アプリケーション・シールド/WAF

Webアプリケーションの安全を守るCDN統合型シグニチャベースWAFサービス

マルチレイヤWAFであらゆるタイプの脅威に対応
Naxsiシグネチャを採用、誤検知減で運用負荷も軽減

アプリケーション・シールドは、Webアプリケーションの脆弱性を突く攻撃やDDoS攻撃からお客様のWebサイトを守る、クラウド型のWAF(ウェブ・アプリケーション・ファイアウォール)サービスです。24時間365日の監視体制とグローバルCDNプラットフォーム上で稼働するこのWAFサービスは、マルチレイヤWAFで高可用で高パフォーマンスなWeb体験を提供します。

WAFにより、Webセキュリティが強化され攻撃への対抗力が備わることで、お客様はたとえ攻撃を受けてもそれをブロックするパワーとリカバリ力が上がり、これにより低速DDoS攻撃やフルートフォース攻撃などによるパスワードの解析、ハッカーによる事前調査や計画的な攻撃などの高度化された攻撃からWebサイトを守ることが出来るようになります。

アプリケーション・シールドは、常時オンライン型でリアルタイムに攻撃に対応し、お客様のWeb資産を守ります。また、搭載されたインテリジェンスにより継続的に学習し、Webアプリケーションを悪意のある新たな攻撃や攻撃者から守り、お客様のビジネスを安全かつ利用可能な状態に保ちます。

サービス特徴

インテリジェントなWAF

グローバルCDNプラットフォームに組み込まれているアプリケーション・シールドは、誤検知の少ないNaxsiベースのシグネチャを採用しており、24時間365日有人監視も実施しているため、運用面での付加も軽減されます。

セルフラーニング

クラウド・セキュリティ技術は、自己学習型、自己進化型であり、マルチレイヤのアプローチで迅速かつ確実に攻撃を防御します。

DDoS防御機能を標準装備

DDoS防御機能は常時ブロック型を採用しており、世界中からの攻撃をリアルタイムに検知/防御します。また、豊富なキャパシティを持つCDNプラットフォームに組み込まれているため、大規模攻撃でも吸収して、お客様のサービスに影響を与えません。

リソース

サービス機能

OWASPトップ10(2017年)

SQLインジェクションやクロスサイトスクリプティング(XSS)、セッションハイジャックなどのハッキング攻撃や、その他の種類の既知の攻撃から保護します。

特定のアプリケーションの脆弱性

脆弱性診断により自動的にルールの作成やパッチ適用を実行します。

レートリミット

レート制限をカスタムで作成できます。

迅速なデプロイ

ルール変更や例外処理などがシステムに迅速に反映されます。

DDoS防御

  • HTTP Getフラッド、スローロリス(Slow Loris)、ルディ(Rudy)など、Webサイトをダウンさせるアプリケーションレイヤ(L7)に向けた攻撃から規模無制限で保護します。
  • ボリュームDDoSなどWebサーバやネットワークのリソースを枯渇させるネットワークレイヤ(L3/4)に向けた攻撃から規模無制限で保護します。

一般的なアプリケーションの脆弱性

広く使用されているCMSおよびEコマースサイトのプラットフォームのの脆弱性に対応し、仮想パッチを適用します。

ゼロデイ(未知の攻撃)

優れたバックエンド・モニタリング・システムにより、不適切な振る舞いを検知・ブロックして、新たな脅威からアプリケーションを保護します。

アクセス・コントロール

IP、地域、HTTPヘッダなどからトラフィックをブロックするカスタムルールを作成できます。

シグネチャの例外処理

使いやすいウィザードで、カスタムルールの作成とシグネチャの例外処理を正規表現にて設定できます。

使いやすくリアルタイムで稼働するダッシュボード

  • DDoSダッシュボードと攻撃ログを提供します。
  • WAFダッシュボードと攻撃ログを提供します。
  • 攻撃傾向をリアルタイムでダッシュボードに表示し、ドメイン、攻撃タイプ、日付などのパラメータでフィルタできます。

サービス概要図

Application Shield Firewall Layers Diagram

WAFとは?

WAFは、トラフィックをフィルタリングし、お客様のWebサーバへは信頼できるリクエストのみを許可することで、さまざまなタイプの攻撃からWebアプリケーションを保護するネットワークセキュリティシステムです。

一方でファイアウォールは、ネットワークに出入りするトラフィックを監視・制御するシステムです。これは、ネットワークとオープンインターネットの間のバリアとして機能しています。

WAFは、Webアプリケーションに出入りするトラフィックに焦点を当てたファイアウォールです。標準的なファイアウォールは、1stレベルのセキュリティとして機能しますが、今日のWebサイトやWebサービスは、より高度なセキュリティを必要としています。WAFは、Webアプリケーションを狙った攻撃を阻止するための特殊な機能を提供しています。

WAFの仕組みは?

WAFは、Webアプリケーションとインターネット間の不審なHTTP/Sトラフィックを監視、フィルタリング、プロファイリングし、攻撃したりブロックされたことのある悪意のあるトラフィックを特定することで動作します。

汎用型のファイアウォールの設置は、現在もサイバーセキュリティの基本となっています。このファイアウォールは、ネットワークの周囲に配置され、オープンシステム相互接続(OSI)モデルとしてL3/4で動作します。 その役割は、IP および TCP/UDP プロトコル上のパケットを検査し、IP アドレス、プロトコルタイプ、ポート番号に基づいてトラフィックをフィルタリングすることに限定されています。

一方で、WAF は OSI モデルのL7で動作し、Web アプリケーションのプロトコルを理解することができます。WAFは、Webアプリケーションに出入りしようとするトラフィックを分析し、従来のネットワーク・ファイアウォールを介して検出されない可能性のある攻撃を防ぐために必要不可欠です。

WAF は、アプリケーションとインターネット間のリバースプロキシシールドとして機能します。 プロキシサーバは、クライアントマシンを保護する仲介者です。 また、リバースプロキシは、クライアントがサーバに到達する前にプロキシを通過することを保証しています。重要なのは、WAF は複数のアプリケーションの前に置かれているこれらを使用して保護を提供しているということです。

WAF は、ポリシーと呼ばれる一連のルールを使用して、アプリケーションの脆弱性を利用した悪意のあるトラフィックをフィルタリングします。これらのセキュリティポリシーは、多くの場合、HTTPヘッダ、HTTPリクエストボディ、HTTPレスポンスボディなどのスキャンポイントを含む、既知のWeb攻撃シグネチャに基づいています。また、URLやファイル拡張子のパターンを検出したり、URIやヘッダ、ボディの長さを制限したり、SQL/XSSインジェクションを検出したり、さらにはシグネチャの検出と動作に基づいてBotを検出したりするために、ルールのセットを指定することもできます。

The key benefit of using a WAF is that these policies can be modified and implemented quickly and with ease. Some WAF providers also provide functionalities for load balancing, SSL offloading and intelligent automation of these policy modifications using machine learning. This makes it easy to adapt and respond to varying attack vectors and for Distributed Denial of Service (DDoS) protection.

WAF は、すべてのサイバー攻撃から保護することはできませんが、Webアプリケーションのセキュリティを強化し、これを狙ったあらゆる攻撃から保護することができます。

クロスサイト・リクエスト・フォージェリー(CSRF)

Webアプリケーションの認証されたユーザに、アプリケーションのセキュリティを危険にさらす行動を取らせる攻撃です。攻撃者は電子メールでリンクを送信し、ユーザを騙してリンクをクリックさせます。ユーザ認証とログインが完了すると、攻撃者はユーザのアカウントを乗っ取り、資金の送金やプロフィールの詳細やメールアドレスの変更などのリクエストを強制的に実行します。この攻撃は、管理者アカウントを狙ったもので、成功すれば、Webアプリケーション全体を危険にさらしてしまう可能性があります。

クロスサイト・スクリプティング(XSS)

攻撃者がクライアントのブラウザにマルウェアを感染させて、セッションクッキーを含むデータを盗み出したり、コンテンツを編集して虚偽の情報を表示させたりする攻撃です。これは通常、JavaScript、PHP、.NETのスクリプトを含む動的なWebサイトに悪意のあるコードが注入された場合に発生します。ユーザがWebページを読み込むと、悪意のあるスクリプトが自動的に実行されます。例えば、ユーザのクッキーが攻撃者に送信され、攻撃者はそれを使ってなりすまし行為を働きます。

SQLインジェンクション

攻撃者がコンタクトフォームなどのユーザが入力するデータフィールドを持つWebサイトやWebアプリケーションに、悪意のあるSQLコマンドを挿入する攻撃です。挿入されたコードは、データベースに不正アクセスしてデータベースに含まれる個人情報を盗み出したり、変更したりするコマンドを実行します。

WAFにはどのような種類がありますか?

WAFは、承認されたトラフィックを許可しながら、事前設定された条件(シグネチャ)に合致する攻撃を検知・ブロックすることによって、Webアプリケーションを保護します。CSRF、XXS、SQLインジェクション、ファイルインクルードなど、攻撃者が機密データを盗んだり、Webアプリケーション自体を危険にさらすために不正アクセスしようとする攻撃から保護するのに役立ちます。

WAFは、それらの実装方法に基づいて、3つのタイプに分かれます。

ネットワーク型WAF

ハードウェア型のこのWAFは、ローカルにインストールし、Webサーバの近くに設置されるため、アクセスが容易です。遅延を最小化するのには役立ちますが、保管や保守は自社で運営が必要なためにコストがかかります。

ホスト型WAF

ホスト型のこのWAFは、Webアプリケーションのソフトウェアに完全に組み込まれています。これは、アプリケーションサーバ内のモジュールとして存在します。このタイプのWAFは、ネットワーク型のWAFよりも低コストで、カスタマイズが容易です。デメリットとして、ローカルのサーバリソースを消費するため、Webアプリケーションのパフォーマンスが悪くなることがあります。また、実装やメンテナンスが複雑になることもあります。

クラウド型WAF

クラウド型のこのWAFは、より手頃なコスト感で、管理に必要なオンプレミスのリソースは最小限におさえられます。また、実装が簡単で、サービスプロバイダがSaaS(Software as a Service)として提供しいるケールも多く見られます。クラウドサービスモデルのため、先行投資コストも最小限におさえられ、脅威状況の最新攻撃に対応するための情報を継続的に更新することができます。

CDNetworksの「アプリケーション・シールド」は、グローバルCDNプラットフォーム上で稼働するクラウド型WAFで、Webアプリケーションの攻撃をリアルタイムで検知・ブロックします。

Web Application Firewall
Play Video