アカマイ、クラウドベースのウェブアプリケーションファイアウォールを提供

　Akamaiは、ウェブアプリケーション向けのクラウドベースのファイアウォールサービスを開始した。ますます複雑になり規模が拡大しているアプリケーション層への攻撃からデータセンターを保護することを目的とする。

　米国時間12月14日に発表されたAkamaiのマネージドサービス「Web Application Firewall（WAF）」は、5万5000台以上ものサーバが接続された同社のネットワーク「EdgePlatform」上で稼働する。SQLインジェクションやクロスサイトスクリプティング（XSS）攻撃など、最も一般的な種類のエクスプロイトをフィルタリングし阻止することを目的とする。同サービスは、ネットワーク層を保護する技術を補完するものであるとAkamaiは述べた。

　WAFは、最もよく知られた種類の攻撃のみに対し、Akamaiのコンピューティングリソースの拡張性を利用しながらデータセンターへの侵入を阻止し、企業の社内セキュリティシステムがフィルタリングしなければならないトラフィック量を低減する。

　同サービスは、ウェブアプリケーションのセキュリティ向けのPayment Card Industry Data Security Standard（PCI-DSS）の要件を満たしている。つまりAkamaiによると、クレジットカードによる支払いを受け付けるウェブサイトが同規格に準拠するよう支援することができるという。

　WAFは、オープンソースプロジェクトである「ModSecurity」をベースとしている。ModSecurityは、HTTPサーバ向けのリクエストフィルタリングなどのセキュリティ機能を提供するものである。

　同サービスは、企業独自のインフラをベースとするウェブアプリケーションを保護するために利用することができる。また、複数の顧客が同一のインフラを共有する、クラウドサービスでホスティングされるウェブアプリケーションの保護にも対応すると同社は述べた。

　AkamaiのチーフサイエンティストであるTom Leighton氏は、「コンピューティングリソースを共有する場合、自社のアプリケーションが、他社をターゲットとした攻撃にさらされないようにすることが重要である」と述べた。

　クラウドベースのインフラが、それを利用する企業に新たな危険性をもたらしていると指摘するのはAkamaiだけではない。2009年10月にはTrend Microが、同社の主力製品「Deep Security」をクラウドベースサーバの保護に対応してアップデートした。

　Sunの英国における最高技術責任者は2009年に入り、英国の主要な公的機関および民間企業と共同で、PCI-DSSへの準拠に関する問題など、クラウドコンピューティングのセキュリティ問題の解決を特に目的とした、さまざまな業界にまたがったフォーラムの結成に取り組んでいると述べていた。