サービスの詳しい情報をチェック!
複数のサービスを比較できる!
Cloudbric WAF+(クラウドブリック・ワフ・プラス)は、社内にセキュリティ専門家がいなくても手軽に運用・導入できる企業向けWebセキュリティ対策サービスです。
小規模WebサイトやWebアプリケーションから大規模Webサービスまで対応することができ、企業のWebセキュリティ確保に必須とされる以下5つのサービスを単一プラットフォームで統合的に利用可能です。
エージェントやモジュールのインストールは不要で、以下の3ステップで簡単に導入可能です。
利用開始後、セキュリティエキスパートによる検知ログの収集・分析の上、セキュリティ運用ポリシーを提案し、導入企業向けにカスタマイズされたマネージド・セキュリティ・サービスを提供します。
専門家でなくてもわかりやすく情報性の高いUIで脅威の見える化をサポート。
視認性の高いダッシュボードと検知ログのメニューでセキュリティ運用ステータスを確認することができ、レポートメニューから過去3カ月分のサマリーレポートを自動作成できます。
18カ国28カ所のIDC/POPの基盤と、50以上の異なるロケーションのFull Stack Edge Networkを活用したサービス・インフラを保有しており、保護対象に最適な距離でサービスを提供します。
日本企業に特化したローカライゼーション対応が可能で、日本語体制を完備したグローバル・サポート・センターにて24時間365日の対応が可能。
日本国内では556社7,180サイト以上に導入されています。
サイバー脅威情報のオープン・プラットフォームとしてクラウドブリック・ラボを運用。
全世界114カ国 100,000レファレンスから収集した脅威情報を分析します。
CVE及びExploit DBの最新Webアプリケーション、脆弱性検証・対応と共に定期レポーティングを実施します。
韓国・日本・中国・米国・ヨーロッパの5カ国で特許を取得した自社開発の論理演算検知エンジンを搭載。構文解析(Semantic)・ふるまい(Heuristic)・比較解析(Comparison)の手法により実現されたロジックの組み合わせ(マルチ検知)により高精度でWeb攻撃を検出します。
独自技術で未知の脅威でも高い検知精度を実現。チューニングだけでなく、検知時に「どんなアクションをすべきか」の提案までサポート
ペンタセキュリティ株式会社 日本法人代表取締役社長 陳 貞喜様(中央)
―Cloudbric WAF+は、どのようなサービスですか?
「Cloudbric WAF+(クラウドブリック ワフ プラス)」は、「プラス」が含んでいる意味通り、5つの必須Webセキュリティ機能を提供するクラウド型WAFサービスです。専門知識がない方でも気軽に導入・運用ができる、Cloudbricセキュリティ・プラットフォームのセキュリティサービスの一つです。
まず、弊社、「ペンタセキュリティ」と「Cloudbric(クラウドブリック)」の関係性ですが、Cloudbricはもともと、韓国を代表するWAF(Web Application Firewall)の専門ベンダーの弊社の社内ベンチャーとしてスタートしたサービスの名前でした。2015に年ヨーロッパ市場をターゲットにし、クラウド型WAFサービスをリリースした後、2017年ペンタセキュリティシステムズからスピンオフした今は、会社名でもありサービス名でもあります。日本国内の「Cloudbric WAF+」だけではなく、Cloudbricセキュリティ・プラットフォーム上の様々なセキュリティサービス関連ビジネス開拓や販売代理店開拓などを、弊社で対応しています。
ここ最近日本でWAF市場が大いに盛り上がっている中で、「Cloudbric WAF+」が多くの他社WAFサービスと差別化できる根源的要因は、WAFの専門性にあると思います。弊社は、WAF専門の開発ベンダーとして2005年にハードウェア型アプライアンスWAF製品の「WAPPLES(ワップル)」を開発し、それ以降も時代のニーズに沿って開発を続けてきました。
2012年にはクラウドに乗せられるソフトウェア型WAF製品の「WAPPLES SA(ワップル エスエー)」を開発し、2015年にはWAPPLES SAをグローバル18カ国28カ所のサービスリージョンに展開しました。これが、MSS(Managed Security Service)を付加した形での「Cloudbric WAF+」のクラウド型WAFサービスにつながります。
このようにして、WAFというセキュリティ製品に対する技術とノウハウを、2005年から長年にわたって蓄積してきました。WAFの専門性の高さは、韓国企業としてははじめて、グローバルで有名なリサーチ会社のガートナー、フロスト・アンド・サリバン、フォレスト・リサーチのレポートにて取り上げていることからも証明されているものです。
WAFの導入を検討される際には、値段やパフォーマンスを含めて様々な比較項目があって、どの項目に重みを置くのかもお客様それぞれで異なります。ただ「セキュリティ」導入においては、WAFの専門性は除外してはいけない最も重要な項目となります。「Cloudbric WAF+」は、WAF専門ベンダーが作って提供するクラウド型WAFサービスであることが、高度なセキュリティサービスを求めている多くの日本のお客様に評価頂いている理由だと思います。
―前身があるとはいえ、Cloudbric WAF+は2015年のリリースからわずか7年で普及したサービスなのですね。
おっしゃる通りです。2015年ヨーロッパでのリリース翌年の2016年には、SC Awards Europe2016で「Best SME Security Solution」という権威のある賞を頂いて以来、毎年グローバルで受賞しています。現在のユーザー様は日本を含めて114カ国にまで及びます。
―ロジックベースは従来型のシグネチャーベースと、どう違うのでしょうか?
「Cloudbric WAF+」には弊社のWAF技術である、ロジックベースエンジンが搭載されています。ここが、通常のWAF製品のシグネチャーベースと差別化できる大きなポイントです。
弊社はもともと、1997年の設立当初に侵入検知システムIDS(Intrusion Detection System)製品の「Siren(サイレン)」という製品を開発し、販売していました。20年以上も前の話ですが、その時にもすでにIDSで防御できる攻撃よりも、防御しきれないアプリケーションへの攻撃が多いということで、シグネチャーベースでのセキュリティ対策の限界を自ら体験しておりました。
それから5年以上の年月をかけて、アプリケーションを守る製品として、IDSからWAFに防御レイヤーを上げ、さらにシグネチャーではないWeb攻撃をHTTPのメッセージレベルに組み立てて、攻撃として成り立つコンテキストを解読するロジックベース技術を開発しました。それが結実したのが、2005年にリリースした「WAPPLES」というわけです。
ロジックエンジンは、論理演算検知エンジンとして攻撃のシグネチャーを定義しリスト管理しなくても、攻撃を成立させるコンテキストを複数のルールとして類型化し組み合わせで解読するものです。解読の手法は、構文解析(Semantic)・ふるまい(Heuristic)・比較解析(Comparison)の3つがあります。日本国内でも特許取得済みの技術です。
一方でシグネチャーベースは、攻撃として判断させたいものをシグネチャーとして定義をし、そのリスト管理をする仕組みですので、リストにあれば検知するし、なければ通過させます。シグネチャーを作成する際の対策のタイムリー性やリストが多くなればなるほど遅延などの性能が劣化する管理問題、シグネチャーを定義する側し管理する側の証明できない専門性など、シグネチャーベースのセキュリティにおいては、20年以上も前からその限界について指摘がありました。ですが、攻撃をロジカルに分析させる仕組みを新たに作ることは非常にコストがかかりますので、いまだにシグネチャーベースの製品が多い現状は変わりがないですね。
―ロジックベースは検知精度が高いのでしょうか?
弊社では世界最高の試験評価機関として国際的な権威にもなっているアメリカのTolly Groupと、ネットワークセキュリティの分野で高い専門性を認められているスイスのwizlynx groupに精度の検証を依頼しています。そこで、シグネチャーベースの攻撃検出率が75.7%に対して「Cloudbric WAF+」は89.9%、誤検知率が29%に対して4%という大きな差が出ました。第三者機関の客観的な指標を見ても、検知精度は非常に高いと言えます。
―誤検知が圧倒的に少ないですね。
はい。WAFに限らず、セキュリティ製品を導入したら突然、自分のアクセスが遮断されたりページが見られなくなったりしたという経験があると思います。これがいわゆる誤検知・過剰検知ですが、これに悩んでいるお客様はたくさんいます。そのため、誤検知が少ないというのは弊社の大きな強みですし、これはロジックベースのWAFが、攻撃と攻撃ではないものをいかに区分できているかを証明したものと思います。
―検知精度を上げるために、初期の段階で特別な処理をされているのでしょうか。
「Cloudbric WAF+」は通常のWAFサービスと同じく、お客様がDNSを変更すればすぐに切り替えられます。しかし、導入後すぐに検知・遮断は始めずに、1ヶ月は不正なアクセスのログだけを記録・分析するという「検知モード」で運用します。この段階で誤検知や過剰検知をする部分を洗いだして、「セキュリティ運用ポリシー」を弊社のラボで作成します。これは簡単に言えば、サービス性(サービスの使い勝手)を損ねている箇所をリスト化したものです。
セキュリティ製品を導入する際には、セキュリティとサービス性のバランスを考えることが大切です。このふたつはトレードオフの関係で、セキュリティが高まるとどうしてもサービス性が下がってしまいます。そのため、セキュリティとサービス性のバランスを設定する際の材料をお客様に提供し、ご判断いただいたあとで、ドメイン別にひとつずつカスタマイズして遮断していくという対応を取っているわけです。お客様からは非常に丁寧だと、ご好評いただいています。
―WAFはチューニングや誤検知が大変な印象ですが、基本的にお任せでいいんですね。
はい。そもそも「Cloudbric WAF+」を開発する際に2つのポイントを念頭に置いていたのですが、そのうちの1つは「専門知識がない方でも導入・利用できるサービスを作る」ということでした。
セキュリティ製品を導入する企業様は、必ずしも社内に専門家を抱えているとは限りません。導入したものの調整の仕方がわからなかったり、ログが出てきたときに意味がわからなかったりすることが多いと思います。そのため、「Cloudbric WAF+」では、弊社の専門家が導入後の運用まで丁寧にフォローすることを重視しています。「ログが出てきたらどんなアクションをすべきなのか」など、お客様の判断を仰ぐべきものがあれば内容を整理してセキュリティ運用ポリシーを提案しているため、お客様が納得した上でご導入いただけます。
2つ目のポイントとして、事後対応ではなく事前対応にシフトすることに注力しています。サイバーセキュリティの世界では、お客様から「結局はいたちごっこではないか」とよく言われます。確かにシグネチャーベースのセキュリティ製品の場合は、新たな脆弱性が出てきたあとで攻撃を定義しなおすわけですから、対応が後手に回らざるをえません。しかしロジックベースはサイバー攻撃を可能にする様々なコンテキストを類型化したルールで検知・遮断の対応をするため、ゼロデイ攻撃など事前対応ができるという点でも、高い評価をいただいています。
―セキュリティとはいえ「攻撃側とのいたちごっこ」にならないのは強みですね。
おっしゃる通りです。攻撃側とのいたちごっこをいかに減らせるかは製品選択時の重要なポイントです。また、弊社では24時間365日のセキュリティ監視を行い、不正アクセスと判断される傾向を見せた特定のIPアドレスを、攻撃元IPアドレスとして遮断設定するという先手対応も取っています。内訳も必ず報告しているため、安心感があるという点を導入理由に挙げてもらえることは多いです。
―新しい脆弱性が発見された場合など、継続的な運用は必要でしょうか。
必要です。弊社ではまず、脆弱性をラボで検証して、現状の「Cloudbric WAF+」で対応できるかを確認します。もしカバーしきれないケースが生じたら、ひとまずはシグネチャーを使って緊急対応します。その後、メジャーメンテナンスでエンジン自体を更新して取り入れるという処理を行います。
去年の2021年1月から12月までの一年間弊社のラボで確認したWebアプリケーションの脆弱性は合計617件に上り、そのうち605件に対応済みで98.06%の対応率となります。新種や亜種の脆弱性に対しどう取り組むのかを悩まれているお客様にとっても、安心して使えるサービスかと思います。お客様に対しては、毎週月曜日の18時に「定期レポーティング」として、前の週に確認・検証した脆弱性の対応内容をメールで共有しています。
―サービスとしての持続性も高いのですね。
はい。弊社は現在114カ国70万サイトを観察しているため、膨大な脅威データが集まっています。それを分析するうちに今後の攻撃のトレンドがわかってきますので、それに合わせた事前対応としてロジックを進化させるなどの取り組みができます。また、Cloudbricは今年、サイバー攻撃に立ち向かうための世界的なアライアンスである「CTA(The Cyber Threat Alliance)」にも加盟できました。世界中のセキュリティベンダーから共有されるサイバー脅威データにも基づいた対応ができる体制が整っています。
―どのようなお客様と相性がいいですか?
WAFは、業種と規模を問わないセキュリティ対策なので、日本国内だけでも現在600社以上にご導入いただいています。保護対象のサイト数が多いお客様の利用が目立ちます。
クラウドサービスの場合、様々なお客様と同じインフラ上に載せて保護するのが一般的ですが、「Cloudbric WAF+」はお客様ごとに独立したプラットフォームを提供しています。別途費用が掛からずに、契約時の料金に含まれているため、サイト数が多いお客様でも安心して使えるのです。トラフィックの量も自分たちだけの量に絞られるので、システムとして安定している点もお客様に選ばれる理由になっています。
一方で、コーポレートサイトのみなど小規模で導入されるお客様もいます。一番安いプランで契約した場合も独立環境が提供されますし、導入後のサポートやセキュリティ監視も同じレベルで受けられますから、「プランによって差別されない」ところをご評価いただいています。これまでに述べてきた様々な機能は標準機能なので、その点もご好評いただいています。
―コストメリットが高いのですね。
はい。通常のコーポレートサイトだと保護対象のFQDNが1つ、ピーク時のトラフィックが1Mbpsまでのケースが多いですが、「Cloudbric WAF+」は初期導入費用と月額サービス料金込みで10万円未満に収まります。保護対象が無制限のプランになれば、FQDN数が増えれば増えるほど得です。
また、契約プランを問わずに、セキュリティ運用ポリシーをご検討いただいて、カスタマイズやスケジュールも丁寧に説明してから話を進めます。お客様があまり時間を取られないように、弊社の誘導に沿って進められますので、保護対象が多くても円滑に管理できるはずです。導入前には上層部に諮る必要があるため、説得材料を探すのが大変な印象がありますが、弊社はレポートを提出した上で説明会まで行いますので、「説得しやすい」という点も喜んでいただいています。
―海外製品だと日本向けのサポートが不十分ではないかと心配になる人もいると思いますが、いかがでしょうか?
そういった質問は確かに多いですね。実際、セキュリティ製品を選ぶときには、セキュリティとサービス性のバランスに加えて、導入後にどこまでサポートしてもらえるかが重要です。よく日本のお客様から言われているのがセキュリティの面では海外製品を選びたいけど、サポートが不安で悩んでしまうと。結局サポートが不十分だと、緊急時対応での不安と専門家を社内にアサインしたりアウトソーシングしたりする必要が生じるなど、コストにも跳ね返ってくるからです。
弊社は製品内容だけでなく、サポートの手厚さにも自信があります。日本に進出している海外ベンダーとして日本国内のビジネスはすでに20年近く経っています。この歴史は、国内のお客様向けのサポートも安定の域に達していることの現れと思います。「Cloudbric WAF+」のサポート、文書、UIなど、すべてが日本語化されています。お客様からも「海外製とは思えない」とよく仰っていただけるので、安心してお使いいただけるはずです。
―実際に導入した企業からの反響をお聞かせください。
あるIT企様の事例ですが、脆弱性の対応が他社製品に比べて高品質なことを確認できたと仰っていただけました。シグネチャーベースとは異なり、ロジックベースでカバーするゼロデイ攻撃対策という意味を確認できたそうです。
AWSやAzureのパブリッククラウド提供のWAFから乗り換えた公益法人様の事例もあります。導入前は誤検知や過剰検知を調整しようとしたところ、その検知自体をオフにするしかなく、セキュリティレベル自体を落とさざるをえないという課題があったお客様でした「Cloudbric WAF+」はこうした例外処理を細かい単位で策定し、セキュリティ運用ポリシーを提案しているため、トライアルでご確認いただいてから導入につながりました。
―今後の展望を教えてください。
Cloudbricは「クラウド+ブリック(レンガ)」の造語で、クラウド基盤の防御を意味しています。そのため、複数のレンガを組みあわせてプラットフォーム型のセキュリティを提供するというコンセプトが根底にあります。現在はWAFに限らず、RAS(Remote Access Solution)やADDoS(Advanced DDos Protection)やCDN(Content Delivery Network)など、複数の選択肢があります。
こうしたコンセプトを念頭に、今年の下半期には「ゼロトラストネットワークアクセス」と「SWG(Secure Web Gateway)」をリリースする予定です。現在プラットフォーム化されているサービスのみならず、さらにお客様が選択できるサービスが追加されます。今後もお客様のセキュリティ強化のための統合されたセキュリティ・プラットフォームとして、企業様の課題に合った選択肢を増やしていきます。
| 会社名 | ペンタセキュリティ株式会社 |
| 代表者名 | 陳 貞喜 |
| 所在地 | 〒162-0843 東京都新宿区市ヶ谷田町3-8 市ヶ谷科学技術イノベーションセンタービル12F |
記事をシェア
全体評価
★★★★★ 5
使いやすさ ★★★★★
業務貢献度 ★★★★★
機能への満足度 ★★★★★
はじめやすさ ★★★★★
価格の妥当性 ★★★★★
投稿日:2023/12/05
全体評価
★★★★★ 5.0
使いやすさ ★★★★★
業務貢献度 ★★★★★
機能への満足度 ★★★★★
はじめやすさ ★★★★★
価格の妥当性 ★★★★★
サイバー攻撃が増えていると、IPAの情報セキュリティ白書などで確認していたので、英語サイトも運用しているWebサーバーを守る必要性を感じ、導入しました。WAFが有効の認識はありましたが、ルール運用は通常業務の片手間ではできないので、このサービスを導入しました。 管理画面で具体的な攻撃数や攻撃対象のファイルなどが確認できるので、WAFで防いだ後から対策を実施したりと活躍しています。
・低予算で導入できる ・WAFのルールを自動的に更新してくれる ・管理画面で攻撃内容が一覧できる ・設定が簡単 ・設定後の運用は、おまかせでOK!
セキュリティに強いパートナー企業に導入してもらい、運用するのが良い導入方法だと思われるが、弊社都合で直接導入したため、AWS側の設定などが面倒だった。ただその設定も提供いただいたマニュアルを見ながら導入できたので、簡単に設定できた。 初心者には専門用語が多いので、多少の勉強は必要です。
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
