NetStare/F5 BIG-IP ASM WAF 運用監視サービス 紹介資料 Copyright 2016 SecuAvail. All rights reserved.

NetStare/F5 BIG-IP ASM

WAF運用監視サービス

目次

1. WebアプリケーションとWAF運用監視サービス

2. WAF運用の課題と対策、お客様のメリット

3．NetStare/F5 BIG-IP ASM WAF運用監視サービス概要

4．導入スケジュール、サービス価格およびサービス一覧

Webアプリケーションと

WAF運用監視サービス

NetStare/F5 BIG-IP ASM WAF運用監視サービス

業務アプリ

Webアプリケーションとは

通常の業務アプリ (クライアントサーバ)

Webアプリケーション

業務 サーバ PC 会計処理 生産管理 PC PC

Webブラウザ

スマホ ECサイト オンラインバンキング PC タブレット SNS PC上の業務アプリ (Windowsベース) から 社内のサーバにアクセスし、業務を行う 受注処理 Webブラウザを介して利用するアプリケーション DB サーバ DB サーバ Web サーバ Webサーバ上のアプリケーション (サービス) に Webブラウザからアクセスし、

例）SQLインジェクション

正規のアクセス

不正なアクセス

DB サーバ 通常、ユーザ名やパスワードを 入力するエリアに、DB操作コマン ドであるSQLコマンドを不正に入 力 (Inject=注入) ユーザ名 パスサード Webアプリケーションサーバ ユーザ名 パスサード Webアプリケーションサーバ DB サーバ 正規のユーザ名/パ スワード 正規のユーザ名と パスワードで 認証を リクエスト 認証OK! ユーザリストを 要求する SQLコマンド ユーザリストを 要求する SQLコマンド ユーザ リスト

Webアプリケーションを狙う脆弱性攻撃

サーバ上のファイルを書き換え、 Webページが改ざんされたり、 利用者を悪質なサイトへ誘導 する場合がある。 それを受け取ったDBサーバが、 不正なコマンドによりDB内の様 々なデータを送り出したり、デー タを書き換えたり、不正なログイ ンを許可してしまう

NetStare / F5 ASM運用監視サービスとは

WAFは、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保

護するセキュリティ対策機器。ファイアウォールやIPS/IDSでは防げなかった

高度な攻撃から守ります。

WAF = Web

Application

Firewall

しかし、ファイアウォールやIPS/IDSよりも運用が難しく、導入しただけでは効

果を出しにくいため、専門知識を持った担当者によるチューニングと攻撃への

対応が必要になります。

この作業をお客様が行う場合、時間も人手もかかるため、

経験豊富な

セキュアヴェイルのSOCエンジニアがお客様に

代わって運用監視を行います。

1

2

3

FW、IDS/IPS、WAFの違い

プロトコルレイヤ ファイアウォール IDS/IPS WAF OSI レイヤ 7 アプリケーション層 OSI レイヤ 4-6 プロトコル層 OSI レイヤ 1-3 ネットワーク層 送信元情報と送信先情報 (IP アドレス、ポート番号、プロトコル 等)をもとにアクセスを制限する ネットワーク上を流れるパケットを 分析し、侵入行為や攻撃を検 知(IDS)したり攻撃をブロック (IPS)する Webアプリケーションサーバを 狙った攻撃を検知して、ブロック する SQLインジェクション、クロスサイ トスクリプティングなど、Webアプ リケーションに特化した攻撃を 防止 ポートスキャンなどの従来型の攻 撃に対抗 既知の攻撃パターンをシグネチ ャやポリシーとして記録し、照合 にマッチしたパケットを検出 役割・機能

WAF運用の課題と対策、お客様のメリット

2

WAF運用の実際と課題

監視に人手がかかる 高度な専門知識が 必要 数時間以内の対応が 必要 脆弱性の発見と アプリ改修が困難 カスタムシグネチャ作成に 高度なスキルが必要

お客様の

抱える課題

正規の アクセス 不正 アクセス シグネチャ 新シグネチャ シグネチャ アップデート (6週間毎) Internet ステージング期間中もイベントを 監視し対応が必要かどうかを判断 緊急の対応が必要な場合、 チューニングを実施 Webアプリケーションの脆弱性を 診断し改修 必要に応じてカスタムシグネチャを 作成の上、適用 シグネチャに基づいて、不正なアクセスを 遮断 新しいシグネチャは定期的にベンダーから 配信。 新しいシグネチャはすぐに本番適用せず、 挙動を監視 (ステージング) Webサーバ

WAF運用の課題を解決するNetStare/F5 ASM運用監視サービス

リアルタイムイベント通知 緊急シグネチャチューニング 脆弱性診断による 問題点と対応策の提示

NetStare/F5 ASM

運用監視サービス

カスタムシグネチャの 作成と適用 サービス開始後の1カ月間、 透過モードですべてのログを 収集、標準的なシグニチャの 適用。1か月間の運用状況 を解析し、防御モードに切り 替え〜定期シグニチャチュー ニングを実施 ステージング期間中もイベントを 監視し対応が必要かどうかを判断 緊急の対応が必要な場合、 チューニングを実施 Webアプリケーションの脆弱性を 診断し改修 必要に応じてカスタムシグネチャを 作成の上、適用 シグネチャに基づいて、不正なアクセス を遮断 新しいシグネチャは定期的にベンダー から配信。 新しいシグネチはすぐに本番適用せず、 挙動を監視 (ステージング) 正規の アクセス 不正 アクセス シグネチャ 新シグネチャ シグネチャ アップデート (6週間毎) Internet Webサーバ

お客様のメリット

WAF対象機器だけでなく、Webサーバを含め、

セキュアヴェイルSOCが“まるごと”監視します。

オールインワンのサポートサービスで、

業界トップクラスの低価格を実現しています。

さらに、各種ネットワーク・セキュリティ機器を運用監視する

NetStareの拡張サービスが、ファイアウォール/UTM、ロード

バランサ、スイッチなど多様な機器も、稼動監視します。

F5ネットワークスとF5認定パートナーである

セキュアヴェイルのSOCエンジニアとの強固な連携により

障害発生時のサポート体制は磐石です。

1

2

3

4

NetStare/F5 BIG-IP ASM

WAF運用監視サービス概要

3

NetStare/F5 BIG-IP ASM運用監視サービス

13 サービス分類 サービス項目 セキュリティマネジメント ヘルプデスク ヘルプデスク ログ管理・分析/ レポート ログ収集 セキュリティログレポートWebポータル/ PDF配信 セキュリティログレポート期間延長 （12ヶ月プラス） ログ収集容量追加（10GB/月） 監視Webポータル/レポート配信 サービス分類 サービス項目 システムマネジメント 稼働監視 基本稼働監視 稼動監視詳細通知・対応 性能監視 基本性能監視 性能監視詳細通知・対応 障害復旧支援 障害復旧支援 システム オペレーション 設定情報バックアップ保管 バージョンアップ サービス分類 サービス項目 稼働監視 保護対象Webアプリ監視 サービス分類 サービス項目 セキュリティ オペレーション 定期シグネチャチューニング 保護対象Webアプリ脆弱性診断 セキュリティ インシデント対応 リアルタイムイベント通知 緊急シグネチャチューニング カスタムシグネチャ適用

NetStare /F5 BIG-IP ASM運用監視で提供するサービス一覧

サービス概念図

※お客様先にVPN装置及びLogStare collectorサーバの 設置が必須となります。 ロードバランサ FW/UTM ルータ Webサーバ 稼働状況を リアルタイムに可視化 監視データ収集 セキュリティイベント収集 ログ解析結果を レポートで提供

セキュアヴェイル SOC

お客様サイト

24時間365日体制で エンジニアが運用監視 F5 ASM 稼働性能監視 障害復旧支援 Web脆弱性診断 リアルタイム通知 緊急チューニング シグネチャ適用 レポート提供 セキュリティログ ログ保管 LogStare collector

導入後１ヶ月間の透過モードですべてのログを収集

 アクセス数の推移レポート（時間帯別/日付別）  アクセスユーザ（ユーザエージェント）比率レポート  アクセスリファラ（リンク元）比率レポート など ログ容量は標準で圧縮後10GB/月までとなります。 別途、有償により容量を拡張することが可能です。 レポート種類例 サービス導入後１ヶ月間の透過モードの稼動期間は、イベン ト（攻撃）検知ログだけではなく、正常なアクセスログもすべて 収集・レポーティングし、ご報告します。 お客様専用Webポータルより、任意の視点でログ解析が 可能です。 １ヶ月後の透過モードから防御モードへの切替後も継続して すべてのアクセスログの収集が可能です。 ＊透過モード後はオプションとなります。

Webサーバ

定期シグネチャチューニング (セキュリティマネジメント)

ベンダからは定期的（約６週間毎）に、新しい攻撃を検知するための 新しいシグニチャが配信されます。 WAFで守られるのは「ミッションクリティカル」なサイトが多く、攻撃を検 知した場合は原則として、ブロックしなければなりません。 このため、新しいシグネチャが配信されたら、即座に本番環境に適用 するのが理想です。一方で、新しいシグネチャを適用する事によって 万一過剰検知が発生すると、正規のアクセスが遮断され、業務に 影響します。

NetStare/F5 ASM運用監視サービス

そのため、新シグネチャが配信された場合、一定のステージング期間 を設け、その間の挙動を監視し、過剰検知などの問題がないことを 確認し、本番環境に適用します。 WAFはシグニチャに基づいて、アクセスが正規か不正かを見極め、 不正なアクセスを遮断します。 その際、ステージング期間のイベント検知状況をチューニングレポート にてお客様へメールでご提示の上、チューニングを実施します。 正規の アクセス 不正 アクセス _{シグネチャ} 新シグネチャ シグネチャ アップデート (6週間毎) Internet

リアルタイムイベント通知 (セキュリティマネジメント)

【通知条件】 ステージングモードのシグネチャのみ通 知する設定 （ステージングモード：通信がASMを通過して いる状態） 【通信データ】 発生した通信の情報 (例)日時、送信元IPアドレス、宛先IP アドレス、ステータス等 【シグネチャ情報】 検知したシグネチャに関するヘルプ情報 (例) シグネチャID、シグネチャ名、危険度、正 確さ、シグネチャ解説 (英文) 等 【検知パラメータ】 送られてきたデータの詳細 (例) 検知したパラメータ、プロトコル、リクエスト ヘッダデータ 等 ステージング期間中は、新シグネチャ が配信されているにも関わらず、攻 撃がWAFを通過してしまいます。 しかし、本来新シグネチャで防げるは ずの攻撃を看過して良いものではあ りません。 そのため、1時間毎にログを分析 し、ステージング期間中のシグネ チャがイベントを検知した場合、 メールでお客様に通知します。

緊急シグネチャチューニング (セキュリティマネジメント)

正規の アクセス 不正 アクセス Internet お客様が通知内容を検討し、検知したイベントへの対 処が緊急で必要な場合、緊急にてシグネチャのチュー ニングの適用をセキュアヴェイルSOCへ指示します。  未対応の脆弱性への攻撃のため、遮断設定を投入  過剰検知と考えられるため、除外設定（または無効 化）を投入 Webサーバ お客様サイト LogStare collector お客様サイト内に設置のLogStare collectorがログを 収集し、セキュアヴェイルSOCに送信します。 セキュアヴェイル SOC セキュアヴェイルSOCが収集ログを解析し、イベントを 検知した場合、検知内容をお客様へ通知します。 (リアルタイムイベント通知) お客様からの指示により、4時間以内を目標に、 セキュアヴェイルSOCが緊急にてシグネチャのチューニン グを実施します。

カスタムシグネチャ適用 (セキュリティマネジメント)

特定の脆弱性についてナレッジが公開され た際、セキュアヴェイルSOCは、お客様への 影響度を調査し、カスタムシグネチャの適 用の要否に関するアドバイスを含めた形で お客様へ通知します。 世界的な規模で脅威となる脆弱性が公 開された場合、ベンダーは定期シグネチャ のアップデート以外に、カスタムシグネチャの 作成方法をナレッジに緊急公開することが あります。 お客様からの指示に基づいて、セキュアヴェ イルSOCが緊急にてカスタムシグネチャの作 成・適用を行います。 セキュアヴェイル SOC Webサーバ 正規の アクセス 不正 アクセス _{シグネチャ} 新シグネチャ シグネチャ アップデート (6週間毎) Internet

保護対象Webアプリ脆弱性診断 (セキュリティマネジメント)

Plan

Do

Check

Action

※本サービスはオプションとなります。 セキュリティホールや設定ミスを明らかにし、 Webアプリ側での対処（プログラム改修等）を お客様に促し、お客様環境全体でのセキュリ ティ強化を図ります。 PDCAサイクルを用いた定期的な脆弱性診断 の実施により、問題のある脆弱性が発見され ない状態を維持します。 サービス提供対象のセキュリティポリシーにて保 護されるWebアプリに対して、ツールを用いた脆 弱性診断を実施し、結果、改善策等をレポー トにてご提供します。 ※診断は、対象Webアプリへの擬似攻撃を含むため、検証 環境を対象に実施することを推奨します。

セキュリティログレポート (セキュリティマネジメント)

シグネチャ傾向レポート、送信元IP、攻撃サイト、ユーザエージェント、ステータスコード等の

レポートを標準で提供します。

※ Webポータル上での任意の条件設定によるレポート作成も可能です。

稼働監視 (システムマネジメント)

FW/UTM ルータ Webサーバ VPN装置 お客様サイト BIG-IP ASM ロードバランサ LogStare collector セキュアヴェイルＳＯＣのネットワークセキュリティ の監視・運用ノウハウにて、お客様のセキュアな 環境をトータルでマネージします。 保護対象サーバの稼動監視は、お客様サイト 内に設置した「LogStare collector」で監視・ロ グ収集を行い、セキュアヴェイルＳＯＣがロードバ ランサから各サーバに割り当てられたリアルIPア ドレスを監視します。 さらに、各種ネットワーク・セキュリティ機器を運 用監視するNetStareが、ファイアウォール/UTM、 ロードバランサ、スイッチなどの機器も稼動監視 します。

性能監視 (システムマネジメント)

監視項目 内容 CPU使用率 CPUリソースを監視し、CPUの過負荷を迅速に 検知します。 メモリ使用率 メモリリソースを監視し、メモリの逼迫を迅速に検 知します。 コネクション数 TCPコネクション数を監視し、アクティブコネクション による機器への過負荷を迅速に検知します。 トラフィック インタフェースごとのトラフィック量を監視し、トラブ ル発生時の相関分析に利用します。 リソースの性能履歴が 蓄積された統計レポート 日次 レポート 週次 レポート 月次 レポート 機器の性能状態を把握し、常に最適なパフォーマン スを維持すると共に、システムダウンを予防します。 お客様の機器性能に関わるリソース（CPU、メモリ、コ ネクション数、トラフィック）を監視します。 リソース情報は、SNMPを用いて５分間隔で収集され、 セキュアヴェイル運用監視システム内に保存されます。 蓄積された障害データはもちろん、日常の性能監視 の履歴は、被害を未然に防ぐための潜在的なトラブ ルの発見と改善や、機器の性能評価を行う上での参 考情報としても活用できます。

Webポータル (システムマネジメント)

Layer1 モニタリング状況一覧 「モニタリング状況一覧」では、サー ビス対象となる機器ごとに 監視項 目を一覧で表示します。 障害が発生している場合は、監視 項目をステータスに応じて、 「赤（警告）」または「黄色（注意）」 で表示します。 Layer2 監視項目別状態表示 Layer3 監視項目別レポーティング DSV、またはモニタリング状況一覧 から、ドリルダウンによって、詳細な 状態表示画面へ移ります。 障害が発生時には、リアルタイムの データと、過去のデータを突き合わ せることで、状態推移や値の比較 などのチェックを行なうことが可能で す。 監視項目ごとに、基点日を指定し た日次、週次、月次レポートをPDF またはCSVでダウンロードすることが 可能です。 バージョンや機種に依存せず、すべ ての機器を同一フォーマットのレポー トとして管理することが可能です。

お客様専用のWebポータルサイトより、機器に対する稼動監視の状況やシステムリソース状況、

ログレポートをご覧いただくことができます。

障害復旧支援 (システムマネジメント)

論理障害に関しての 問合せや物理障害に 伴う機器交換の調整・ 手配など、保守ベン ダーとのさまざまな折衝 をセキュアヴェイルＳＯＣ が代行します。 ハードウェア障害時は、 トラブルの発生する直 前の状態にまで復旧し ます。 迅速で高度なサポート 技術でダウンタイムを短 縮します。 お客様の機器に障害 や故障が発生した際、 セキュアヴェイルＳＯＣ が原因の調査を行い、 システムの迅速な復旧 に努めます。 機器の交換に対応の 際、セキュアヴェイルで 管理された最新の設 定ファイルを適用し、 障害が発生する直前 の状態にまで復旧しま す。

導入スケジュール、サービス価格

およびサービス一覧

4

※ 対象機器別の価格体系となります。冗長化構成をご希望の場合は、別途お見積りとなります。

※ 初期費用の作業は、対象機器の設計、構築、導入及び、ログ分析による初期ポリシーチューニング、サービス提供のための 弊社内設備の初期設定作業等となります。

サービス価格

対象機器モデル BIG-IP 2000s BIG-IP 4000s BIG-IP 5050s BIG-IP 7050s

最大スループット （Gbps） 5 10 30 40 最大L4 コネクション/秒 （CPS） 75,000 150,000 350,000 390,000 最大L7 リクエスト数/秒 （RPS） 212,000 425,000 750,000 800,000 初期費用 _{¥1,200,000～} ※構成、ご要件等によりお見積り 月額費用 ¥320,000 ¥400,000 個別お見積り

対象機器により初期費用・月額費用は異なります。

初期費用と初期作業概要

①Webサーバ構成、 ネットワーク構成 等ヒアリング ②導入機器の 設計 ③サービス仕様 ・サービス機 器構成・設定 シート等ご提示

設計

①弊社内にて 機器の構築 ②機器動作の 正常確認等を 実施 ①オンサイト機器 設置作業 ②ネットワーク疎通、 機器正常動作確 認、運用監視アク セス確認等を実施 ①お客様へサービス 提供するための 弊社設備内の 初期設定を実施 ★サービス開始１か月後 ①1ヶ月間の透過モードによる 稼働 ②弊社推奨ポリシーレポート提出 及び、報告会を実施 ③チューニング及び、防御モード への切替作業を実施

構築

サービス

初期設定

_導入

初期費用（税別）：

¥1,200,000

～

サービス開始

〜2週間 〜3週間 〜4週間 〜8週間 ※設計・構築と並行し 実施

サービス一覧

サービス分類 サービス項目 ○標準サービス セキュリティオペレーション 定期シグネチャチューニング ○ 保護対象Webアプリ脆弱性診断 ※ セキュリティインシデント対応 リアルタイムイベント通知 ○ 緊急シグネチャチューニング ○ カスタムシグネチャ適用 ○ ヘルプデスク ヘルプデスク ○ ログ管理・分析/レポート ログ収集 ○ セキュリティログレポートWebポータル/PDF配信 ○ セキュリティログレポート期間延長（12ヶ月プラス） ※ ログ収集容量追加（10GB/月） ※ 監視Webポータル/レポート配信 ○ ※有償オプション。別途お問合せください。 稼働監視 基本稼働監視 ○ 保護対象Webアプリ監視 ○ 稼動監視詳細通知・対応 ○ 性能監視 基本性能監視 ○ 性能監視詳細通知・対応 ○ 障害復旧支援 障害復旧支援 ○ システムオペレーション 設定情報バックアップ保管 ○ バージョンアップ ○ セ キ ュ リ テ ィ マ ネ ジ メ ン ト シ ス テ ム マ ネ ジ メ ン ト

本サービスに関するお問合せ

詳しいご説明、ご相談は、下記までお問い合わせ下さい。

株式会社セキュアヴェイル

＜TEL＞

大阪本社 TEL:06-6136-0020

東京本部 TEL:03-6264-7180

Webからのお問合せ https://www.secuavail.com/contact/

サービスに関する情報は、下記webページもご参照下さい。

URL

http://www.secuavail.com/product/netstare/waf_f5.html

【ご参考】

F5ネットワークス・F5 BIG-IP ASMについて

NetStare/F5 BIG-IP ASM WAF運用監視サービス

F5 (エフ・ファイブ) Networksについて

F5 Networksは、1996年にワシントン州シアトルで設立された

アプリケーション デリバリ ネットワーキング分野におけるグローバル リーダーです。

F5の包括的アーキテクチャにより 、アプリケーションの最適化およ びアプリケーションとネットワーク の保護が実現され、アプリケー ションの信頼性が向上します。 F5のオープンで拡張性の高いフ レームワークは、幅広いパートナ ーエコシステムとの協業を通じ、 ITの適用範囲を広げ、最適な IT基盤の構築を可能にしていま す。 F5のソリューションは、国内外の リーディング企業、サービスプロ バイダー、公共機関のIT分野で 広く採用され、最先端のクラウ ド、セキュリティ、モビリティ環境 の実現に貢献しています。

F5ネットワークスでは、BIG-IP Application Security Managerの提案、導入、運用を支援するF5 認定パートナー を選定し、エンドユーザおよびシステム インテグレータに向けて、WAFのノウハウや24時間365日のセキュリティ運用 監視を提供。セキュアヴェイルはその認定パートナーとしてWAF監視運用サービスを提供していきます。

F5 BIG-IP Application Security Manager (F5 BIG-IP ASM)

アプリケーションとデータのセキュリティ保護

BIG-IPプラットフォームで動作する、

Webアプリケーションファイアウォール（WAF）

既知及び、未知の脅威からアプリ ケーションやデータを保護し、標 準的な保護をかいくぐるボットを 防ぎ、アプリケーションの脆弱性に 仮想的なパッチを適用する、包 括的な Web アプリケーション ファ イアウォール (WAF)です。 ９９．８９％という高い総合的なセ キュリティ有効性で高度かつ複雑 な脅威に対応します。 SSL オフロードでアプリケーション の負荷を軽減し、悪意のあるコン テンツのキャッシュを抑止すること で、アプリケーション パフォーマンス を保護します。 レイヤ 7 DDoS 防御、高度な 検出と対策技術、詳細な脅威 分析、ダイナミックな学習、仮想 パッチ、攻撃への詳細な可視性 の組合せにより、既知及び、未 知の脅威やHTTP および WebSocket トラフィックを視覚化 。正常なWeb トラフィックやストリ ーミングデータフィード、チャット セ ッションに混在する攻撃を阻止し ます。

F5 ASM の特徴と導入事例

特長

〇すぐに使用可能な効果的なセキュリティ ポリシー作成が簡素化されるためWAF を素早く展開してセキュリティを 迅速に確保します。 〇データ保護とクローキング データのストリップアウトおよび情報のマスキングにより、機密データ(クレ ジットカード情報、社会保障番号)の損失を防止します。 〇攻撃下でも高い拡張性とパフォーマンスを実現 攻撃を受けたときでも、アプリケーションの可用性とパフォーマンスを確保 します。 〇レイヤ7攻撃からの保護 DOS/DDOS、総当たり、SQL インジェクション、クロスサイトスクリプティ ング、リモートファイルインクルージョン、クッキーポイズニング、セッションハ イジャックなどの攻撃を検出して軽減します。 〇アプリケーション認識 ユーザ名とアプリケーションの違反を関連付けることで徹底した防御を 実施し、フォレンジックをサポートして攻撃を正確に把握します。 〇積極的なボット防御 標準的な検出方法をかいくぐる悪質なボットを特定し、その脅威を開 始以前に、高い精度で軽減します。 〇デバイスの特定 複数の IP、セッション、回避行動にわたって、すべての訪問者の特定の デバイスIDを追跡することで、不良アクターのブロック精度を向上させます。 〇違反の関連付けとインシデントのグループ化 複数の攻撃を1つのインシデントに自動的に関連付け、見やすくするこ とで管理を容易にします。 株式会社フルキャストホールディングス マイナンバー収集・管理代行ビジネス立ち上げのためBIG-IP ASMでレイヤ7のセキュリティを確保し、他社クラウドサ ービスよりも安価なWAF導入を実現 PIEM オンラインサービスでの顧客の安心感を高めるためWAFで外部攻撃からの防御力を強化するなど、セキュリティへの 積極投資で差別化を図る

導入企業事例