フォーティネット、ミッドレンジ/ハイエンドのWAFアプライアンスを拡充

FortiWeb-3000C

　フォーティネットジャパン株式会社（フォーティネット）は9日、Webアプリケーションファイアウォール（WAF）アプライアンス「FortiWebシリーズ」の新製品を発表した。ミッドレンジモデル「FortiWeb-1000C」とハイエンドモデル「FortiWeb-3000C」をラインアップに追加するほか、既存製品を含むFortiWebシリーズ向けに新OS「FortiWeb 4.0 MR1」を新たに提供。総合的なWebセキュリティに位置付けて展開するという。

　FortiWebシリーズは、Webアプリケーションを保護するWAFアプライアンス。クロスサイトスクリプティング、SQLインジェクション、クロスサイト・リクエスト・フォージェリ（CSRF）などの攻撃からWebアプリケーションを防御でき、IPAに届け出のあったWebサイトの脆弱性に当てはめると、全体の80％をWAF利用によって守ることが可能という。

　新モデルは、最大100Mbpsスループットの従来モデル「FortiWeb-400B」の上位に位置付けられ、ForiWeb-1000Cでは最大500Mbps、ForiWeb-3000Cでは最大1Gbpsのスループット性能を備えている。また、故障時にアプライアンスをバイパスする機能、SSLアクセラレータ機能を備えるほか、ForiWeb-3000Cでは電源の二重化にも対応。内蔵ストレージもそれぞれ1TB（最大2TB）、2TB（最大6TB）までの拡張が可能だ。

　価格は、ForiWeb-1000Cが615万4000円、ForiWeb-3000Cが1231万円。

　一方、新ファームウェアでは、Webアプリケーションの診断や改ざん検知・自動復旧機能が追加され、「単なるWAFを超え、診断、防御、復旧を1台で賄えるWebセキュリティソリューションになった」（同社）点が最大の特徴。

　改ざん検知機能では、Webサーバーのコンテンツに変更が加えられた場合に、あらかじめ取得しておいたWebサーバーの正規ファイルのスナップショットを用いて、自動的に復旧することができる。これによって、Gumblarなどによる不正なWeb改ざんがなされた際でも、効果的に対応を行えるという。

　もう1つの診断機能は、WebサーバーやWebアプリケーションをスキャンし、基本的な脆弱性を検知するもの。PCI DSSでは、システムの定期診断が義務づけられているが、この機能を利用すれば、この要件をきちんと満たせるとのことで、診断結果はサマリレポートとしてユーザーに提示され、過去のログを含めてすべてを確認することもできる。

　また、従来は個別に設定する必要のあった導入時の設定をまとめ、ウィザード形式で容易に設定できるようになったほか、セキュリティをサービスとして提供するMSSP（マネージドセキュリティサービスプロバイダ）向けには、個々のMSSPが独自の運用ノウハウを組み込み、カスタムシグネチャとして活用できる機能を用意し、事業者が自社の強みをより発揮しやすいようにした。

　この背景には、特に日本の企業が、複雑なセキュリティ管理をサービスとして提供してもらいたい、という潜在ニーズを持っていることが挙げられる。フォーティネットではそのため、まずはMSSPの顧客を開拓し、その上でFortiWebの活用を広げていきたい考え。MSSP以外では、ホスティングプロバイダ、eコマースサイト、情報発信サイトなどを狙っていくとしている。