E
P
A
P
E
R
:
powered by SymantecWhite Paper
WAF(Web Application Firewall)導入ガイド
Copyright ©2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは、 Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製 品名は各社の登録商標または商標です。 合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行っています。 ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、(明示、黙示、または法 律によるものを問わず)いかなる種類の保証も行いません。合同会社シマンテック・ウェブサイトセキュリティは、 本書に含まれる誤り、省略、または記述によって引き起こされたいかなる(直接または間接の)損失または損害に ついても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサイトセキュリティは、本書に記述 されている製品またはサービスの適用または使用から生じたいかなる責任も負わず、特に本書に記述されている製 品またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します。本書は、本書の読者に対 し、本書の内容に従って作成された機器または製品の作成、使用、または販売を行うライセンスを与えるものでは ありません。最後に、本書に記述されているすべての知的所有権に関連するすべての権利と特権は、特許、商標、 またはサービス ・ マークの所有者に属するものであり、それ以外の者は、特許、商標、またはサービス ・ マーク の所有者による明示的な許可、承認、またはライセンスなしにはそのような権利を行使することができません。 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利 を持ちます。
CONTENTS
はじめに
4
1 WAF の選定
4
1.1. WAF の提供形態
4
1.2. WAF 選定のポイント
4
2 WAF の導入
9
2.1. 導入の流れ
9
2.2. 事前準備
9
2.3. トライアル
9
2.4. モニター・チューニング
10
3 WAF の運用
11
3.1. 運用のポイント
11
3.2. 運用の注意点
11
4 WAF による脆弱性対策の効果
12
4.1. WAF の効果
12
4.2. シマンテックの取り組み
12
はじめに
ウェブサイトに対する攻撃が増えつつある一方、ウェブサイトの脆 弱性対策は対応が遅れています。脆弱性診断を行うベンダーの発 表※ 1では、過半数のウェブサイトに脆弱性があることが指摘され ていますが、それらの脆弱性への対策はハードウェア・OS・ソフト ウェア・ミドルウェア等のセキュリティパッチの適用が必要です。 しかし、セキュリティパッチの適用は、運用中のシステムへの 影響の確認のために遅れる事を耳にします。また、システム開 発の契約によってはパッチを当てると動作保証外になることも あり、脆弱性が放置されることもしばしばです。さらに、ウェブ アプリケーションで脆弱性が見つかった場合、アプリケーション の改修が必要になります。そうなると開発期間もコストも都度必要 になります。 そこで、システム自体にパッチを当てたり、改修をしなくても対策 が行えるウェブ・アプリケーション・ファイアウォール(以下「WAF」) が注目を浴びるようになっています。WAF をシステムの前面に配 置して、脆弱性を狙った攻撃が行われた場合に WAF 側で守る手 法です。 WAF を導入すると新たな脆弱性が見つかる度に対策をする必要 がなくなる一方、WAF の導入・運用について注意、考慮すべきこ とがあります。この資料は WAF の導入・運用の手引きとしてまと めました。ウェブサイトの脆弱性対策の一助になれば幸いです。1 WAF の選定
1.1. WAF の提供形態
WAF には、大別して3パターンの製品があります。お客様の環境 に適した製品・サービスを選定ください。 ▪ ▪アプライアンス型製品 - ハードウェアの WAF 専用の機器を導入 ▪ ▪ソフトウェア型製品 - ウェブサーバに WAF のソフトウェアをインストール - 専用サーバに WAF のソフトウェアをインストール ▪ ▪サービス型製品 - サービスとしてクラウドなどで提供されている WAF を利用1.2. WAF 選定のポイント
WAF 導入の際には、自社のシステム要件や業務条件に適した製品・ サービスを選択する必要があります。導入を検討する際の検討ポ イントを 6 項目にまとめました。 1) ネットワーク構成の変更 ネットワーク上に新たに機器・サービスを設置・導入する必要があ る為、WAF を導入した場合のネットワーク構成やネットワーク各 種機器の設定を検討する必要があります。 提供形態 検討事項 アプライアンス型 • ネットワーク上のどこに設置するかを検討くださ い。設置場所や設定によりネットワーク上での見え 方や動作が変わります。 • 機器ベンダー、サービスプロバイダー、ネットワーク 管理部署との調整を行ってください。 ソフトウェア型 • ウェブサーバにインストールする場合、ネットワー ク構成を検討する必要はありませんが、インストー ルした際のサーバの負荷などの影響を確認くださ い。 • 専用機を用意する場合は、アプライアンスと同様に ネットワーク上での設置方法や設定方法を考慮く ださい。 • 同じ機器にインストールされているOSやアプリケ ーション、サービスに影響がないか確認ください。 サービス型 • 基本的にネットワーク構成を変更する必要はありま せんが、DNSを変更してください。 ※ 1: 脆弱性診断を行っているセキュアスカイテクノロジーによると、同社が診断を行った約 70%のウェブサイトで重大な脆弱性が発見されている。 https://www.symantec.com/ja/jp/page.jsp?id=waf-vulnerabilities-risksインターネット ファイアウォール ウェブサーバ WAF 導入前の構成例 インターネット ファイアウォール ウェブサーバ プロキシ型の WAF 導入例 WAF インターネット ファイアウォール ウェブサーバ ブリッジ型の WAF 導入例 WAF ▪ ▪ ソース元 IP を利用したアクセス制限 WAF のサービス形態に関わらず、お客様のシステムで IP アド レスによるアクセス制限を掛けている場合は、WAF を経由して もクライアントのソース元 IP アドレスを認識できるようにする必 要があります。(WAF 側で、ソース元 IP アドレスのアクセス制 限を掛ける方法もありますが、ベンダー側で別途費用が発生す ることもあります。また、ソース元 IP アドレスが変わらないブ リッジ ( アクセス透過 ) 型の仕組みを用意している製品もありま す。ブリッジ型の利用には制限が伴う場合があるので製品のベ ンダーへお問い合わせ下さい。)なお、GoogleAnalytics の ようなビーコン型の解析ツールはソース元 IP アドレスを利用し ていないので、WAF 導入による影響はありません。 プロキシ型の WAF の場合、本来のアクセス元 IP アドレスは、 HTTP ヘッダ内に以下のような形で埋め込んで送るのが一般的 です。その場合、ウェブサーバソフトウェアの設定を変更して対 応ください(右枠内の「【ヒント】 ウェブサーバソフトウェア設 定方法について - ネットワーク動作編 -」もご参照ください)。 X-Forwarded-For: xxx.xxx.xxx.xxx(ソース元IP) ▪ ▪ソース元IPアドレスを利用したロードバランシング ロードバランサーによってはソース元 IP アドレスを利用して最後 の桁が偶数、奇数でロードバランシングをしていることがありま す。その場合、ソース元 IP アドレスが WAF からの接続に変更 されると、ロードバランサーが機能しなくなります。この場合に も、前項同様、ソース元 IP アドレスを認識できるように変更す るか、ロードバランシングの方法をラウンドロビンに変更する必 要があります。 【ヒント】 ウェブサーバソフトウェア設定方法について※ 2 - ネットワーク動作編 - ウェブサイトでソース元 IP アドレスを利用してアクセス制 限を掛けていたり、ロードバランシングをしていることがあ ります。 一般的に普及している Apache と IIS について、 x-forfarded-for への設定変更方法をまとめます。 ・Apache の場合 Apache 定義ファイルの変更が必要となります。設定方法と しては、以下があります。 =========
SetEnvIf X-Forwarded-For "許可したいIPアドレスを正規 表現を利用して指定"
is_x-f-f=1 SetEnvIf Remote_Addr “WAFのIPアドレスを 正規表現を利用して指定"
is_allowip SetEnvIf is_allowip "^$" !is_x-f-f order deny,allow
deny from all
allow from env=is_x-f-f =========
・IIS の場合
Microsoft 社や F5 社が x-forwarded-for 用の dll を提供 して い ま す。「x-forwarded-for microsoft」 や「ISAPI Filter」で検索してご利用ください。
※ 2: ここではシマンテック クラウド型で通常提案している方法を例に挙げています。ウェブサーバソフトウェア側の変更や WAF 毎に対応法に違いがあること があります。詳細はウェブサーバソフトウェアや WAF のベンダーにお問い合わせください。
2) ウェブアプリケーションへの影響確認と調整 ソース元 IP アドレスを利用しウェブアプリケーションなどで以下の ような処理や表示を行っている場合はご注意ください。本来のソー ス元 IP アドレスは、WAF により前項同様、HTTP ヘッダ内の X-Forwarded-For に追記することが一般的です。 ▪ ▪ アクセス解析 ▪ ▪ ソース元 IP アドレスを利用したウェブアプリケーション (IP ジオロケーションなど ) 本来のアクセス元 IP アドレスは、前項同様、HTTP ヘッダ内の X-Forwarded-For に追記されることが一般的です。 【ヒント】 ウェブサーバソフトウェア設定方法について※ 2 - ログ・アプリ動作編 - ウェブサーバへのアクセスログやそのログを利用して解析 を行うアプリケーションがある場合、ログの取得方法を変 更します。 一般的に普及している Apache と IIS について x-forwarded-for への設定変更方法をまとめます。 ・Apache の場合 設定ファイルのログフォーマットのホスト IP を指定する %h を、%{X-Forwarded-For}i に変更します。 – ( 修正前 ) LogFormat "%h %l %u %t \"%r\" %>s %b" common – ( 修正後 ) # LogFormat "%h %l %u %t \"%r\" %>s %b" common LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b" common ・IIS の場合 Microsoft 社や F5 社が x-forwarded-for 用の dll を提供して います。「x-forwarded-for microsoft」 や「ISAPI Filter」 で検索してご利用ください。 3) 正常通信の誤検知とシグネチャ調整 ▪ ▪WAF は通信を機械的に検査するが故に、間違って正常通信 を遮断しないよう確認する必要があります。この作業を自 社で実施するか、導入ベンダーに依頼するかを検討くださ い。 ▪ ▪誤検知が発生した場合、セキュリティレベルを保つため、 シグネチャの調整を行うことが必要です。この調整への対 応がベンダー、サービスプロバイダーによって違うので確 認ください。 ▪ ▪シグネチャの調整の作業は、WAF の導入時は当然のことな がら、シグネチャの新規追加時にも行う必要があります。(シ マンテック クラウド型 WAF の場合、この作業はクラウド 側で行いますのでお客様の作業はありません。) 4) ブラックリストの利用 / ホワイトリストの作成 ▪ ▪一般的に WAF は、ホワイトリストとブラックリストとい う2つの防御手法があります。ホワイトリストの作成を実 施する場合、ウェブの入力項目毎にどのような設定を実施 するか検討する必要があります。 ▪ ▪ブラックリストを利用する際には、ベンダーから提供され るシグニチャを利用することになりますが、そのシグニチャ で誤検知が発生した場合の対策方法についてはベンダーに 確認してください。(具体的な対応方法は、「3.2 運用の注 意点」に後述します。) 防御手法 概要 メリット デメリット ホワイト リスト 事前に定義したも の 以 外 は ブ ロックする 定義したものし か 通 さ な い た め、防御効果は 高い ・ フ リ ー 入 力 部 分 等、 定義できない箇所があ る ・導入、サイト更新時 にチューニングが必要 ブラック リスト 登録したものをブロックする 個別のチューニングが必要無い 為、導入が容易 ・未知の攻撃に対応で きないケースがある
▪ ▪ ホワイトリストでの設定を実施する場合、一度設定を行っ たウェブサイトに追加開発が発生する度に、WAF の設定も 調整する必要があります。追加開発毎に一からシグネチャ を見直す必要が出てくるケースもありますので、実際に運 用する際は、開発環境にも WAF を導入し、ホワイトリス トの修正と動作確認をしてください。 提供形態 検討事項 アプライアンス型 管理画面からホワイトリストを設定できます。(ウェ ブサイトでの入力をブロックされるべき内容とウェ ブアプリケーションの攻撃手法に関して、正しい理 解が必要です。)設定を依頼する場合は、別途ベ ンダーやサービスプロバイダに有償で依頼するこ とが一般的です。 ソフトウェア型 同上 サービス型 基本サービスメニューでは、提供していないことが あります。(シマンテック クラウド型 WAF の場合、 ご依頼に応じて有償で設定をします。) 5) ウェブサイトのトラフィック増大に伴った WAF の選択 ウェブサイトへの流入が増えた(または増えることが見込まれる) 場合、それに合わせ、WAF 自体の処理能力も向上させる事が必 須となります。このような場合、スムーズに処理能力を向上させ る方法及び、その際のコストをあらかじめ把握しておく必要があり ます。(投資が無駄になるので、スケールダウンの考慮も必要とな ります。) 提供形態 検討事項 アプライアンス型 WAF の処理能力が足りなくなった場 合、追加で購入するか、処理能力の 高い機器に置き換える必要がありま す。追加購入・設置費用とリードタイ ムなどを確認ください。 ソフトウェア型 WAF が導入されているサーバのス ペックをあげるか、冗長化などの対策 が必要です。対策のための費用とリー ドタイムを考慮ください。 サービス型 上位サービスに契約を切り替える必要が あります。サービスプロバイダにサービ ス変更のフローとリードタイムを確認くだ さい。シマンテック クラウド型 WAF の 場合、停止時間を発生させず、上位サー ビスに切り替えることができます。 6) コストについて WAF に限らず、商品を購入するにあたり、コストは重要なポイン トとなります。以下の観点でコスト比較をすることをお勧めします。 ▪ ▪WAF のコスト アプライアンス型の場合、機器自体の初期購入コストが必要です。 (リースなどの方法が提供されている場合もあります。)冗長化 をすると台数分費用がかかります。ソフトウェア型の場合、ソフ トウェアのライセンスとソフトウェアをインストールするサーバの コストなどがあげられます。サービス型では、WAF を購入、保 有する行為は行わないので運用コストでカバーされます。 ▪ ▪設置先のコスト アプライアンス型の場合、純粋に追加ハードウェアが設置される ロケーション ( データセンタやサーバルーム ) のコスト ( ラック スペース、電源 ) を考慮ください。 ▪ ▪WAF 導入のコスト WAF 導入時に、お客様環境に導入するために、初期設定を行 う費用です。WAF のインストールや設定、保守要員へのトレー ニングなどがこの費用に当たりますが、各ベンダー、プロバイ ダー毎に提供範囲が違いますので確認ください。 ▪ ▪WAF 保守のコスト (機器保守費用、シグネチャ更新費用等) WAF の機器の保守には、アプライアンスやサーバの物理的な 保守費用だけでなく、OS や WAF のセキュリティパッチの保守 作業なども含まれます。さらにシグニチャを随時更新する必要 があるので、その更新費用も含まれているかどうか確認してく ださい。自社で保守を行う場合、この費用を抑えることが可能 ですが、保守を行うために十分なサポートが得られるか WAF の サービスプロバイダに確認ください。 ▪ ▪運用コスト WAF を運用していく中で、誤検知が起こっていないかの確認や、 攻撃のログの確認を行う必要があります。また、新たなシグネ チャを更新した際などに、誤検知が発生した場合は、セキュリティ レベルを極力下げずに、どのような対応を取るかを判断・実施 することも重要です。この作業を自社内で実施する事が困難な 場合、ベンダーに運用内容やコストを確認する必要が発生しま す。
▪ ▪ システム変更費用 WAF 導入に当たって、設置・導入費用の目安です。詳しい費用については各ベンダーにお問い合わせ下さい。アプライアンス型、ソフトウェ ア型では基本的に初期導入のコストに含まれることが一般的ですが、別途、ネットワークやアプリケーションへの改修などが必要な場合は 別に見積もってください。 (参考データ)WAF 導入費用の目安 一般的に掛かる費用を提供形態ごとにまとめました(自社調べ、2012 年 6 月現在)。WAF の製品や案件の規模により、費用は変化し ますので、詳細はサービスプロバイダにお問い合わせください。 また、シマンテック クラウド型 WAF の価格についてはウェブページでご確認ください。 https://www.symantec.com/ja/jp/page.jsp?id=waf-pricelist 提供形態 WAF ライセンス 設置先 導入初期 保守 運用 システム変更 アプライアンス型 100 万円 ~ 1 千万円程度 データセンター 費用等 ~ 500 万円程度100 万円 年間 50 万円 ~ 200 万円程度 月額 20 万円 ~ 100 万円程度 導入コストに含まれる ソフトウェア型 100 万円 ~ 1 千万円程度 ウェブサーバに導入する場合不要 ~ 500 万円程度100 万円 年間 50 万円 ~ 200 万円程度 月額 20 万円 ~ 100 万円程度 導入コストに含まれる サービス型 (シマンテック クラウド型 WAF の 場合) 運用コストに 含まれる 運用コストに 含まれる ~ 198,000 円98,000 円 運用コストに含まれる 月額 29,800 円~198,000 円 DNS・プロキシロード バランサ設定変更のコスト
2 WAF の導入
本章では、WAF の導入プロセスと注意点をサービス型の提供形 態であるシマンテック クラウド型 WAF を例に説明します。2.1. 導入の流れ
導入時は事前準備を十分に行い、メーカー・ベンダーや社内関係 部署と調整をおこなってくだい。その後、検証サイトでのトライア ル、発注、チューニング、本番導入と進めてください。 事前準備 トライアル モニター結果の 確認 防御開始 運用 サポート 検証利用開始 本サービス 利用開始2.2. 事前準備
見積もりと準備
WAF の選定が終わったら、シマンテック クラウド型 WAF では ヒアリングシートの記入をお願いしています。ヒアリングシートで は、WAF を設定するために必要なウェブサイトの FQDN(Fully Qualified Domain Name) や IP アドレス、ウェブサイトの帯域、 管理サイトを設定するための管理者情報をご連絡いただき、それ に対して検証用サイトの提供とお見積もりを提出しています。 【ヒント】 シマンテック クラウド型 WAF のトライアル ヒヤリングシートの情報を基に、シマンテック クラウド型 WAF の設定を行い、以下をご案内します。PC の「Hosts ファイル」 を変更して、WAF を経由したテストを行ってください。 ▪ ▪管理画面用アカウント ▪ ▪Hosts ファイルを変更してのテスト方法 ※ テストサイトの準備は、ヒアリングシートの回収後、3 営業日で 終了いたします。 ※ テスト時に、SSL サーバ証明書をインストールしていない場合、 ブラウザのエラーメッセージが出ます。Hosts 型のトライアル の場合は、Hosts ファイルを書き換えた方だけに表示されるエ ラーですので、無視してください。DNS 型のトライアルをご希 望の方は、信頼された SSL サーバ証明書を導入することでブラ ウザのエラーメッセージを回避できます。2.3. トライアル
検証用トライアルを行うには、アプライアンス型、ソフトウェア型の 場合、テストサイトを本番サイト以外に準備するのが一般的です。 シマンテック クラウド型 WAF の場合、インターネットの経路を変更 することで利用できるため、現在運用中のウェブサイトに対してサー ビスを阻害することなくテストすることが可能です。 トライアルで確認するポイントを以下にまとめました。(1)ウェブサイトへの影響
▪ ▪「1.2. WAF 選定のポイント」でも説明したとおり、WAF をウェブサーバの前面に設置する為ソース元 IP アドレスが 全てシマンテック クラウド型 WAF の IP アドレスとなって しまいます。その為、ソース元 IP アドレスを認識する設定 変更が必要になる場合があります。(2)ウェブレスポンスの確認
▪ ▪WAF を導入することにより、Hop 数が増えること、不正 な通信かチェックをすることから、レスポンスは低下しま すが、シマンテック クラウド型 WAF では、このレスポン スの低下は体感できるレベルにならないよう工夫されてい ます。しかし、ネットワーク環境や導入製品・サービスに より差が出る可能性もありますので、事前にレスポンスを ご確認ください。特に、5MB 以上のデータのアップロード、 ダウンロードやストリーミングの処理がある場合、体感速 度が遅くなることがあります。それらの通信は別のサーバ を経由させるなどすると負荷を軽減できます。(3)誤検知について
▪ ▪WAF のブラックリストは、正常通信の誤検知が発生しない ように各社工夫がされていますが、海外のシグニチャだと ブラックリストでも誤検知が発生することがあります。ま ずはブロックはせず、ログだけをとる設定でスタートし、 正常通信を確認した上で WAF を導入ください。シグニチャ の調整が出来ない場合は、シグニチャをオフにする運用に なってしまいますので、その場合のセキュリティ対策をど うするかを考えておくことが必要です。2.4. モニター・チューニング
シマンテック クラウド型 WAF の場合、サービス費用にこのモニ ターとチューニングの作業費用も含まれており、以下のフローに て対応致します。つまり、導入の確認は一通りのウェブサイトの動 作を行っていただければ済みます。 お客様より誤検知の 連絡を受ける 誤検知が発生する URL のみ ブロック機能を OFF にする 誤検知が発生しないよう シグネチャを調整する 誤検知が発生していた URL の ブロックを ON にする 運用会社にて 誤検知を確認する 青枠、緑枠部分は全て、当社側の作業となります。緑枠については、 WAF の管理画面よりお客様にて実施して頂くことも可能です。 アプライアンス型、ソフトウェア型の WAF の場合、正常通信の誤 検知が発生した場合、誰が確認して、誰がチューニングを行うの かを確認しておく必要があります。まずは WAF を入れた状態で、 ウェブサイトの一通りの操作を行ってください。その際に、ブロッ クされる動作がないか、動作が遅くなることがないかを確認くださ い。 もし、動作で気になる点がある場合には、WAF を解除して再度動 作確認し、WAF のベンダーやサービスプロバイダーと導入前の調 整を行ってください。ウェブサイトのボリュームにより、このモニター とチューニングの作業量が変化します。またウェブサイトの特性に より、時期に依存して入出力されるデータに違いがある(月次処理 を行うウェブサイトなどの)場合、すべての処理をテストしてみる 必要があるため、ウェブサイトのすべての機能を利用した検証をお 勧めします。 ウェブサイトの正常動作が確認できたら WAF をオンにしてサイト の防御を開始します。防御に際して次章に挙げる運用に関して確 認を行ってください。3 WAF の運用
3.1. 運用のポイント
WAF は導入後にどのように運用をしていくのかが非常に重要で す。特に新たな脆弱性は、OS、ハードウェア、ミドルウェア、ウェ ブサーバ、ウェブアプリケーションのどこで見つかるか分かりませ んし、それら新たな脆弱性が見つかった際にシグニチャをすばやく 導入していく必要があります。また、WAF やシグニチャが導入さ れたことで、導入サイトのウェブサービスの表示を妨げたり、ウェ ブ利用者の入力を意図せずにブロックする場合には、シグネチャの 調整やウェブアプリの回収など脆弱性への対応方法を決める必要 があります。3.2. 運用の注意点
WAF の運用を行うにあたり、以下のポイントを考慮し、実施して ください。(1)防御ログの確認
▪ ▪ WAF には、防御を実施すると正常通信の誤検知がある攻撃 手法(一部のクロスサイトスクリプティングなど)に関して、 防御せずログを取得する対処方法があります。また、ブロッ クした攻撃はログに残します。収集されたログについては、 実際に攻撃であったのか、どのような影響があったのかを 確認する方法や担当を決めてください。特に特定の IP アド レスからの攻撃が頻発していたり、特定の攻撃手法を頻繁 に狙われた履歴があれば、IP アドレス制御、シグネチャの 追加、ウェブアプリケーションの改修など対策を検討くだ さい。 提供形態 検討事項 アプライアンス型 管理画面からログを確認することができるが、攻撃 手法に対する対策の必要性を判断するには専門知 識が必要となります。随時その内容を確認するため には、別途ベンダーにご相談ください。 ソフトウェア型 アプライアンス型と同等となります。 サービス型 管理画面からログを確認することができるが、専門 知識が必要となります。 シマンテック クラウド型 WAF の場合、サービスの 範囲内でログに誤報が無いかを専門家がチェック、 削除を行います。またログの内容が不明であった場 合の問合せ対応もサービス費用に含まれています。(2)誤検知のシグネチャ調整
▪ ▪正常通信の誤検知が発生した場合、単純に該当するシグネ チャを OFF にすると防御効果が落ちます。シグネチャの調 整の可否をベンダーやサービスプロバイダと確認ください。 提供形態 検討事項 アプライアンス型 管理コンソールで管理者が対応するのが一般的で す。ベンダーに依頼をする場合、別途費用がかかり ます。またメーカーにもよりますが、シグネチャ自 体を調整することはできないケースがあります。そ の際、WAF の管理画面から、誤検知が発生したシ グネチャを OFF にする運用にすると、セキュリティ レベルが下がるのでご注意ください。 ソフトウェア型 アプライアンス型と同等となります。 サービス型 管理コンソールで管理者が対応するのが一般的です。 (シマンテック クラウド型 WAF の場合は、運用会社 で行います。また、その費用はサービス料金に含ま れています。シグネチャの調整方法は、単にシグネチャ を OFF にするのではなく、シグネチャ自体をお客様 サイトの特性に応じて修正し、セキュリティレベルを 下げないような運用をしています。)(3)冗長化構成
▪ ▪WAF を導入することにより、ウェブサイトの通信が WAF を経由しますので、WAF のメンテナンスや障害により、ウェ ブサイトが閲覧できなくなる可能性もあります。ウェブサ イトによってはメンテナンス時間を確保できない場合は、 WAF の冗長化を検討ください。また、トラブル発生時の原 因を切り分けの担当や WAF のメンテナンス担当を明確に 決めておく必要があります。 提供形態 検討事項 アプライアンス型 機器を複数台購入する必要があります。 ソフトウェア型 ウェブサーバにインストールしていれ ば、ウェブサーバを複数台とし、WAF 専用のサーバにインストールしていれ ば、アプライアンス型と同等となります。 サービス型 サービス提供会社の内容によります。 シマンテック クラウド型 WAF では標準 サービスで冗長化された構成を提供し ます。(4)切り離し手順
▪ ▪ WAF は不正と思われる通信を遮断する機能を持っておりま す。可能性としては低いですが、この機能の誤動作により、 ウェブサイトが利用できなくなることもあります。このよ うな場合に備え、WAF を切り離す手順も確立しておく必要 があります。 提供形態 検討事項 アプライアンス型 ネットワーク構成によりますが、配線の 切り替えにより実施するのが一般的で す。冗長構成を組んでいる場合は、副シ ステムの正常通信の確認とシグニチャ の同期を確認ください。 ソフトウェア型 ウェブサーバにインストールしている場 合、設定によりWAFの機能を停止する ことができますが、ウェブアプリやOSな どの問題との切り分けが困難となるケ ースがあります。WAF専用のサーバに インストールしていれば、アプライアン ス型と同等の対応が必要になります。 サービス型 DNSの変更により、お客様自身で切り 離すことが可能です。4 WAF による脆弱性対策の効果
4.1. WAF の効果
ウェブサイトの脆弱性を狙った攻撃への対策としてこのホワイト ペーパーでは WAF の導入から運用までをご説明しました。ウェブ サイトの脆弱性を突いた攻撃を受けた場合に大量の情報の漏洩を 引き起こす SQL インジェクションやコマンドインジェクションなど のアプリケーションへの攻撃の対策を行っておくことは非常に重要 で、その為にも WAF による対策は重要といえます。しかしながら、 企業が運用しているシステムは、ウェブサイトだけではありません。 E メールや社内向けシステムもあります。そしてそれらのシステム を狙った攻撃手法もあります。実在する有名企業や金融機関を騙る 「フィッシングサイト」やターゲット企業のシステムを様々な攻撃 手法を駆使して執拗に狙う APT 攻撃など新たな攻撃には枚挙に 暇がありません。つまり、WAF を導入しただけでは、情報漏えい 対策が完璧になったとは言い切れません。4.2. シマンテックの取り組み
そこでシマンテックでは、広く普及している SSL サーバ証明書を 利用中のサーバに脆弱性の診断を定期的に行う「脆弱性アセスメ ント」やサーバがマルウェアに感染した場合に顧客にいち早く通 知する「マルウェアスキャン」を無償で実装しました。また、運 用しているサーバがマルウェアに感染していなければ、Google、 Yahoo!、Bing、goo など主要な検索エンジンの検索結果にて、 リンクの横に「ノートン ™ セキュアドシール」が表示されます。ウェ ブサイトの利用者が安全にウェブサイトを利用できる環境を推進し ています。脆弱性アセスメント
「脆弱性アセスメント」は、企業が公開しているウェブサイトの脆 弱性を週次で自動スキャンし、ウェブサイトの脆弱性を素早く特定 します。脆弱性アセスメントは、シマンテックが販売する SSL サー バ証明書(EV SSL証明書とグローバルサーバID) に無料オプショ ンで付与されるサービスです。マルウェアスキャン
シマンテック SSL サーバ証明書にバンドルされているマルウェア スキャンはウェブサイトを毎日チェックし、悪意のあるソフトウェア (マルウェア)を検知し、管理者に通知します。それによって検索 エンジンにブラックリスト扱いされるのを防ぎ、かつ、ウェブサイト 訪問者のコンピュータが感染するリスクを軽減します。マルウェア スキャンは、シマンテック SSL サーバ証明書およびシマンテック セーフサイトに無料オプションで付与されるサービスです。合同会社シマンテック・ウェブサイトセキュリティ https://www.jp.websecurity.symantec.com/
〒104-0028 東京都港区赤坂1-11-44赤坂インターシティ Tel : 0120-707-637
Copyright ©2014 Symantec Corporation. All rights reserved.
シマンテック(Symantec)、ノートン(Norton)、およびチェックマークロゴ(the Checkmark Logo)は米国シマンテック・コーポ レーション(Symantec Corporation)またはその関連会社の米国またはその他の国における登録商標、または、商標です。 その他の名称もそれぞれの所有者による商標である可能性があります。 製品の仕様と価格は、都合により予告なしに変更することがあります。本カタログの記載内容は、2014年4月現在のものです。
