札幌学院大学~Barracuda WAF導入事例
Barracuda WAFの採用により、攻撃の「見える化」ログの一括監視を実現。
お客様情報
学校名:学校法人 札幌学院大学
設立:1968年4月
学生数:3,600名(2012年5月現在)
- 学校概要
- 大正10年、札幌学院の原点となる札幌文化専門学院を創立。「自立」「人権」「共生」「協同」の理念のもと、豊かな人間性と専門的な応用力を兼ね備えた人材の育成、広く人類社会の福祉に献身し、特に北海道の産業と文化並びに福祉の発展に貢献することを創立以来の使命とする
攻撃の「見える化」ログの一括監視を実現
札幌学院大学様は、かつてはシステムパッケージソフトを導入して運用していたが、5年ほど前からWebメールシステム、Web CMS、WordPressなど、オープンソースを積極的に導入する機会が増えてきた。オープンソースでは入手できる情報が非常に多い反面、セキュリティ面で適切に配慮を行う必要もあるため、常に不安材料を抱えていた。また、外部公開サーバは、電子計算機センターで管理するシステムだけではなく、各研究室からのリクエストに応じ、グローバルIPアドレスを割り当て、公開するサーバ群もあり、そういったアプリケーションに対してセキュリティを担保できないといった事情もあった。
WordPress に対する攻撃を防御
札幌学院大学様の電子計算機センターでシステム管理は、2名と限られたリソースの中で、運用からセキュリティへの配慮まですべてをこなすことは限界があった。また、ネットワークファイアウォールでは、ポート80、443のWeb通信を許可せざるを得ないが、その通信上で実施される攻撃をどのように防御するかが、懸念点のひとつであったという。 実際、各サーバのログは日々確認するようにしていたが、日常的にWordPress に実在するURLに攻撃のパラメータを付与してリクエストを投げ、セキュリティの「穴」を探しに来る、攻撃とおぼしき通信が確認されていた。
個人情報の保護
大学のWebシステムでは、データベースサーバと連携し、個人情報を収集するシステムが意外に多く存在する。例えば、札幌学院大学様では、志願する高校生を対象にオープンキャンパスを実施しているが、道内の各主要都市からキャンパスまで無料バスを運行している。そのバス予約フォームは、Webフォームに参加希望日、連絡先などの個人情報を入力してもらい、バックエンドのMySQLで情報を蓄積している。当然、データベースの管理画面は、外部からアクセスできないようにACLに配慮しているが、Webアプリに対して攻撃されてしまうと、データ流出の危険もある。また脆弱性検査は定期的に実施しているが、Webアプリは対象にしていなかったので、WAFによって、SQLインジェクションなどの攻撃を防御できることは、システム全体の信頼性を高めることにつながる。
わかりやすい日本語GUIと導入支援
バラクーダネットワークスの一次代理店から提案されたBarracuda Web Application Firewallだが、札幌学院大学様では、2007年からBarracuda Spam & Virus Firewallを導入しており、さらに2013年2月には、仮想アプライアンスを導入したことにより、Barracuda Web Application Firewall仮想アプライアンスの採用にも大きな抵抗はなかった。使い慣れたBarracuda Spam & Virus Firewallと同じデザインの管理画面で、さらに日本語化対応されていることもあり、初期設定はすべて同校で実施することができた。 Webアプリで誤検知が起こらないようにフィットチューニングするには、セキュリティのノウハウが必要になるため、一次代理店が主催する年間数百件以上の脆弱性検査で培ったWebセキュリティの経験を元にしたチューニング講習会を受講した。これにより必要な知識を身に付けることができ、運用もすぐに開始することができたという。また懸念していた誤検知に関しても、ログから簡単に除外設定できるのも運用に乗せやすい利点であった。
攻撃の見える化
Barracuda Web Application Firewall 導入前は、日次で公開サーバのログを確認して、攻撃とおぼしき通信を確認していたが、導入後はログを確認するだけで、どんな攻撃が来ているのか、明確に「見える化」できたことによる安心感は大きい。さらに、従来は、ログが各サーバに分散していたため、管理負荷が大きかったが、WAFを経由する通信は、攻撃、アクセスログともにWAFのGUIで一括監視できるので、予想していなかったメリットを享受できたという。
負荷分散機能に期待
今回はワンアーム構成で導入したが、今後の保護対象サーバの拡張を考慮した構成だという。「Barracuda Web Application Firewallには、保護対象サーバを対象とした負荷分散が標準装備※2されているので、それらの機能も有効活用しながら、順次保護対象サーバを追加したい」と札幌学院大学電気計算センターの原田寛之氏は語る。※2 モデル460以上に標準搭載
導入製品
Barracuda Web Application Firewall
ハッカーからの攻撃をブロックし、顧客情報流出を阻止するWAFの 決定版。
2007年から9年連続、国内販売台数シェアNo.1の実績(※)
※(富士キメラ総研調べ)