A10ネットワークスは、セキュリティの構築支援や教育・コンサルティングサービスを提供するストーンビートセキュリティ株式会社とWebアプリケーションの脆弱性診断における協業を締結しました。協業を受けて両社は、本日より、WAF機能を最適化する「WAF導入・運用支援サービス」を開始します。

現在のWAF製品の課題

現在のサイバー攻撃の多くを占めるのがWebアプリケーションに対する攻撃です。Webアプリケーションの脆弱性をつく攻撃に対抗するWAFの重要度は年々高まっています。

しかし、WAFの効果を最大限に発揮するためには、Webアプリケーションに最適なセキュリティ設定を適用することが不可欠です。多くのWAF製品はシグネチャーによる攻撃検知に依存しており、誤検知が発生しないようWebアプリケーションに合わせた適切なシグネチャーを選定するための、運用の手間と高い知見が必要とされます。

ウェブセキュリティに精通した専門家によるWAF導入・運用支援サービス

本日より、A10とストーンビートセキュリティ社は、A10のWAF機能を用いた最適なセキュリティ環境の導入及び運用を支援する「WAF導入・運用支援サービス」を提供開始します。「WAF導入・運用支援サービス」は、ストーンビートセキュリティ社の脆弱性診断サービス、構築・運用支援、コンサルティングサービス等で培われたウェブセキュリティの知見を活かして、A10のWAF機能を要件に合わせて柔軟に提供するための導入・運用支援サービスです。

同サービスは、Webアプリケーションに対する脆弱性診断からA10のWAF機能のポリシー導入や有効性の確認、WAFの適用報告まで、効果的なセキュリティ運用実現のために必要な支援をワンストップで提供します。

WAF導入・運用支援サービスを構成する4つのフェーズ

• 脆弱性診断：保護対象のウェブサイトに対して脆弱性診断を行い、潜在的な脆弱性を洗い出し、リスク判定します
• WAFポリシー導入：脆弱性診断で判定したリスクを低減させるために必要なルール設定をします
• WAF有効性確認：WAFポリシー導入で設定したルールが有効か、脆弱性の再検査を実施しながら確認します
• 脆弱性結果/WAF適用報告：WAFの各種状況の報告とWAFで対応効果が難しいまたは低い脆弱性について報告し、推奨対応策を助言します

ルールベースの検知を採用したA10のWAF機能

A10がThunder ADCとThunder CFWで提供しているWAF機能は、シグニチャーベースではなく、独自OS「ACOS Harmonyプラットフォーム」のパフォーマンスを活かしたルールベースの攻撃検知を採用しています。代表的な脆弱性に対するルールを定義することで効率的な検査を実現します。シグニチャーの蓄積もないためパフォーマンスへ影響を与えず、未知の脆弱性に対する万能なセキュリティ設定が可能です。

「WAF導入・運用支援サービス」とA10のルールベースのWAF機能により、より効率的で、パフォーマンス劣化のない、Webアプリケーションへの攻撃に対抗するためのセキュリティ環境を構築できます。