コラム

日本初の「Docker型クラウドWAF・GUARDIAX(ガーディアックス)」へ込めた想い

日本初の「Docker型クラウドWAF・GUARDIAX(ガーディアックス)」へ込めた想い

トップインタビュー
株式会社グレスアベイル 代表取締役社長 CEO 澤井 祐史 × 取締役CTO 根岸 寛徳

2019年末、グレスアベイルが提供を開始した「GUARDIAX(ガーディアックス)」は、日本で初めて、Dockerコンテナを採用したマルチクラウド対応のWAF(※1)サービス。
Webサイトへの攻撃から身を守ることは当然ながら、不正侵入を検知・防止するIDS(※2)やIPS(※3)など高度なセキュリティ技術で様々な対策機能を実現している。

この次世代型クラウドWAF「GUARDIAX」について、開発者である代表取締役社長 CEO 澤井祐史と取締役 CTO 根岸寛徳がその特徴や強み、さらには今後のセキュリティ業界について語った。

※WAF=Web Application Firewall
ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策。
※IDS=Intrusion Detection System
不正侵入検知システムのこと。不正な通信やホストへの侵入、ファイルの改ざんなど、不正侵入や攻撃を検出するシステムで、検出をした際に、管理者へ通知を行う。主にネットワーク監視型とサーバ監視型がある。
※IPS=Intrusion Prevention System
不正侵入防止システムのこと。ネットワーク経由の不正アクセス防御を行うシステム。IDSも外部からの不正攻撃を検出する点において似ているシステムではあるが、IDSは、不正アクセスの検知や通知まで、IPSは、不正アクセスの侵入遮断なども行う。主にネットワーク上に設置するネットワーク型と、サーバにインストールするホスト型がある。

まずは、自己紹介がてら創業から現在に至るまでの簡単な経緯を教えてください。

CEO:澤井
創業に至ったのは、セキュリティソリューションの開発に必要な優秀な日本人エンジニアたちが集まってくれたことが一番大きな理由です。
セキュリティソリューションの開発は非常に広範囲な知識が求められます。例えば、Webアプリケーションはプラットフォーム側の知識がなくても開発できますが、昨今のようにサイバー攻撃が多様化している状況においては、アプリケーション層を狙った攻撃や、ネットワーク層や物理層を標的にするケースも増えてきました。
防御側としては特定層に特化した知識だけでは物足りなく、OSI(※)参照層すべてに詳しくなくてはなりません。

ご承知のとおりセキュリティソリューション市場は海外ベンダーが牽引していますが、私は、日本人のエンジニアはとても優秀だと思っています。創業以前に携わったとある案件では、インドや欧米のエンジニアとコミュニケーションを取る機会が多くありました。当然優秀な方もおられましたが、外国人エンジニアと比較して日本人が見劣りすることは一切なく、むしろ日本人エンジニアのほうが優れた結果を出す場面が多々ありました。

優秀な日本人エンジニアを信じることで、海外製ソリューションと競い合えるとの確信から起業を決意しました。

※OSI(Open Systems Interconnection)とは開放型システム相互接続の略。通信規格の標準化を図るための規格。77年に国際標準化機構(ISO)により制定された異なる機種間でのデータ通信を実現するための設計方針。

CTO:根岸
私は創業から3年目の2017年からグレスアベイルに参加しています。当時は別の企業でSIer(システムインテグレーター)を務めていましたが、プロダクト開発や自社サービス開発に向いていると感じました。一般的にSIerは24時間365日で客先の保守を担うこともありますが、顧客対応よりもIT技術に強い関心を持っていたことから参加に至った次第です。

自社の強みについてはどう考えていますか?

CEO:澤井
弊社はセキュリティ製品開発とは別に、脆弱性診断などのセキュリティコンサル、セキュリティアセスメントも手掛けています。その知見を製品開発に生かせるのは、他のセキュリティベンダーと大きく違う点です。
当然ながら製品開発部門のメンバーも最新の技術動向を把握するように努めていますが、お客様先でどのような脆弱性が発生しているのか「生のセキュリティ状況」を把握できるのは大きいですね。

CTO:根岸
まず強みとして挙げたいのは、国内ベンダーであるという点です。海外製セキュリティソリューションは、日本のビジネスにマッチしないケースも少なくありません。
たとえば、お客様と直接お話させていただいた際、WAFの導入効果を上司から問われるため、「レポーティング機能が欲しい」とリクエストを頂戴することがありました。指定月の攻撃件数や種類を報告する機能を実装しています。お客様からはご好評をいただきましたが、海外製セキュリティソリューションでは、顧客が必要とする需要に応えられないことも少なくありません。こういった日本のビジネス慣習に即した細かい製品開発ができるのが当社の強みといえます。

先日から提供を開始した次世代クラウド型WAFサービス「GUARDIAX」の概要をお聞かせください。

CEO:澤井
昨今はクラウドファースト時代と呼ばれていますが、GUARDIAXはクラウドに最適化したWebセキュリティを総合的に保護できるソリューションを目指して開発してきました。
主な特徴はクラウドネイティブとマルチクラウド対応。従来型のクラウドWAFはクラウドネイティブに開発しておらず、SaaSベンダーが用意したクラウドを経由してWebサイトにアクセスするため、遅延が発生しかねません。つまり、お客様側のクラウドに直接導入することができませんでした。さらにオートスケールなどクラウド環境の利点を生かせないケースや、クラウド上に構築した大規模なシステム構築に対応するセキュリティ製品も多くありません。

GUARDIAXはDockerコンテナ(※)を採用することで、従来のクラウドWAFが抱える課題を解決しています。

Dockerコンテナはお客様が選択したクラウドベンダーの横で動作するため、インストールも容易でアクセス遅延も発生しません。また、従来型クラウドWAFはサービスベンダー側のクラウドを経由し、お客様側の割り当てサーバーにトラフィックが到達しますが、Dockerコンテナはクラウドの内部トラフィックを経由するため、通信コストの問題も改善します。

※Dockerコンテナ:「軽量でシンプル」「デプロイが簡単」「クラウドと相性良い」といったメリットがあり、多様なOSやミドルウェア、アプリケーションにおいて、様々な環境を創ることができる。

GUARDIAX(ガーディアックス)について
詳しくはこちら

開発にはどの程度の期間を要したのでしょうか。また、ご苦労などがありましたらお聞かせください。

CTO:根岸
2019年当初からGUARDIAXの開発に着手し、ベータ版が9〜10月に完成。11月末に正式リリースですので、ほぼ半年強で完成させました。開発スピードはかなり速かったと思います。

CEO:澤井
根岸からは述べにくいので私からフォローしますと、エンジニアが優秀な点が大きいですね。通常のエンジニアが1〜2週間かかるところを、2〜3日で仕上げるメンバーも少なくありません。話は重複しますが、インフラは詳しくてもアプリケーション開発は未経験、もしくはその逆のケースも珍しくありません。すると、開発陣の中でコミュニケーションコストが発生し、開発遅延につながるケースを目にしてきました。だが、我々のエンジニアチームはコミュニケーションコストも発生せず、スムーズに開発が進みました。私もGUARDIAXのアーキテクチャーや基本設計部分に関わっていますが、全体構想や技術要素は根岸が担当しています。

CTO:根岸
苦労した点は、Dockerコンテナ型WAFをゼロから作り上げたところでしょうか。他社製ソリューションも類似したアーキテクチャーで開発していることは認識していますが、Dockerコンテナ型WAFは先駆者が存在しません。
そのような状況で手探りしながら開発しました。ただ、澤井が申し上げたとおり、インフラからアプリケーションまで知見を持ったエンジニアがそろっていましたので、皆で協議しながら完成に至りました。最終的にGUARDIAX開発に携わったメンバーは10名程度ですが、その半分は他のプロジェクトを兼任していましたので、実質的には5人程度ですね。

GUARDIAXはDockerコンテナ版とSaaS版を提供しています。その理由をお聞かせください。

CTO:根岸
Dockerコンテナ版は大規模なシステムのセキュリティ保護にマッチしている製品です。一方でネットワーク遅延を気になさらないお客様なら、SaaS型のメリットを生かすべきではないか、との観点からSaaS版GUARDIAXも開発しました。

CEO:澤井
内部的なソフトウェアはDockerコンテナ版もSaaS版も同じです。SaaS版は我々が用意したクラウドでDockerコンテナ版が動作し、クラウドサービスして提供しています。お客様側の環境にDockerコンテナを配布するか、サービスとして利用させるかの違いですね。可用性を見ても従来型のクラウドWAFよりも大きくなります。SaaS版は帯域によって価格は異なりますが、1番安価なものは月額1万円から。Dockerコンテナ版はFQDN単位となりますが、価格は応相談です。

ISMS(情報セキュリティマネジメントシステム)やPCI DSS(Payment Card Industry Data Security Standard)準拠を目的としたWAFソリューションはすでに複数存在します。改めて「GUARDIAX」のアドバンテージをお聞かせください。

CEO:澤井
繰り返しになってしまいますが、Dockerコンテナとして配布可能な設計・開発は日本初だと自負しております。クラウドネイティブを生かせることが最大の強みです。

CTO:根岸
WAFソリューションは枚挙に暇がありません。ただ、WAFはサイバー攻撃以外ではないトラフィックの誤検知がお客様の課題となっています。GUARDIAXは「実攻撃でなければ止めない」ようにシグネチャをゼロから見直し、開発段階では弊社取締役でもある徳丸(グレスアベイル 取締役 兼 EGセキュアソリューションズ 代表取締役 徳丸浩氏)と綿密に打ち合わせて、検証を重ねました。GUARDIAXはお客様が1番使いやすいWAFになっています。

CEO:澤井
イー・ガーディアングループに参画した最大のメリットは、業界では有名な「あの徳丸さん」と連携可能になった点です。国内でもWebセキュリティに関する第一人者ですので、彼の知見や技術情報を取り入れさせていただき、我々の開発力を組み合わせることで、最大限の効果が発揮できると考えています。

ちなみに、「GUARDIAX」という名称の由来は?

CEO:澤井
社内で100案ほど出し合った後、3〜4案に絞り込み、最終的に皆で決めました。サイバー攻撃にガード力を最大限発揮する意味の「Guard」とマックス(Max)の「AX」を掛け合わせています。ちなみに最初が「G」、最後がマックスですので、「グレスアベイルをマックスにする」思いも込めました。

GUARDIAX(ガーディアックス)について
詳しくはこちら

グレスアベイルのWebサイトには、「ITセキュリティは『所有』から『サービス利用』へ」の一文を掲載しています。文言の意図と、御社が掲げるIT市場への展望や戦略をお聞かせください。

CTO:根岸
この10年でクラウドは大きく進化しました。AWSならS3(Simple Storage Service)、EC2(Elastic Compute Cloud)から始まった機能群も多岐にわたり、その1つ1つがAWSのサービスとして提供されています。テクニカルなエンジニアたちは、「可能な限りサービスとして使う」ようになりました。オンプレミス時代ならOSをインストールし、その上にミドルウェアを用意してアプリケーション開発に挑みます。しかし、現在はOSもミドルウェアもAWSが用意する「サーバーレス化」が進み、エンジニアがサービスとして使う流れが生まれました。我々がセキュリティ面で提供できるのは、クラウドにマッチしたソリューション。今後はKubernetes(クバネティス)(※)を使ってクラウドを最大限に利用できるセキュリティソリューションを開発していきます。

もう1つはITに詳しくない方々でも、セキュリティソリューションを使いこなせるアプローチでしょうか。たとえば攻撃パケットに関する文字列を正規表現で抽出するような場面は少なくありませんが、実際には専門的な知識や技術が欠かせません。我々のセキュリティソリューションは、同様の操作をGUIで実現するような製品を目指しています。セキュリティソリューションの操作も容易でなければなりません。

※Kubernetes(クーべネティス):コンテナ化したアプリケーションのデプロイ、スケーリング、管理が可能なオープンソースのプラットフォーム。Google社内で利用されていたコンテナクラスタマネージャ「Borg」が元になっている。アプリケーションやサービスの可搬性を高め、スピーディーな開発などが可能になる。

CEO:澤井
クラウドサービスが発展した背景には、オンプレミスからの脱却があります。たとえばパッケージソフトもネットワーク機器、セキュリティ機器もそうですね。アプライアンス型のハードウェアボックスなどを購入しますと、お客様は資産として所有しなければなりません。たとえば高額な機材を1カ月間必要だからと購入しますと、長年かけて減価償却しなければならず、固定資産化は柔軟な運用を阻害します。
一方で短期間や必要に応じて、リソースを拡張できるクラウドサービスは資産保有ではなくサービス利用。このような概念からIT分野における「所有からサービス利用」へと認識がこの10年で大きく様変わりしました。しかし、インフラのクラウド化が広まりつつあるなかで、我々はセキュリティが追いついていないと感じています。サイバーセキュリティもクラウドネイティブ時代に合わせて変化しなければなりません。

ビジネスの文脈でIT市場を俯瞰(ふかん)しますと、クラウドへの移行は進みつつも、利用スタイルが多様化すると考えています。
たとえば、マルチクラウドはパブリッククラウドを連想しがちですが、今後はプライベートクラウドの利用も増加するでしょう。パブリッククラウドもAWS(Amazon Web Services)やMicrosoft Azure、GCP(Google Cloud Platform)、IBM Cloudなど多数存在し、オンプレミス型プライベートクラウドとの平行運用を支援するパッケージも登場しました。
すべてを統合的に使っていく立ち位置が欠かせなくなります。マルチクラウドは、単に複数のクラウドベンダー&サービスを併用するのではなく、プライベートクラウドを含めた広まりを指すキーワードに変化するでしょう。

我々はマルチクラウド化していく世界を、高い技術力でリードできるセキュリティソリューションを提供していきたいと考えています。

GUARDIAX(ガーディアックス)について
詳しくはこちら

 

代表取締役社長 CEO 澤井祐史
メーカー系ITサービス企業、商社系システムインテグレータ等にて IT インフラ・ IT セキュリティの開発、コンサルティング、導入支援等の業務経験を経て、 2015 年 6 月よりグレスアベイル設立。クラウド型セキュリティ製品の自社開発を技術的にリードし、 2017 年 5 月正式リリースに至る。

取締役 CTO 根岸寛徳
プロフィール メーカー系システムインテグレータにて計7 年間のシステム研究・開発・構築経験を有する。特に大手通信事業者向けプロジェクトにおいて、ミッションクリティカルかつ大規模システムに関する要件定義、設計、開発、運用まで一気通貫して技術リードを行い、成功裡に収めた実績を持つ。 2016 年初頭より当社製品開発に関わり、その後、 2017 年 5 月より当社正式参画。当社製品の開発・実装および顧客への導入サポート等を担当。

関連記事

まだ関連記事はありません。

トップページへ戻る

販売代理店様向け
(お試し版)Web/ネットワーク診断サービス
初回無償キャンペーン!!

販売代理店様よりご紹介のお客様向けに、
グレスアベイルが、お試し版Web/NW診断サービスを初回無償にてご提供いたします。

詳しくはこちら

当社のサービス、サポート、採用に関するお問い合わせやその他のお問い合わはこちらから承ります。
ご希望に添えるよう柔軟にご提案・対応しておりますのでお気軽にこちらよりお問い合わせください。

Contact us