【 ここから本文 】
- TOP
- > Topics : 標準化動向
- >
標準化動向
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
業界団体のWASC、Webアプリケーション・ファイアウォール機器の評価基準書を公開
(2006年01月23日)
IT業界団体のWebアプリケーション・セキュリティ・コンソーシアム(WASC)は先ごろ、Webアプリケーション・ファイアウォール(WAF)がユーザーにとって理解しにくい製品分野であることから、この分野に属する多数の機器を比較評価する際の指針となる評価基準書「Web Application Firewall Evaluation Criteria(WAFEC)」を公開した。
WASCは1年前に発足した団体で、ユーザー、ベンダー、コンサルティング会社で構成されている。
Webアプリケーション・ファイアウォール(WAF)機器は、HTTPおよびHTTPSトラフィックを調査し、正当なアプリケーション・トラフィックを装った攻撃をチェックする。Webアプリケーション・サーバに保存されたクレジットカード情報や社会保障番号、企業の機密情報といった情報の盗難を防ぐ目的で、多くの企業ユーザーが導入している。
「(WAF機器には)多様な手法が用いられているため、潜在顧客にとってどの製品が自社のニーズに最も適合しているか判断しにくい」と指摘するのは、イスラエルと米国に本拠を置くWAF機器ベンダーであるインパーバの製品マーケティング担当ディレクター、マーク・クレイナク氏だ。同氏は、WASCのWAFECを作成した委員会のメンバーも務めている。
WAF機器は、同社のほか、シトリックス、F5ネットワークス、プロテグリティなどのベンダーが提供している。
英国のWebアプリケーション・セキュリティ・コンサルティング会社シンキング・ストーンの経営者で、WAFEC作成を統括したアイバン・リスティク氏は、「すべてのネットワークに適した単一のWAF機器というものはない」と語り、ユーザーに対して、「製品選択にあたっては、自社のセキュリティ要件とビジネス目標を確認し、必要な機能を短いリストにまとめてみるとよい」とアドバイスする。
WAF機器の機能は製品によってさまざまだ。例えば、個々の製品がサポートするHTTP、暗号化、認証などのプロトコルのバージョンはまちまちであり、外部へのトラフィックのフィルタリングをサポートする製品もあれば、サポートしない製品もある。
スペインのダビンチ・コンサルティングのシニア・コンサルタントで、WAFECの作成にかかわったラファエル・サン・ミゲル氏は、WAF機器の管理は重要であり、自動的に新しい脅威に対応できるべきだと力説する。 「コンフィギュレーション・パラメータの変更をユーザーが繰り返さなければならないのは好ましくない。セキュリティが、その時々の管理者の能力によって左右されてしまうからだ」(同氏)
シトリックス製品を使用している米国中西部の金融サービス会社の幹部も同意見であり、次のように指摘する。「WAF機器は、購入して設置したあとに何の変更も必要としないソリューションと考えるべきではなく、常に新しい脅威に対応できなくてはならない。新しい脅威に応じた構成変更を自動的に行える機能が重要だ」
サン・ミゲルによると、WASCは数週間以内に、WAF製品のテストに利用できる攻撃シミュレーション・ソフトウェアを公開する予定だ。WAF機器を接続したサーバと、同ソフトウェア搭載したPCとをつなぐテスト・ネットワークを構築することで、ユーザーは、そのWAF機器がサーバを保護する能力をチェックすることができるという。
(Network World 米国版)
- Webアプリケーション・セキュリティ・コンソーシアム(WASC)
- http://www.webappsec.org/
- 「Web Application Firewall Evaluation Criteria (WAFEC) v1.0」のページ
- http://www.webappsec.org/projects/wafec/
