OWASP Foundation 2001 年に設立され、2004 年 4 21 日にアメリカ合衆国の政府認定 NPO となっています。日本でも 2011 年に OWASP Japan が発足しています。

 

本田 OWASP のルール セットがベースなので、実効性の高い対策が実現できます。またそのすべてを適用するのではなく、必要なものだけを選んで適用できるため、負荷を軽くできる点も魅力的です。

 

星野 WAF の前段にコンテンツ スイッチがあるため、コンテンツの種類別にルール セットを分けて適用するといったことも、1 台の LoadMaster で実現できます。そのため多様なコンテンツが混在するサイトでも、負荷を抑えることが可能です。

kemp5

 

KEMP LoadMaster は、WAF と ADC の組合せで、Web アプリケーションの応答性劣化を最小限にし、L7 セキュリティを実現します。

 

本田 価格が安いことも大きな魅力です。これが第 3 のポイントです。「WAF は高い、重い、面倒」という印象をお持ちの方も多いようですが、LoadMaster はこの常識を覆すソリューションだと評価しています。そして第 4 のポイントが、多様なプラットフォームで稼働することです。まず Azure で使い始めて、その後でオンプレミスにアプライアンスを導入して移行する、といったことが容易です。お客様のニーズに合わせてシステム環境を選ぶことができ、環境を変更してもルール セットや操作感は変わりません。

 

 

Azure Marketplace での提供がもたらすメリット

 

Azure Marketplace での購入で生じるメリットはありますか。

 

本田 まず購入が簡単です。Azure の契約をしているお客様なら、すぐに使い始められます。また時間課金で使えるので、ちょっとだけ試してみるといったことも可能です。デプロイも、リストされたものから選択するだけです。

 

 時間課金は、データセンター事業者様からも歓迎されています。これなら小さくスタートし、必要に応じて規模を拡大できるからです。また Azure Marketplace LoadMaster は無償版も用意しているのですが、まずはお客様にこれをお使いいただき、後で代理店様が有償ライセンスを有効にし、これに切り替えるという方法も可能です。このように、日本の商習慣に合わせた形で提供することも容易です。

 

星野 エスアイイー様との案件のように、他社連携の可能性も広がります。LoadMaster のようなソリューション製品だけではなく、エスアイイー様が提供するサービスそのものも Azure Marketplace で提供できるようになれば、さらにおもしろい展開ができるのではないかと考えています。

 

それは興味深いご指摘ですね。

 

 実際に「LoadMaster が Azure Marketplace に載っている」ことを紹介すると、多くのお客様が興味を持ってくださいます。しかしここで問題になるのが、WAF 活用のノウハウをどのように提供するのか、ということです。LoadMaster のルール セットは簡単に設定できるようになっていますが、その選択を実際に行う際には、お客様のシステム環境を調査し、それに適したものがどれなのかを知っておく必要があります。このようなコンサルティングは、KEMP だけではできません。エスアイイー様のようにシステム現場のノウハウを持つ企業とのパートナーシップは、当社にとって大きなチャンスをもたらすものなのです。

 

 

今後の展望について

 

最後に、今後の展望についてお聞かせください。

 

星野 LoadMaster には KEMP 標準のルール セットが用意されていますが、今後は日本独自のルール セットを用意することも検討しています。ぜひエスアイイー様にもご協力いただき、これを実現したいと考えています。

 

 大手企業のセキュリティ対策はほぼ一巡しましたが、中堅および中小企業のセキュリティ対策はまだこれから、といった状況です。今後はセキュリティ対策の裾野を広げるため、さらに「安くて早い」ソリューションを提供していきます。Azure Marketplace での展開やエスアイイー様との協業は、そのための重要な布石です。オリンピック開催国は攻撃対象になりやすいので、2020 年をひとつのマイルストーンとして、取り組みを進めていく計画です。

 

本田 現在は WAF を中心に LoadMaster を活用していますが、LoadMaster には他にもさまざまな機能があります。当社はセキュリティ以外の SI も手掛けているので、今後は他の機能も積極的に活用していきたいと考えています。

 

ありがとうございました。

 

kemp

 

株式会社エスアイイー

2004 年 6 月に設立された「ナレッジ サービス プロバイダー」。IT スクール「システムアーキテクチュアナレッジ」、システム インテグレーション、人材コンサルティング、WEB マーケティングの 4 つの事業を組み合わせて展開しています。また 2015 7 月にはセキュリティ サービスもスタート。脆弱性診断や WAF の提案などを行っています。

 

kemp_wadhoriz_final_large

KEMP Technologies

 

2004 年から米国と欧州を中心に「LoadMaster」ブランドで、ハードウェアとソフトウェア アプライアンスを提供する製品ベンダー。KEMP 製品は 1 ドルあたりの性能が業界ナンバー ワンであり、全世界で既に 3 万台以上が導入されています。また Azure などのクラウドへの対応もいち早く実現。「Gartner Magic Quadrant for ADC」では 2015 年から 2 年連続で「Visionary」に位置付けられています。

 

 

Skip to main content