豚肉の情報リスト

庶民の印象との電話代行の素晴らしさ

庶民が普段の印象を覚えている場合を考えてみましょう。ほとんどが、イメージの部分かもしれません。それでも、神のえこひいきされるのはとてもうれしいことです。電話代行の役割も非常に大きいと私は思っています。電話代行の素晴らしさを多くの企業の担当者に知らせてね。企業のイメージにもつながる。
職場での宅配便ピックアップをよく使用しますが、時間帯によるかもしれないが、コールセンターに接続されても私を出迎え依頼の電話を取ってくれる人がいます。もちろん会ったことも顔も見たことがないが、数分の電話は常により多くのコールセンターの電話を持ってくれるとやたらに親しみが湧いてきます。声を聞くとなんだか元気が出てきます。
　シトリックス・システムズ・ジャパン（以下、シトリックス）は、アプリケーションデリバリーコントローラー製品「Citrix NetScaler」（以下、NetScaler）をベースとしたWAF製品「Citrix NetScaler Application Firewall」（以下、NAF）を提供している。

　NetScalerは、Webアプリケーションの配信を高速化するアプライアンス製品であり、強力なレイヤー7（L7）スイッチング機能を特徴としている。WAF機能のみを提供するNAFに加えて、WAF機能が統合されたNetScalerを利用することで、Webサイトの運営者はWebサイトの運用・保護に必要な機能を統合的に実現できるという。

　現在、こうしたL7スイッチングやロードバランシングとWAFの機能を1つのアプライアンスに統合していこうという動きが強まりつつある。シトリックスはこうしたトレンドをいち早く実現し、既に豊富な実績を積んでいることで市場をリードする存在となっている。

　実際に同社では、NetScalerによるアプリケーションデリバリコントロール／L7スイッチングの機能とWAFによるセキュリティが統合されている点が評価される機会が増えているという。L7スイッチングで設定したアクセスポリシーとWAF設定が連動することで運用管理が統合的に行え、一貫したポリシーを適用可能としている。

●ホワイトリスト型を基本としたWAF機能

　では、WAF機能について見ていこう。同社のWAFは、2005年に買収したTeros（テロス）の製品がベースとなっている。単体のWAF製品だったものを、買収後の製品開発の過程でNetScalerのOS上の機能として融合した。

　仕組みとしては、「ポジティブセキュリティモデル」に基づくホワイトリスト型の防御を基本としている。サーバからの応答を精査し、自動的にホワイトリストに追加する自動学習機能が実装されており、「初期設定さえしておけば、後はリアルタイムで自動的に『防御しながら、必要なトラフィックは通過させる』ことが可能になる」（同社 マーケティング本部 シニアプロダクトマーケティングマネジャー 的場謙一郎氏）という。さらに、同社ではサードパーティーとの連携ソリューションの提案にも力を入れており、ブラックリスト型の防御に関してもサードパーティーソリューションとの連携で実現できるとしている。

　その他同社のWAFには、XSS（クロスサイトスクリプティング）やSQLインジェクション、CSRF（クロスサイトリクエストフォージェリ）、強制ブラウズといった攻撃手法に対応する機能が盛り込まれている。さらに、最近利用が増大しているというXMLにも対応する。

　「いわゆる“Web 2.0系サービス”では、データフォーマットとしてXMLが活用される例が増えており、WebサーバとWebブラウザ間でXMLがやりとりされることが珍しくなくなっている。そのことから、XMLデータを解析できないと適切な防御が実現できなくなりつつあることが背景にある。NAFでは、XMLデータのフォーマットチェックなど、さまざまな手法を駆使してWebアプリケーションの動作に有害なXMLデータを検出したり、あるいはXMLデータの形で外部に機密情報が送出されるといった事故を防ぐ双方向の防御を実現している」（的場氏）

●ソフトウェア＋アプライアンス

　提供形態は2種類ある。前述した通り、WAF機能を統合したNetScalerアプライアンスの形態と、WAF機能のみのアプライアンスの形態だ。この提供形態は、ライセンスによってソフトウェア的に機能を有効化／無効化することで実現している。

　同社では、こうしたソフトウェア的なライセンス制御を活用した“Pay-As-You-Grow”と呼ぶ提供形態も用意している。これは、ハードウェア性能に余裕を持たせた上位機をエントリーモデルの価格で販売するというものだ。ユーザーが選択したライセンスに応じて処理性能の上限をソフトウェア的に制限し、ライセンスの購入に応じて上限設定を変更する。これにより、初期導入コストを抑制すると同時に将来的な性能拡張の余地を確保するという。

　NetScalerは、企業規模に合わせて3種類のエディション「Standard Edition」「Platinum Edition」「Enterprise Edition」が用意されている。WAF機能はStandard Editionでは利用できないが、Platinum Editionで標準提供、Enterprise Editionでオプション提供される。

　また、NetScalerには各種の仮想化プラットフォームに対応した仮想化アプライアンスとして「NetScaler VPX」が提供されており、ここでもWAF機能が利用可能となっている。ただし、WAF機能単独での仮想化アプライアンスは提供されていないので、仮想化アプライアンスとしてWAF機能を導入したい場合はNetScaler VPXを導入する形になる。

　WAF単体製品は、NetScalerのローエンドからミッドレンジのプラットフォームで提供されている。大規模向けにより大きな処理性能が必要な場合などでは、ハイエンドのNetScalerでWAF機能を使う、という形になる。

●導入前の検証にも対応

　NetScaler VPXには、90日間無償で利用可能なPlatinum Editionのライセンスが提供されている。前述のようにNetScaler VPXはハイパーバイザー上で動作する仮想アプライアンスであり、導入前の検討／検証が容易になった点も見逃せないポイントだ。導入前に保護レベルを実環境で確認したり、あるいはポリシーの設定方法を実地に確認したりといった作業が行える他、運用管理担当者が作業手順を事前に学ぶなどの導入準備にも使える。

　最近公表されたユーザー事例では、ニコンが運営する画像共有・保存サービスである「Nikon my Picturetown」でNetScaler Platinum Editionが採用されたという。ユーザーの写真データを保存していることからWAF機能による不正アクセスの防止、それに加えてL7での負荷分散にも対応し、パフォーマンスも高い点が評価されたようだ。また、全世界での導入事例が豊富に紹介されており、実績が確認できる点も高評価につながったとされている。

　L4／L7スイッチとWAFを統合する、というアプローチは今後WAFの主流になるとの予測が各所から聞こえてくるようになってきたが、同社はこの手法の実現にいち早く取り組み、市場をリードしてきた存在である。既に3年以上の経験と実績があり、「最近になって同様のアプローチを開始した競合他社と比べても統合のレベルは遙かに高い」（的場氏）との自負を見せる。

　L4までのレベルだと、運用管理はネットワーク管理者ということになるが、L7になるとアプリケーションやサーバの管理者が扱う領域となり、従来とはアプローチも変わってくる。Webアプリケーションの保護に関しても、アプリケーション内部での処理の仕方も含めたより上位レベルでの対応が必要となってくるが、一方でWebアプリケーション開発者のセキュリティ対応のための負担が重くなりすぎて、アプリケーション開発のペースが落ちてしまう懸念もある。

　高度な保護を提供できるWAF製品は、Webアプリケーション開発者が本来の業務であるアプリケーション開発／サービス開発に専念できる環境を提供する上でも極めて重要な役割を果たす製品だといえる。セキュリティに加えて、アクセスパフォーマンスも最適化し、ユーザー体験を大幅に改善できるL7スイッチとWAFの組み合わせは、Webアプリケーション開発者にとってはまさに待ち望んでいたソリューションではないだろうか。京都のナレーションチェック

※関連記事：「9割以上が業務中にも利用」　Twitter、Facebook中毒者の実態
→http://techtarget.itmedia.co.jp/tt/news/1102/21/news02.html