本サービスは現在新規申込受付を停止しております。
「ソフトウェアWAFオペレーションサービス」の概要
SQLインジェクションやクロスサイトスクリプティングなど、ファイアウォールやIDS/IPSで守れないWebアプリケーションの脆弱性を利用した不正アクセスを防御するセキュリティー対策です。
「ソフトウェアWAFオペレーションサービス」を導入することにより、機密情報の取得やサービス停止を目的とした攻撃を防御することができます。最新の攻撃に対する予防保全や脆弱性の存在するWebサイトのセキュリティーを強化することができます。
「ソフトウェアWAFオペレーションサービス」は以下の悩みを抱えている方へおすすめします!
セキュリティー診断で発見された脆弱性に対する対策が分からない!
脆弱性対策に時間をかけられない!
Webサイトへのサイバー攻撃に備えたい!
発見された脆弱性に応じて
お客様個別の
チューニングを実施
単にWAFを導入するだけでなく、お客様Webサイト毎の脆弱性を明らかにした上で、お客様毎に最適なWAF設定にチューニングを実施します。
導入期間を
限りなく短縮
「ソフトウェアWAFオペレーションサービス」はソフトウェア型WAFを採用しているため、ネットワーク構成を変える必要がなくWAFソフトウェアをWebサーバーへインストールするだけで導入することができます。
最新の攻撃に対応する
シグネチャを提供
お客様サイトに導入した「ソフトウェアWAFオペレーションサービス」はインターネットに公開されたシグネチャの更新を日々チェックし、更新があった場合には自動更新を行います。
導入効果
Webアプリケーションへの攻撃の8割を防御可能!(当社実績)
セキュリティー診断で明らかになったWebアプリケーションの脆弱性を改修せずに、不正アクセスから防御することが可能です。
NTTグループのシステム開発・構築にて培ったノウハウに基づき、Webアプリケーションの脆弱性に合わせてWAFの個別チューニングを行います。
開発担当者が不在となったWebサイトや、Webアプリケーションの脆弱性を改修する予算がないWebサイトに最適です。
脆弱性をすぐに直せる!
脆弱性をすぐに直せる!
危険度の高いWebアプリケーションの脆弱性は、早急に対応する必要があります。
Webアプリケーションの改修には、最低数ヶ月の期間を要しますが、「ソフトウェアWAFオペレーションサービス」は約1ヶ月で導入できるため、早期のセキュリティー対策を実現することができます。
最新の攻撃にも対応!
さまざまな情報網から最新の攻撃情報や脆弱性情報を収集。最新の攻撃に対するシグネチャをタイムリーに作成し、インターネット上へ公開します。
「ソフトウェアWAFオペレーションサービス」はインターネット上で公開されているシグネチャと差分を確認し、最新のシグネチャへ自動で更新されるため、最新の攻撃パターンに対しても対応できます。
特長
セキュリティー診断と連動した最適なチューニング
セキュリティー診断と連動した最適なチューニング
WebサイトにおけるWebアプリケーションのコーディング/設定内容は千差万別、お客様毎に異なっています。
Webアプリケーションに潜む脆弱性をなくすためには、単にWAFを導入するだけでなく、お客様Webサイト毎の脆弱性を明らかにした上で、お客様毎に最適なWAF設定にチューニングすることが重要です。
また、当社はセキュリティー専門家がWAFだけでなく、セキュリティー診断も実施しております。
「Webアプリケーションにおける脆弱性の見える化」から「お客様Webサイトの特性に合わせた最適なWAF設定チューニング」までご支援いたします。
Webアプリケーションを改修するよりもコストを抑えつつ、しっかりとした脆弱性対策を実現することができます。
※セッション管理の不備、ユーザ認証の不備、通信路における暗号化対策の不備などによるWebサイトの脆弱性についてはWAF以外の対応が必要です
システム構成を変えることなく、簡単・すぐに導入
「ソフトウェアWAFオペレーションサービス」はソフトウェア型WAFを採用しているため、ネットワーク構成を変える必要がなくWAFソフトウェアをWebサーバーへインストールするだけで導入することができます。
また、WAFソフトウェアを管理・設定するためのWAFポータルサーバーはSmartCloud仮想サーバー上に構築します。
専用のWAFアプライアンス機やサーバーを用意する必要がないため、ハードウェア調達に関わるリードタイムを削減することができます。
また、「ソフトウェアWAFオペレーションサービス」導入にあたっては、お客様のご要望に応じた最適な設定へセキュリティー専門家が導入支援を実施します。
これにより、短期間(1ヶ月未満)で「ソフトウェアWAFオペレーションサービス」を導入することができます。
最新の攻撃に対応したシグネチャ&カスタマイズ性
最新の攻撃に対応したシグネチャ&カスタマイズ性
WAFの強度は「Webアプリケーションに対する攻撃に対応したシグネチャの充実度・鮮度」と「Webアプリケーション特性に合わせたカスタマイズ性」がキーとなります。
シグネチャはさまざまなWebアプリケーションの脆弱性情報網からの分析結果に基づき適宜更新しています。お客様サイトに導入した「ソフトウェアWAFオペレーションサービス」はインターネットに公開されたシグネチャの更新を日々チェックし、更新があった場合には自動更新を行います。これにより、 「ソフトウェアWAFオペレーションサービス」は常に最新攻撃に対する防御を実現しています。
また、「ソフトウェアWAFオペレーションサービス」は、お客様Webサイト固有の脆弱性に合わせた防御ルールを自由に設定することができます。これにより、シグネチャだけでは対応することができない脆弱性に対してもカバーすることができます。
機能
サービス仕様・機能
基本サービスにて基本的な脆弱性に対する攻撃(SQLインジェクション、クロスサイトスクリプティングなど)の防御機能やモニタリング機能を提供します。
オプションサービスを追加することで、個別チューニングなど、お客様Webサイト特性に合せた、より高度なセキュリティー対策を実装することができます。
OS | Windows Server/Linux |
Webサーバー | Apache/IIS |
基本サービス | オプションサービス | ||
代表的なWAF防御機能 (24時間365日) |
クロスサイトスクリプティング | ○ | - |
SQLインジェクション | ○ | - | |
OSコマンドインジェクション | ○ | - | |
パストラバーサル | ○ | - | |
クロスサイトリクエストフォージェリー | - | ○ | |
パラメータ改ざん/強制的ブラウズ | - | ○ | |
Cookieに関する脆弱性 | - | ○ | |
ユーザールール定義 | - | ○ | |
モニタリング機能(検知・防御内容、統計情報の表示) | ○ | - | |
個別チューニング(お客様に合わせたカスタマイズ) | - | ○ |
機能詳細
「ソフトウェアWAFオペレーションサービス」は、Webアプリケーションの脆弱性対策の重要な指針になる「OWASP* TOP10」に対応しています。
なおクレジットカード業界のセキュリティー基準「PCIDSS」でもOWASP TOP10への対応が推奨されています。
攻撃内容 | 予測される被害 | 対応可否 | 防御方法 | ||
基本 | OP | ||||
SQLインジェクション | データベースと連携したWebアプリケーションの多くは、利用者からの入力情報を基にSQL文(データベースへの命令文)を組み立てています。SQL文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性があります。 | ○ | ○ | ○ | ・基本サービスのシグネチャにより防御が可能 ・シグネチャに定義されていない攻撃に対してはオプションサービスでユーザールールを定義することで防御が可能 |
OSコマンドインジェクション | Webアプリケーションによっては、外部からの攻撃により、WebサーバーのOSコマンドを不正に実行されてしまう問題を持つものがあります。悪意あるリクエストにより、Webサーバー側で意図しないOSコマンドを実行させられ、機密情報が盗まれたり、攻撃の踏み台に悪用される可能性があります。 | ○ | ○ | ○ | |
クロスサイトスクリプティング | HTMLで表示する文字列の中に、悪意のあるJavaScriptやHTMLタグなどを混入できるというバグがある場合、罠にはまったユーザーのCookie情報が攻撃者の手に渡ることで、セッションを乗っ取られてしまい、アカウントを盗まれてしまう可能性があります。 | ○ | ○ | ○ | |
オブジェクト直接参照 | URLやパラメータを変えることで、本来見せるべきではないオブジェクトにアクセスすることができてしまうバグが存在する場合、ディレクトリをさかのぼりシステム内のファイルにアクセスする「ディレクトリトラバーサル」や、UIDを変えると違うユーザー権限でアクセスすることができてしまう可能性があります。 | ○ | △ | ○ | |
クロスサイトリクエストフォージェリー | 本来拒否すべき外部のWebページからのHTTPリクエストを受け付けてしまうというバグが存在する場合、罠にはまったユーザーが外部に設置された悪意のあるWebページにアクセスすることで、Webアプリケーションの何らかの機能が実行される可能性があります。 | △ | - | △ | ・オプションサービスとしてWAF特有のトークンを埋め込み有効性を確認することで防御可能 |
URLアクセス制御の不備 | Webサイトの管理者ページへのアクセスを、アクセス制御機能を設けず、URLを隠していることだけに頼っている場合、何らかの理由で隠していたURLが見つかってしまうと何の制限もなくそのページを利用される可能性があります。 | ○ | - | ○ | ・オプションサービスとして、アクセスを許可するURLを指定することにより防御可能 |
検証されていないリダイレクトとフォワード | ユーザーを他のページやWebサイトにリダイレクトあるいはフォワードするにあたり、適切な検証が行わなければフィッシングやマルウェアサイトにリダイレクトさせられたりする可能性があります。 | ○ | - | ○ | ・オプションサービスとして、ユーザールールを追加し、正常な遷移先以外は受け付けないようにすることで防御可能 |
セッション管理の不備 | セッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。 | △ | △ | - | ・基本サービスのシグネチャにより、セッション固定攻撃の一部を防御可能 ・上記以外の攻撃はWebアプリケーションにおいて、適切なセッション管理機構の実装要 |
不完全な認証の不備 | 認証機構、ログアウト機能、パスワード管理、秘密の質問などの設計や実装に弱点がある場合、ユーザーや管理者のアカウントを乗っ取られる可能性があります。 | - | - | - | ・Webアプリケーションにおいて、適切な認証制御を実装要 |
セキュリティーの不適切な設定 | ミドルウェアやアプリケーションが最新化されていなかったり、不要なサービスの無効化、不要なアカウントの削除を実施していない場合、脆弱性を悪用した攻撃を受ける可能性があります。 | - | - | - | ・Webサーバーにおいて、適切なミドルウェアやアプリケーション設定要 |
暗号化の不備 | 開発者お手製の暗号アルゴリズムを使ったり、弱いアルゴリズムを採用してしまったり、鍵の管理が安全でなかったり、暗号化すらしていなかった場合、暗号化によって安全に守られていると思い込んでいる情報が、簡単に漏えいしてしまうといった可能性があります。 | - | - | - | ・Webアプリケーションにおいて適切な暗号化の実装要 |
SSLの不備 | 認証が必要な部分の通信のすべてにSSLを使用していない、またクレジットカード番号などの重要な情報を扱う部分の通信で使用していなかった場合、認証情報やセッションIDなどが漏えいすることでアカウントが乗っ取られたり、重要な情報が漏えいする可能性があります。 | - | - | - | ・Webサーバーやネットワーク機器(SSLアクセラレータ)により、SSLの実装要 |
*OWASP:「Open Web Application Security Project」の略称。安全なWebアプリケーションやウェブサービスのセキュリティー改善を目的とした共同研究や関連活動を行っている非営利団体。
*OWASP TOP10:OWASPが挙げているパラメータの未確認やクロスサイト・スクリプティング、バッファーオーバーフローなど、ハッカーが狙う脆弱性のベスト10。
①監査ログ
WAFポータルサーバーにて攻撃の詳細情報を監査ログとして一覧表示できます。
本監査ログを用いて、攻撃内容の解析を実施することができます。
②統計情報
WAFポータルサーバーにて任意の期間における検知した攻撃の統計情報を見ることができます。
特手のIPからの攻撃数や特定ページへの攻撃など、攻撃内容の傾向分析を実施することができます。
③月次レポート
WAFポータルサーバーにて任意の月における検知した攻撃の月間レポートを見ることができます。
利用イメージ
サービス・システム利用構成図
お客様にてWebサーバーへWAFソフトウェアをインストールし、WAFポータルサーバーへ接続いただくことで、「ソフトウェアWAFオペレーションサービス」を利用することができます。
利用事例
Web-EDIシステムの情報漏えいを防止!
ビジネススピードを優先して構築したWeb-EDIシステムなど、セキュリティー対策に不安を抱えているシステム管理者が多数いらっしゃいます。
取引先や取引額が増えるにつれて、Webアプリケーションの脆弱性を突かれた攻撃により、機密情報が漏えいした場合、被害額が莫大に膨れ上がります。
「ソフトウェアWAFオペレーションサービス」を導入することで、常に最新の攻撃に対するセキュリティー対策を実現することができるため、情報漏えいを防止することができます。
ショッピングサイトで顕在化した脆弱性対策!
セキュリティー診断により脆弱性が発見された場合、Webアプリケーションを改修する必要がありますが、ショッピングサイトなど、インターネットに公開しているWebサイトがビジネスの根幹である場合、長期間休止することはできません。
「ソフトウェアWAFオペレーションサービス」を導入することでサービス停止を最小限に抑えて、脆弱性対策を実現することができます。
料金・ご利用までの流れ
ご利用までの流れ
step1
お問い合わせ
折り返し、当社担当者より連絡させていただきます。
料金
「ソフトウェアWAFオペレーションサービス」の料金については、お気軽にお問い合わせください。
よくあるご質問
特長関連
導入関連
仕様関連
資料ダウンロード
パンフレットをみる
ダウンロード※製品およびサービスの内容は、予告なく変更する場合がありますので、あらかじめご了承ください。
※「SmartCloud(スマートクラウド)」、「SmartCloud」ロゴは、NTTコムウェア株式会社の登録商標です。
※Windows、IISは米国Microsoft Corporationの米国およびその他の国における登録商標です。
※Apacheは、Apache Software Foundationの登録商標または商標です。
※UNIXは、X/Open Company Limitedが独占的にライセンスしている米国ならびに他の国における登録商標です。
※その他、記載されている会社名、製品名などは、各社の商標または登録商標です。