- 自社サービスの脆弱性診断と組み合わせて、堅牢性を高めるWebセキュリティを顧客に提案したい
- 運用管理をアウトソースできるセキュリティ対策を顧客に提案したい
- 恒常的にWebセキュリティ対策ができるようになることでセキュリティレベルが飛躍的に向上する
- クラウド型により運用負荷が軽減、効率的なWebセキュリティを実施できる
WAF導入/運用と脆弱性診断(タイガーチームサービス)を組み合わせて、互いに補完し合うことによって、堅牢性を高めるWebセキュリティとは
WAF導入/運用と脆弱性診断(タイガーチームサービス)を組み合わせるメリットをお聞かせいただけますでしょうか。
お客様にとって優先すべき課題や対象を調査し、脆弱性とセキュリティインシデント発生の可能性や影響度などをしっかりと見極めた上で、お客様にとってより効果的で優先度の高い対策として、WAF導入/運用と脆弱性診断の組み合わせをご提案しています。それは、結果的にセキュリティ対策コストを抑えることにつながります。
言い換えると、お客様が定期的に実施する脆弱性診断だけでは、次々に日々発生する脆弱性に対応しきれないのが現実であり、恒常的にWebサーバを防御できるWAF導入も併せてご提案しています。お客様へWAF導入/運用と脆弱性診断の組み合わせ実施をご提案することで、Webセキュリティレベルを飛躍的に向上させることができると考えています。
お客様のWebセキュリティ運用を最優先に考える
何を契機にお客様にWAFをご提案するのですか?
脆弱性診断を提供する会社として、親和性の高いクラウドWAFサービスの選定はいくつも検討を重ねてきました。クラウドWAFサービスにおいては脆弱性検知率の高さはもちろんですが、最も重要視すべきは誤検知の少なさとなります。検知スピードが速かったとしても誤検知があるとそれらを精査する作業をエンジニアが細かに確認する必要があり、とても効率的とは言えません。数あるクラウドWAFサービスを比較検証する中で、突出して誤検知が少なかったのが「攻撃遮断くん」でした。またクラウド型のメリットとして運用管理自体をお任せできる点は、お客様にとって大きなメリットになります。
その他推奨ポイントとして、導入のしやすさがあるかと思います。
お客様の課題として、導入するWebサイトの中には自部署を越えて管理しているサーバもあり、専用機器の設置やエージェントをインストールするとなると敷居が高く、導入が困難になるケースも予想されます。「攻撃遮断くん」は、DNSの切り替えやサーバへのアクセス制御だけで導入できるため、アプライアンス型などに比べると他部署との調整も比較的容易になると思われます。
「攻撃遮断くん」の推奨理由
お客様にとってのWAFの位置付けについて、どのような点を重視していますか?
「攻撃遮断くん」はどのように評価いただけましたか?
* 導入面
複数の導入方法(DNS切替型、エージェント連動型)を選択できるため、様々なWebサイトにサービスを止めることなく導入が可能です。
* 料金体系面
Webサイトの規模(使用帯域)に応じた複数の料金プランが存在するため、適切な料金プランを選択することが可能です。さらに、定額料金であるため、予算化しやすいことが評価できます。
* 攻撃検知/防御数
実際に複数種類の攻撃を実施した結果、他社製品と比べて遜色のない攻撃を検知かつ防御しました。
* 管理画面UI(下図参照)
日本語ユーザインタフェース、直感的UI、表示項目の扱いやすさ、管理のしやすさ(お客様にとっての運用負荷軽減に直結)等に関して評価すべき要素が多数見受けられます。
WAF導入/運用と脆弱性診断の組み合わせがWebセキュリティ向上に寄与する
GSXがお客様にご提案する攻撃遮断くんの導入効果はどんなところにあるのでしょうか?
Webセキュリティ重要性について、どのように考えられていますか?
自社のWebサイトに脆弱性があったばかりに自ら被害者になるケースもあれば、マルウェア配布サイトに改ざんされて加害者になってしまうケースも頻発しています。脆弱性(殊にWebセキュリティ)対策を実施する上では、WAF導入/運用と脆弱性診断を組み合わせ、互いに補完し合い、堅牢性を高めることで実現できると考えています。
ありがとうございました