「WAF導入・運用支援サービス」は、ストーンビートセキュリティ社の脆弱性診断サービス、構築・運用支援、コンサルティングサービス等で培われたWebセキュリティの知見を活かして、A10のWAF機能を要件に合わせて柔軟に提供するための導入・運用支援サービスになる。
このサービスは、Webアプリケーションに対する脆弱性診断からA10のWAF機能のポリシー導入や有効性の確認、WAFの適用報告まで、効果的なセキュリティ運用実現のために必要な支援をワンストップで提供する。
■WAF導入・運用支援サービスを構成する4つのフェーズ
・脆弱性診断:保護対象のウェブサイトに対して脆弱性診断を行い、潜在的な脆弱性を洗い出し、リスク判定。
・WAFポリシー導入:脆弱性診断で判定したリスクを低減させるために必要なルールを設定。
・WAF有効性確認:WAFポリシー導入で設定したルールが有効か、脆弱性の再検査を実施しながら確認。
・脆弱性結果/WAF適用報告:WAFの各種状況の報告とWAFで対応効果が難しい、または低い脆弱性について報告し、推奨対応策を助言する。
■ルールベースの検知を採用したA10のWAF機能
A10がThunder ADCとThunder CFWで提供しているWAF機能は、シグニチャーベースではなく、独自OS「ACOS Harmonyプラットフォーム」のパフォーマンスを活かしたルールベースの攻撃検知を採用している。代表的な脆弱性に対するルールを定義することで効率的な検査を実現する。シグニチャーの蓄積もないためパフォーマンスへ影響を与えず、未知の脆弱性に対する万能なセキュリティ設定が可能。
「WAF導入・運用支援サービス」とA10のルールベースのWAF機能により、より効率的で、パフォーマンス劣化のない、Webアプリケーションへの攻撃に対抗するためのセキュリティ環境を構築できるという。
