こうしたWAFの課題を解決するSaaS型のサービスが、今回紹介するセキュアスカイ・テクノロジー（以下、SST）のScutumである。もともとSSTはWebサイトのセキュリティ診断やコンサルティングを生業としているが、「Webアプリケーションごとのセキュリティ診断は工数もかかりますし、料金的にも高いので、払える企業は限られてきます」（SST副社長 若林 進二郎氏）というのが現状。そのためWAFのような仕組みを手軽に提供したいと考えたのが、このScutumとのこと。ちなみにScutumとは古代ローマの盾のことで、名付け親はJPCERTコーディネーションセンター代表理事で、同社の非常勤取締役である歌代 和正氏だとか。

Scutumで防げる攻撃は、SQLインジェクションをはじめとする不正なコマンドの実行や、ディレクトリやパスのトラバーサル、クライアント側からXSS、不正な認証や総当たりなど。もちろん専用機に比べれば精度は落ちるが、「被害が甚大なSQLインジェクション系は90％以上止められますし、OWASP (Open Web Application Security Project）が発表しているトップ10の脆弱性や攻撃にも対応しています」（若林氏）と検出精度をアピールする。SSTも、もともとWebサイトのセキュリティ診断が本業なので、脆弱性の発見や攻撃の解析はお手の物で、スピーディにシグネチャに反映される。

Guardianは攻撃パターンをシグネチャとして登録しておき、これをトラフィックとマッチングさせるブラックリスト方式を採用している。これに対して、あらかじめ許可するトラフィックを定義するホワイトリストという方式もあり、実際商用WAFの一部の機種で採用しているが、「作り始めた5年くらい前から、ブラックリスト方式以外ありえないと思っていました。日本語を入力する問い合わせフォームとか、ホワイトリストで定義できない項目が普通にあるんです。また、Webサイトの全ページの全遷移をWAFに教え込ませるにはサイト全体を把握しないといけませんし、しかも一部でも改修し直したら、また登録し直す必要があります」と一蹴する。若林氏も「確かにホワイトリストは理想なんですが、弊社でも過去に何台も検証していて、3カ月かかっても本格運用に至らないケースもありましたね」と過去の経験からホワイトリスト方式に異論を唱える。