| お客様のご要望 | オンプレでシステムを構成し、WAFのチューニングが必要な場合 | 仮想基盤/クラウドでシステムを構成し、WAFのチューニングが必要な場合 | クラウドでシステムを構成し、そのクラウドが提供するWAFサービスを利用する場合 | オンプレミス/クラウドでシステムを構成し、Webアプリ保護とDDoS対策を行いたい場合 | オンプレミス/クラウドでシステムを構成し、Webアプリ保護とDDoS対策、API保護を行いたい場合 | ||
|---|---|---|---|---|---|---|---|
| 構成例 |
|
|
|
|
|
||
| お客様の保護対象システムの環境 | オンプレミス | 仮想基盤/クラウド | クラウド | オンプレミス/クラウド | オンプレミス/クラウド | ||
| WAFの提供形態 |
ハードウェア
アプライアンス |
仮想アプライアンス |
IaaSが提供する
サービス |
SaaS | SaaS | ||
|
当社からの
ご提案ソリューション |
製 品 |
F5 BIG-IP ASM
|
F5 BIG-IP ASM
Virtual Edition |
AWS WAF/
Azure WAF |
攻撃遮断くん
|
F5XC WAAP
|
|
| 運 用 |
定期メンテナンス
サービス |
定期メンテナンス
サービス |
WafCharm
|
定期メンテナンス
サービス |
|||
| 詳しくはこちら | 詳しくはこちら | 詳しくはこちら | 詳しくはこちら | 詳しくはこちら | |||
F5 Distributed Cloud Services(F5 XC)のWeb Application and API Protection(WAAP)は、実績のあるオンプレミス型WAF「F5 BIG-IP Advanced WAF」を基盤としたDNS切替型のSaaS型WAFです。従来のWAF機能に加え、高度なボット対策、DDoS対策、APIセキュリティ対策を提供します。
また、Payment Card Industry(PCI)Security Standards Councilは、2024年3月に新たなセキュリティ要件を規定した改訂版PCI DSS v4.0を発表しました。
このバージョンでは、ブラウザベースのサードパーティ製JavaScriptの監視などの追加要件が含まれていますが、F5 XC WAAPのCloud Client-Side Defenseで対応可能です。
Web Application Firewall(WAF)
APIセキュリティ
Bot対策
DDoS対策
よく質問されるIPSとの違いですが、一般的にIPSがOSやミドルウェアを含むプラットフォームレイヤーの防御を対象としているのに対し、WAFはプラットフォーム上で稼動する固有のWebアプリケーションを防御対象としています。IPSの製品によってはWAFに類似する機能を実装しているものありますが、近年では攻撃コードの難読化や、アプリケーション固有の脆弱性を利用するなど、その手法が高度化されてきておりIPSだけでは対処が難しいというのが現状です。特に下記の機能はWAFならではのものです。
特定のURL、パラメータ毎のセキュリティポリシー設定
Cookie改ざん防止機能
パラメータ改ざん防止機能
カードのマスキング機能
| WAF | IPS | FW | |
|---|---|---|---|
| 機能概要 | Webアプリケーションへのリクエストに対して、シグネチャ/ホワイトリストに基づき防御を行う。 | 多様なアプリケーション(プロトコル)へのリクエストに対して、シグネチャに基づき防御を行う。 | リクエスト元・先のIPアドレス、ポート番号を検査して防御を行う。 |
|
HTTPリクエストに
対しての機能 |
TCPレベルで分割されたパケットを1件のデータとして組み立てて、さらにパラメータ名とパラメータ値等、HTTPリクエストとしての構文を認識してチェックを行う為、リクエストパラメータに不正な値が入っているか等のより詳細なチェックが可能。 | TCPレベルで分割されたパケットを1件のデータとして組み立てて、チェックを行う。HTTPリクエストとしての構文を認識しない為、データ全体に不正な値が入っているかをチェックする。 |
保護対象となるWebサーバーの手前に設置することで、攻撃者からの攻撃を水際でブロック。攻撃性のあるリクエスト自体を、Webサーバーまで到達させません。Webアプリケーションを改修することなく脆弱性を防ぐことができるので、Webアプリケーションの改修に必要なコスト、工期を削減できます。
多種多様なWebアプリケーションを保護するには、きめ細やかな設定、ポリシーチューニングが必要です。お客様ご自身でチューニング可能なのはもちろんのこと、SCSKセキュリティのノウハウを活かした「SCSKセキュリティ WAF導入運用支援サービス」を併用いただくことで、個別のサイトに適したポリシーチューニングも承ります。定期的なポリシーチェックにより、最新の脅威にも随時対応可能です。
クリックすると拡大します
WAFで検知した詳細なログは、GUIから確認することが可能です。ログは30日間保存されており、期間中のログをフィルタリングすることで、検知状況を可視化できます。また、必要に応じてリクエストやセキュリティイベントのログをAWS S3やSplunkなどのSIEM製品に送信することも可能です。
クリックすると拡大します
検知したイベントはダッシュボードで可視化されます。表示されたGUIの内容は、PDFとして出力することが可能です。また、Daily、Weekly、Monthlyのいずれかを指定し、メールやSlackなどを通じて定期的に送信することもできます。
クリックすると拡大します
Botなどの不正プログラムを使用して定期的にWebサイトから情報を収集するWebスクレイピング攻撃に対しては、シグネチャマッチによる検知機能や、クライアントへJavaScriptを送信して人為的操作かBotかを判断する機能などでBot対策を行います。また、検知したログはWebコンソールから詳細を確認することが可能です。
クリックすると拡大します
大量のリクエストを送信することで、ターゲットのサーバーリソースを使い果たす攻撃に対しては、DoS Protection機能で対策が可能です。また、少量のトラフィックをゆっくりと送り、ターゲットのサーバーリソースを使い果たす攻撃に対しては、Rate Limiting機能で対策を行います。さらに、信頼性の低いIPアドレスからのアクセスには、IP Reputation機能を用いてカテゴリを指定した対策が可能です。
クリックすると拡大します
Webアプリケーションから送出される情報にクレジットカード番号などの個人情報が混入していた場合、表示を自動的にアスタリスクによるマスキングすることで、クライアントのWebページへ表示されることを防ぎます。
OpenAPIファイル(Swaggerファイル)をインポートすることで、
定義されたAPIエンドポイント以外への攻撃を対策することが可能です。また、既存のリクエストを分析してAPIエンドポイントを可視化することで、ゾンビ/シャドーAPIを発見することも可能です。さらに、可視化したAPIエンドポイントからOpenAPIファイル(Swaggerファイル)を作成することもできます。
クリックすると拡大します
Client-Side Defenseは最新のPCI DSS v4.0の要件に対応しており、クライアント側で動作するサードパーティ製JavaScriptの監視を自動的に行いログインアカウントやクレジットカード番号などをデジタルスキミングやMagecart攻撃などの脅威から保護します。また、これらの攻撃を即座に検知しアラートすることが可能です。
WAAP SOCサービスでは、お客様のWebアプリケーション環境の脅威をリアルタイムで検知します。
日本語によるリアルタイム通知と
電話・メールでの問い合わせ対応を
24時間365日の体制で提供します。
WAAPによる検知・メール通知に続き、
アナリストが詳細分析を行い、
追加で分析結果をメールで送信します。
危険度が高いと判断された場合は
アナリストにて即時遮断を実施します。
アナリストが月次レポートを提供し、
1か月の傾向を踏まえた翌月以降の
改善策を提案することにより、
セキュリティレベルの段階的な向上に
寄与します。
Copyright © SCSK Security Corporation
