東京エレクトロンは7月4日、米インパーバ(Imperva)製アプライアンス装置「SecureSphere」の出荷を開始した。Webアプリケーションやデータベースの脆弱性をつくSQLインジェクションやクロスサイト・スクリプティングなどの攻撃を防ぎ、顧客情報や決済情報などが漏洩しないようにするのが狙いだ。
SecureSphereはアラートを出力するだけでなく、アクセス自体を遮断できる。アプライアンス装置なので、既存のアプリケーションの性能を劣化させることなく、Webアプリケーションの安全性を向上できることもメリットとしている。
同製品は、(1)インターネットとWebサーバーの間に設置する「SecureSphere Webアプリケーション・ファイアウォール(WAF)」、(2)Webアプリケーション・サーバーとデータベース・サーバーの間に設置する「同データベース・セキュリティ・ゲートウェイ(DSG)」、(3)同じくWebアプリケーション・サーバーとデータベース・サーバーの間に設置する「同データベース監査ゲートウェイ(DMG)」の三つで構成する。
WAFは、Webサーバーに対するHTTPアクセスを監視。SQLインジェクションを引き起こす要因となるパラメータや、不正なタグを含むスクリプト文に加えて、数値しか入力されないはずのパラメータに文字列が含まれていないか、などを検知。不正と判断した場合は、パケットを遮断できる。
DSGは、Webアプリケーション・サーバーや管理端末などがデータベース・サーバーに発行するSQL文が、通常のアクセス・パターンと違うものでないかを監視する。不正と判断した場合は、WAFと同様にアクセスを遮断できる。もう一つのDMGは、DSGと監視項目は同じだがアクセスを遮断せず、アクセス記録を取得してアラートを出す機能に絞ったものだ。
3製品とも、主に二つの方法で不正かどうかを判断する。一つは、攻撃手段をパターン化しておき、それと合致しているかどうかを調べる、というもの。パターン・ファイルは、インパーバが定期的に配布する。
もう一つは、「正当なアクセス」のパターンを自動的に記録しておき、それを不正かどうかのルールとして利用する、というものだ。ここでいうパターンとは、「あるプログラムが利用するパラメータには数値しか入力されない」、「その数値の範囲」などを指す。SecureSphereはこれらを基に“推奨値”を導き出し、システム管理者はその結果を基に「正当なアクセスと判断するためのルール」を決定していく。「ルールのチューニングには通常、1~2週間かかる」と、コンピュータ・ネットワーク事業部 ネットワーク営業統括グループ ソリューション開発グループの水本真樹氏は話す。
コンピュータ・ネットワーク事業部 マーケティング・グループの松永豊氏は、「情報漏洩対策は、ファイアウォールなど既存のネットワーク・セキュリティ製品だけでは不十分。情報漏洩を寸前で防止するには、データをいかに守るかという発想で開発されたSecureSphereのような製品が必要」と強調する。価格(税別)はWAFが567万円から、DSGが756万円から。DMGの価格は「まだ決まっていないが、WAFとDSGの中間くらいに設定している」(松永氏)という。東京エレクトロンでは、初年度で1億円の売り上げを目指す。
