Imperva いんぱーば
簡単に言うとこんな感じ!
ImpervaはWebサイトやデータベースを攻撃から守る「セキュリティの番人」みたいな会社・製品群だよ!WAFでサイトへの不正アクセスをブロックしたり、DDoS攻撃の大波から守ったり、社内のデータが漏れないよう見張ったりと、企業のデジタル資産をまるっと守るソリューションなんだ!
Impervaとは
Imperva(インパーバ)は、Webアプリケーションとデータの保護に特化したサイバーセキュリティ企業、およびその製品・サービスブランドの総称です。2002年に米国カリフォルニア州で創業し、現在はWAF(Webアプリケーションファイアウォール)、DDoS防御、ボット対策、データセキュリティを主力製品として世界中の企業に提供しています。
特にWebアプリケーション保護の分野では業界トップクラスの知名度を誇り、Gartner社の「マジック・クアドラント」において長年にわたりリーダーポジションを維持しています。金融・医療・EC・行政など、高いセキュリティ要件が求められる業界での採用実績が豊富です。
製品はクラウド型・オンプレミス型・ハイブリッド型を揃えており、中小企業から大企業まで規模を問わず導入できるのが強みです。日本でも国内パートナー経由での導入が進んでいます。
Impervaの主要製品ラインナップ
| 製品カテゴリ | 製品名 | 守るもの |
|---|---|---|
| WAF | Imperva WAF / Cloud WAF | Webアプリへの不正リクエスト |
| DDoS対策 | DDoS Protection | サーバーへの大量攻撃 |
| ボット対策 | Advanced Bot Protection | 不正ボットによるスクレイピング・詐欺 |
| CDN + セキュリティ | Imperva CDN | 配信高速化と攻撃の吸収 |
| データセキュリティ | Data Security Fabric | DBの不正アクセス・内部漏洩 |
| API保護 | API Security | API経由の攻撃・データ流出 |
| RASP | Runtime Application Self-Protection | アプリ実行中のリアルタイム防御 |
覚え方のポイント
「Imperva = Web × Data の二刀流ガード」と覚えよう!
外からくるWeb攻撃(WAF・DDoS)と、内側にあるデータ(DB・API)の両方を守るのがImpervaの特徴です。片方だけのベンダーとは異なる「表と裏を同時に守る」コンセプトが差別化ポイントです。
クラウドWAFの仕組み(イメージ)
ユーザー
↓
[ Imperva Cloud WAF ] ← 攻撃・不正リクエストをここでブロック
↓ 正常なリクエストのみ通過
[ Webサーバー / アプリサーバー ]
↓
[ DBサーバー ] ← Data Security Fabricで監視歴史と背景
- 2002年 — 米国カリフォルニア州レッドウッドショアーズにて創業。当初からWebアプリとデータ保護に特化した戦略を打ち出す
- 2011年 — NASDAQに上場。セキュリティ専業ベンダーとして市場から高い評価を受ける
- 2014年頃 — クラウド型WAF「Incapsula」を軸にSaaS展開を加速。従来のアプライアンス(専用機器)から脱却する流れをリード
- 2018年 — 米プライベートエクイティファンド「Thoma Bravo」に買収され非公開化。約21億ドルの買収額が話題に
- 2019年 — Inxyusを買収し、API保護機能を強化
- 2021年 — データセキュリティ専業のjSouarcingを統合し「Data Security Fabric」構想を発表
- 2023年以降 — クラウドネイティブ・マルチクラウド環境への対応を加速。AI/MLを活用したボット検出精度向上を推進
競合製品との比較
Webアプリケーション保護の文脈でよく比較される主要製品と並べると以下のようになります。
| 製品 | 提供形態 | WAF | DDoS | データ保護 | 主な特徴 |
|---|---|---|---|---|---|
| Imperva | クラウド/オンプレ/ハイブリッド | ◎ | ◎ | ◎ | Web+DBを一体で守る二刀流 |
| Cloudflare | クラウド | ◎ | ◎ | △ | CDN統合・コスト競争力 |
| Akamai | クラウド | ◎ | ◎ | △ | 世界最大級CDNとの統合 |
| AWS WAF | クラウド(AWS限定) | ○ | ○ | △ | AWSとの親和性 |
| F5 BIG-IP | オンプレ/クラウド | ◎ | ○ | △ | 大規模・高カスタマイズ |
| Fortinet FortiWeb | オンプレ/クラウド | ◎ | ○ | △ | Fortinet製品との連携 |
導入判断のポイント(発注者向け)
Impervaを選定・発注する際に確認すべきポイントをまとめます。
こんな課題があればImpervaが候補に上がる
- ECサイトやWebサービスへの不正ログイン・スクレイピング被害が増えている
- 金融・医療系でDB内の個人情報漏洩リスクを規制対応とセットで管理したい
- DDoS攻撃で過去にサービス停止が起きたことがある
- オンプレミスのDB監査ログをISMS・PCI DSS対応で整備したい
導入時に確認すべき事項
| 確認項目 | 内容 |
|---|---|
| 提供形態 | クラウド型 or オンプレミス型 or ハイブリッド |
| ライセンス体系 | 帯域量課金 / サイト数課金 / ユーザー数課金 |
| サポート体制 | 日本語サポートの有無・SLA(応答時間保証) |
| 既存環境との統合 | SIEM(ログ管理)・既存FWとの連携 |
| コンプライアンス要件 | PCI DSS / GDPR / 個人情報保護法への対応状況 |
関連する規格・RFC
| 規格 | 内容 |
|---|---|
| PCI DSS v4.0 | クレジットカード情報保護の国際規格。WAF導入が要件のひとつ |
| RFC 7230 | HTTP/1.1の基本仕様。WAFが検査するプロトコルの根拠 |
| RFC 7235 | HTTP認証フレームワーク。WAFによる認証保護の前提知識 |
| OWASP Top 10 | Webアプリの主要脆弱性リスト。ImpervaのWAFがカバーする攻撃種別の基準 |
関連用語
- WAF(Webアプリケーションファイアウォール) — Webへの不正リクエストをフィルタリングする防御の仕組み
- DDoS攻撃 — 大量のリクエストでサーバーをダウンさせるサイバー攻撃手法
- CDN(コンテンツデリバリーネットワーク) — Webコンテンツを世界中に分散配置して高速配信する仕組み
- OWASP Top 10 — Webアプリの代表的な脆弱性ランキング・セキュリティ指針
- ファイアウォール — ネットワーク境界でのトラフィック制御の基本機器・概念
- SIEM — セキュリティログを一元収集・分析する管理プラットフォーム
- ゼロトラストセキュリティ — 「内部は安全」を前提にしない現代のセキュリティ設計思想
- API — システム間の機能呼び出し口。近年の主要な攻撃対象のひとつ