フォーティネット、ミッドレンジ/ハイエンドのWAFアプライアンスを拡充

改ざん検知や脆弱性診断機能を提供する新OSも


FortiWeb-3000C

 フォーティネットジャパン株式会社(フォーティネット)は9日、Webアプリケーションファイアウォール(WAF)アプライアンス「FortiWebシリーズ」の新製品を発表した。ミッドレンジモデル「FortiWeb-1000C」とハイエンドモデル「FortiWeb-3000C」をラインアップに追加するほか、既存製品を含むFortiWebシリーズ向けに新OS「FortiWeb 4.0 MR1」を新たに提供。総合的なWebセキュリティに位置付けて展開するという。

 FortiWebシリーズは、Webアプリケーションを保護するWAFアプライアンス。クロスサイトスクリプティング、SQLインジェクション、クロスサイト・リクエスト・フォージェリ(CSRF)などの攻撃からWebアプリケーションを防御でき、IPAに届け出のあったWebサイトの脆弱性に当てはめると、全体の80%をWAF利用によって守ることが可能という。

 新モデルは、最大100Mbpsスループットの従来モデル「FortiWeb-400B」の上位に位置付けられ、ForiWeb-1000Cでは最大500Mbps、ForiWeb-3000Cでは最大1Gbpsのスループット性能を備えている。また、故障時にアプライアンスをバイパスする機能、SSLアクセラレータ機能を備えるほか、ForiWeb-3000Cでは電源の二重化にも対応。内蔵ストレージもそれぞれ1TB(最大2TB)、2TB(最大6TB)までの拡張が可能だ。

 価格は、ForiWeb-1000Cが615万4000円、ForiWeb-3000Cが1231万円。

 一方、新ファームウェアでは、Webアプリケーションの診断や改ざん検知・自動復旧機能が追加され、「単なるWAFを超え、診断、防御、復旧を1台で賄えるWebセキュリティソリューションになった」(同社)点が最大の特徴。

 改ざん検知機能では、Webサーバーのコンテンツに変更が加えられた場合に、あらかじめ取得しておいたWebサーバーの正規ファイルのスナップショットを用いて、自動的に復旧することができる。これによって、Gumblarなどによる不正なWeb改ざんがなされた際でも、効果的に対応を行えるという。

 もう1つの診断機能は、WebサーバーやWebアプリケーションをスキャンし、基本的な脆弱性を検知するもの。PCI DSSでは、システムの定期診断が義務づけられているが、この機能を利用すれば、この要件をきちんと満たせるとのことで、診断結果はサマリレポートとしてユーザーに提示され、過去のログを含めてすべてを確認することもできる。

 また、従来は個別に設定する必要のあった導入時の設定をまとめ、ウィザード形式で容易に設定できるようになったほか、セキュリティをサービスとして提供するMSSP(マネージドセキュリティサービスプロバイダ)向けには、個々のMSSPが独自の運用ノウハウを組み込み、カスタムシグネチャとして活用できる機能を用意し、事業者が自社の強みをより発揮しやすいようにした。

 この背景には、特に日本の企業が、複雑なセキュリティ管理をサービスとして提供してもらいたい、という潜在ニーズを持っていることが挙げられる。フォーティネットではそのため、まずはMSSPの顧客を開拓し、その上でFortiWebの活用を広げていきたい考え。MSSP以外では、ホスティングプロバイダ、eコマースサイト、情報発信サイトなどを狙っていくとしている。

関連情報