kanatokoさん登場！！！！ScutumはGuardianベースとのこと。

Webセキュリティ企業のセキュアスカイ・テクノロジー（SST）は、オープンソースのWAF「Guardian」をベースにWAFの機能をオンラインで安価に提供する国内初（同社調べ）のサービス「Scutum」を6月に始めた。Scutumの開発を手がける「金床」こと、SST技術顧問の佐藤匡氏（以下、金床氏）、副社長の若林進二郎氏に同サービスの狙いと特徴を聞いた。

オープンソース由来の国産WAFにかける意気込み (1/2) - ITmedia エンタープライズ

このコンセプトｗｗｗｗ！でも、８０％を落としておけば殆ど落ちる。確かにその通りだ。WAFを使いこなすのではなく、WAFを利用するか。

経営者が謝罪しなく済むように

WAFにはソフトウェアベースやアプライアンスベースなどの形態があるが、パッケージ製品としての価格は一般的に数百万〜1000万円以上になる。また、Webの脆弱性を突く攻撃を的確に防ぐためにはホワイトリストやブラックリストなどの調整が必要になるが、人的リソースに限りのある企業では思うように作業できないことも多い。
Scutumの目的について、若林氏は「限られたリソースの企業にとって、メインのビジネスに使うシステムを運用しながらWAFも同時に使いこなすというのは非常に難しい。WAFという言葉を知らない企業でも安心して利用できる仕組みを実現したかった」と説明する。
また金床氏は、「データベースへのハッキングなどで情報が漏えいしてしまえば、会社のトップが謝罪し、会社の信用も失墜してしまう。WAFというワンクッションの機能を用意するだけで、会社がこうしたリスクを回避できるようにしたいと考え続けていた」と話している。

オープンソース由来の国産WAFにかける意気込み (1/2) - ITmedia エンタープライズ

kanatokoさんが、攻撃者視点を理解したとき。

金床氏は現在も取締役を務めるビットフォレストでシステム全般を担当していた。「ApacheやOpenSSLといったWeb関連システムの脆弱性が相次いで見つかった2000年代初頭は、パッチ適用のために検証や設定変更などに日々追われ、寝る間もないほど大変だった。対応していく中で攻撃の特徴をある程度は見分けられるようになり、攻撃を事前に自動検出できる仕組みを自社用に開発した。その仕組みを一般にも役立ててもらうためにGuardianとして公開した」と、金床氏は経緯を話す。

オープンソース由来の国産WAFにかける意気込み (1/2) - ITmedia エンタープライズ

「Webサーバなどの運用を毎日担当している人には常識だが、修正パッチが公開されたからといって簡単に適用できるものではなく、設定変更やそれに伴うサービスへの影響を検証するだけでも大変な手間になる。出来ればWAFのような仕組みを追加するだけで、こうした負担を幾らかでも軽減したいと思う」（金床氏）

オープンソース由来の国産WAFにかける意気込み (1/2) - ITmedia エンタープライズ

サービスを利用するには、事前にサイトのトラフィック量などを調査するが、問題がなければDNSレコードをSSTのデータセンターに変更するだけで良い。データセンターのScutumのシステムがWebシステムに対する不正な通信を遮断する仕組みで、正常な通信だけをユーザー企業に転送する。不正通信のブラックリストのチューニングや問題対応はSSTが行う。
なお、Webサイトを運営している場合にはサイト解析などを導入している場合も多い。Webサーバのアクセスログで解析している場合にはScutumを経由することでIPアドレスが変更してしまうため、同社が一定期間ごとに元のIPアドレス情報をユーザー企業に提供するが、JavaScriptを利用するベンダーサービスなどの場合には影響しない。

オープンソース由来の国産WAFにかける意気込み (2/2) - ITmedia エンタープライズ