皆様、こんにちは。パートナーソリューションアーキテクトの井上です。
先週のAWS Summit Tokyo 2015も凄い盛り上がりでしたね!
AWS Summit Tokyo 2015ではパートナー様のソリューションを集めたESPカタログを配布させて頂きましたが、掲載しきれていないソリューションも多くございます。
本日はそんな製品の一つである株式会社シーエーシー様のC-nu@ge Enterprise Cloud+のSaaS型のWAF(Web Application Firewall)をご紹介いたします。
---
会社名: 株式会社シーエーシー
製品 / ソリューション名: C-nu@ge Enterprise Cloud+ SaaS型WAFサービス
システム構成図:
◆C-nu@ge Enterprise Cloud+ SaaS型WAFサービス
製品/ソリューション概要:
「C-nu@ge Enterprise Cloud+ SaaS型WAFサービス」(以下、SaaS型WAFサービス)は、Webアプリケーション通信(http/https)を監視し、脆弱性を突いた攻撃からWebアプリケーションを防御するWAF(Web Application Firewall)をSaaS型で提供します。月単位での料金支払いにより導入コストを抑えるとともに、ロジカル分析エンジンを搭載したWAFの採用により、メンテナンス作業の運用負荷を軽減し、未知の攻撃からも企業のWebサイトを保護します。本サービスは「C-nu@ge Enterprise Cloud+」のオプションサービスとして提供します。
◆SaaS型WAFサービスの主な機能/サービス
1) 簡単導入
SaaS型サービス提供のため、インフラの設計、ソフトウエア導入などは不要です。
また、リバースプロキシ型WAFのため、Webサーバーのサービスを停止する事なく導入できます。
2) 簡単運用
冗長化された構成を採用しているため、サーバー障害時にもサービスを継続できます。万が一インフラ障害発生時にもお客様の対応作業は必要ありません。
3) ロジカル分析エンジン
第三世代の検知方法と言われるロジカル分析エンジンを搭載したWAPPLESを採用し、ルールベース検知を行います。
お客様はシグニチャベース型WAFにありがちな煩雑なメンテナンス作業から解放されます。
4) WAF管理コンソールをご提供
お客様自身で、適用ルールの設定変更、検知ログの統計情報のレポート出力、リアルタイム検知ログの閲覧を行うことができます。
◆Web攻撃検知の種類
4つのソリューションを提供することで、様々なWeb攻撃からお客様のWebシステムを安全に保護いたします。
1) Webハッキング遮断ソリューション
Webアプリケーションレベルの攻撃の遮断(インジェクション、XSSなど)
2) 情報漏えい防止ソリューション
検証メカニズムを採用した正確な個人情報検証(クレジット番号の暴露など)
3) 不正ログイン防止ソリューション
Brute Force Attackのような総当たり型攻撃の遮断
4) Web改ざん防止ソリューション
改ざんを目的とした攻撃に対応し、Webサイト/DBのセキュリティを確保
◆導入効果
・第三世代の検知方法といわれるロジカル分析エンジンを搭載したWAPPLES(注1)の採用により、メンテナンス作業の運用コストを大幅に抑えることができます。
・SaaS型なので、ご利用のお申込みをいただいてから短期間で、PCIDSS 1.2適合の高度なWAFサービスを低価格な月額料金でご利用いただけます。
・リバースプロキシ型WAFなので、現状のWebシステムを停止することなく導入可能です。
◆ルール
WAPPLESルール(注1)
|
説明
|
バッファオーバーフロー
|
Webサーバーに対しメモリ上Bufferをオーバーさせるような制限値より大きなサイズのデータを遮断
|
クッキーポイズニング
|
認証情報のような重要なデータが含まれているCookieの認証のためのMAC(Message Authenticity Code)より判断をし、改ざんを遮断
|
クロスサイト
スクリプティング
|
クライアント側にて実行可能な悪意あるスクリプトコードを挿入する試みを遮断
|
ディレクトリリスティング
|
Webサーバーのファイル、ディレクトリのトポロジー(構造)の外部漏洩を遮断
|
エラーハンドリング
|
Webサーバー、WAS、DBMSサーバーなどの情報が含まれているエラーメッセージを遮断.
|
エクステンション
フィルタリング
|
悪意あるユーザーより利用される恐れのある拡張子を持つファイルへのアクセスを遮断
|
ファイルアップロード
|
Webサーバー側にて実行可能なファイルのアップロードを遮断
|
インクルード
インジェクション
|
Webサーバーにて実行可能なファイルの挿入を遮断
|
インプットコンテンツ
フィルタリング
|
Webサイトのような公開ページ上他人を不愉快にさせる言葉を遮断するか、指定した言葉に変換
|
インバリッドHTTP
|
RFC 2068-HTTP/1.1基準プロトコルに準じていないアクセスを遮断
|
インバリッドURI
|
RFC 2068-HTTP/1.1基準プロトコルに準じ定義されている形式ではないURIへのアクセスを遮断
|
IP遮断
|
同じ発信元より一定の時間内閾値以上の不正なアクセスが検知されると発信元のアクセスを一時的に遮断
|
IPフィルタリング
|
指定した特定のIPのセグメントや国からのアクセスを遮断
|
パラメータタンパリング
|
Webサイトよりリクエストされていないパラメータを挿入し送り付けるか、Webサーバーから転送されたパラメータを改ざん
|
プライバシーファイル
フィルタリング
|
個人情報が含まれているファイルのアップロードおよびダウンロードを遮断
|
プライバシーインプット
フィルタリング
|
掲示板やWebページのような公開ページ上個人情報(クレジットカード番号、メールアドレス)の書き込みによる露出を遮断
|
プライバシーアウトプット
フィルタリング
|
掲示板やWebページのような公開ページ上個人情報(クレジットカード番号、メールアドレス)が漏洩される恐れのある場合、遮断および一部に対しマスキング処理
|
リクエストメソッド
フィルタリング
|
安全ではないHTTPリクエストのメソッドを遮断
|
レスポンスヘッダ
フィルタリング
|
HTTP レスポンスにてWebサーバーおよびWASの情報を削除
|
SQLインジェクション
|
データベースに対しの不正なSQLクエリ文の試みを遮断
|
ステルスコマンディング
|
Webサーバー上特定のコマンドを実行するリクエストを遮断
|
不正アクセス
|
Webブラウザからの正常なリクエストではない自動化されたツールによるアクセスを遮断
|
ユニコードディレクトリ
トラバーサル
|
Webサーバーのユニコード関連の脆弱性を利用するディレクトリおよびファイルへのアクセスを遮断
|
URIアクセスコントロール
|
特定のURIやファイルへのアクセスを制御
|
Webサイト改ざん
|
Webページが改ざんされた場合、検知し復旧ページを出力
|
注1 WAPPLESはPenta Security Systems, Inc.の登録商標です。
システム要件/利用するAWSサービス:
AWSサービス:
VPC, EC2
AWSでの導入実績:
・製薬企業様
・SNSサイト運営会社様
その他
費用:
■初期費用/月額費用
ピークトラフィック量(2.5/5/10/20/50Mbps)に応じた価格にて提供。
費用詳細については下記、WEBサイトをご参照ください。
https://www.cac.co.jp/product/ecplus/waf.html
その他情報:
C-nu@ge Enterprise Cloud+ SaaS型WAFサービス
https://www.cac.co.jp/product/ecplus/waf.html
など
お問い合わせ先:
株式会社シーエーシー
ICT営業本部
[email protected]
03-6667-8059
-------------------------------------------------
エコシステム ソリューション部
パートナー ソリューションアーキテクト
井上 和英