ウェブサイトのぜい弱性を突いた攻撃が増えるなか、注目されているのが「WAF（ウェブ・アプリケーション・ファイアウォール）」だ。これまでその存在すら知らなかったエンドユーザーが、WAFを認識し始めた。現在はバラクーダ、インパーバ、JPセキュア、F5やシトリックスなどが一定のシェアを保持しているが、競合ベンダーが増えて、市場が活性化している。（文／鍋島蓉子）

figure 1　「市場動向」を読む
ウェブ攻撃のあおりで導入が活発に

　このところ、ウェブサイトのぜい弱性をついた攻撃が活発になっている。その効果的な防御策として、WAF（ウェブ・アプリケーション・ファイアウォール）に注目が集まっている。WAFが登場したのはそう新しくはないが、盛り上がりをみせ始めたのは最近のことだ。ウェブサイトのぜい弱性を突いた攻撃はマスコミなどで報道されている以上に発生しているのが実際のところで、実害を受けた企業が即座に対策を打つための手段として、WAFの購入を選択する。

　また、クレジットカード業界のグローバルなセキュリティ標準「PCI DSS」でも要件に明記されている。実害を受けてウェブのセキュリティ対策を急ぐ場合、その企業が取り扱っている情報が関係しているので、導入する企業の規模は大小を問わない。今年、中国のセキュリティベンダーNSFOCUSが日本に進出。競合企業も増え、国内市場は徐々に活発になり、エンドユーザーからも認知が進みつつある状況だ。

figure 2　「プレーヤー」を読む
台数ではバラクーダ、金額ではインパーバ

　日本では、バラクーダネットワークスの「Barracuda ウェブ Application Firewalls」が台数ベースで国内シェアトップを誇る。05年には、フィンランドのセキュリティメーカーの日本法人である日本エフ・セキュア（現エフセキュア）が日本独自で「SiteGuard」を発売した。また、ネットワーク機器メーカーのF5ネットワークスジャパンは「BIG-IP Application Security Manager」、同じくネットワーク製品を手がけるシトリックス・システムズ・ジャパンは「Citrix NetScaler Application Firewall」といったオプションでそれぞれWAF機能を提供している。

　07年に設立したインパーバ ジャパンは「Imperva SecureSphere」で、現在金額シェアで国内1位となっている。旧日本エフ・セキュアが販売していた「SiteGuard」は、現在、事業譲渡を受けて国産WAFとしてJPセキュアが開発・販売を行っている。そのほか、ソリトンシステムズなども自社ブランドのWAFを提供している。

figure 3　「商流」を読む
OEMやMSSPなど多様な販路

　WAFはハードウェア・アプライアンスのほか、ソフトウェア・アプライアンスや、バーチャル・アプライアンスなどでも提供が可能となっている。ハードウェア、ライセンスの販売に加えて、OEMで他社製品に組み込んだり、WAFの提案から構築、運用までを手掛けるMSSP（マネージド・セキュリティ・サービス・プロバイダ）を経由しての導入の形がある。また、データセンター事業者にWAFのエンジンを提供し、エンドユーザーに対してWAFをサービスとして提供するなど、さまざまなデリバリの方法がある。主なパートナーとして、インパーバでは、東京エレクトロンデバイス、ネットワークバリューコンポーネンツ、アークンのほか、MSSP契約販売代理店としてNRIセキュアテクノロジーズを抱える。バラクーダネットワークスは、日立システムバリュー、ケイビーエムジェイ、神戸デジタルラボがそれぞれ1次代理店となっている。

　JPセキュアは、ソフトウェアライセンス販売ではラック、富士通エフ・アイ・ピー、OEMではソリトンシステムズ、安川情報システムのハードウェアにエンジンを供給。また、サービス型のカスタマイズプランをさくらインターネット、ソフトバンクテレコムに提供している。とくにラックについては技術開発面でも密に連携している。

figure 4　「戦略」を読む
DCからのサービス提供が進む

　認知度が高まったとはいえ、WAFの必要性は浸透していないのが実際のところで、啓発活動が必要とされている。「高額」であり、「設定が複雑」であることから、敬遠するユーザーも多い。そこで、クラウド時代の今、WAFで次なるターゲットとなるのが、DCからのサービス提供だ。台数シェア1位のバラクーダの製品は、容易な設定によって短時間でセキュリティを高い水準に引き上げて脅威を防ぎ、安価だ。今後はバーチャル・アプライアンスを提供することで、DC事業者からWAFをサービスとして展開するデリバリ方法も計画している。インパーバは、従来のMSSPへの支援を引き続き実施するとともに、ローエンドモデルの「X1000」で数を売るビジネスを推進する。一方でクロスビーム社と協業し、「クロスビームXシリーズ」にWAFを提供。通信事業者や大規模企業に対する拡販も強化するなど、カバレッジを拡大している。今年4月に、自社ブランドのクラウドサービス「Incapsula（インカプシューラ）」を米国で提供することで、製品でカバーしきれない小企業や大企業の事業部に対してのドアノックツールとする考えだ。JPセキュアは、三つの提供形態のうち、OEMとデータセンターへのサービスプラン提供に力を入れ、製品導入が難しいユーザーに対してサービス型の利用を促す。