「ソフトウェアWAFオペレーションサービス」の概要

SQLインジェクションやクロスサイトスクリプティングなど、ファイアウォールやIDS/IPSで守れないWebアプリケーションの脆弱性を利用した不正アクセスを防御するセキュリティー対策です。
「ソフトウェアWAFオペレーションサービス」を導入することにより、機密情報の取得やサービス停止を目的とした攻撃を防御することができます。最新の攻撃に対する予防保全や脆弱性の存在するWebサイトのセキュリティーを強化することができます。

「ソフトウェアWAFオペレーションサービス」は以下の悩みを抱えている方へおすすめします!

index_arrow_10.png セキュリティー診断で発見された脆弱性に対する対策が分からない!
index_arrow_10.png 脆弱性対策に時間をかけられない!
index_arrow_10.png Webサイトへのサイバー攻撃に備えたい!

発見された脆弱性に応じて
お客様個別の
チューニング
を実施

単にWAFを導入するだけでなく、お客様Webサイト毎の脆弱性を明らかにした上で、お客様毎に最適なWAF設定にチューニングを実施します。
 

>  詳しく見る

導入期間を
限りなく短縮
 

「ソフトウェアWAFオペレーションサービス」はソフトウェア型WAFを採用しているため、ネットワーク構成を変える必要がなくWAFソフトウェアをWebサーバーへインストールするだけで導入することができます。

>  詳しく見る

最新の攻撃に対応する
シグネチャを提供
 

お客様サイトに導入した「ソフトウェアWAFオペレーションサービス」はインターネットに公開されたシグネチャの更新を日々チェックし、更新があった場合には自動更新を行います。
 

>  詳しく見る

導入効果

Webアプリケーションへの攻撃の8割を防御可能!(当社実績)

セキュリティー診断で明らかになったWebアプリケーションの脆弱性を改修せずに、不正アクセスから防御することが可能です。
NTTグループのシステム開発・構築にて培ったノウハウに基づき、Webアプリケーションの脆弱性に合わせてWAFの個別チューニングを行います。
開発担当者が不在となったWebサイトや、Webアプリケーションの脆弱性を改修する予算がないWebサイトに最適です。

index_im_01.jpg

 

脆弱性をすぐに直せる!

脆弱性をすぐに直せる!
危険度の高いWebアプリケーションの脆弱性は、早急に対応する必要があります。
Webアプリケーションの改修には、最低数ヶ月の期間を要しますが、「ソフトウェアWAFオペレーションサービス」は約1ヶ月で導入できるため、早期のセキュリティー対策を実現することができます。

index_im_02.jpg

 

最新の攻撃にも対応!

さまざまな情報網から最新の攻撃情報や脆弱性情報を収集。最新の攻撃に対するシグネチャをタイムリーに作成し、インターネット上へ公開します。
「ソフトウェアWAFオペレーションサービス」はインターネット上で公開されているシグネチャと差分を確認し、最新のシグネチャへ自動で更新されるため、最新の攻撃パターンに対しても対応できます。

index_im_03.jpg

特長

発見された脆弱性に応じてお客様個別のチューニングを実施

セキュリティー診断と連動した最適なチューニング

セキュリティー診断と連動した最適なチューニング
WebサイトにおけるWebアプリケーションのコーディング/設定内容は千差万別、お客様毎に異なっています。
Webアプリケーションに潜む脆弱性をなくすためには、単にWAFを導入するだけでなく、お客様Webサイト毎の脆弱性を明らかにした上で、お客様毎に最適なWAF設定にチューニングすることが重要です。

また、当社はセキュリティー専門家がWAFだけでなく、セキュリティー診断も実施しております。
「Webアプリケーションにおける脆弱性の見える化」から「お客様Webサイトの特性に合わせた最適なWAF設定チューニング」までご支援いたします。

Webアプリケーションを改修するよりもコストを抑えつつ、しっかりとした脆弱性対策を実現することができます。

feature_im_02.jpg

※セッション管理の不備、ユーザ認証の不備、通信路における暗号化対策の不備などによるWebサイトの脆弱性についてはWAF以外の対応が必要です

導入期間を限りなく短縮

システム構成を変えることなく、簡単・すぐに導入

「ソフトウェアWAFオペレーションサービス」はソフトウェア型WAFを採用しているため、ネットワーク構成を変える必要がなくWAFソフトウェアをWebサーバーへインストールするだけで導入することができます。
また、WAFソフトウェアを管理・設定するためのWAFポータルサーバーはSmartCloud仮想サーバー上に構築します。
専用のWAFアプライアンス機やサーバーを用意する必要がないため、ハードウェア調達に関わるリードタイムを削減することができます。

また、「ソフトウェアWAFオペレーションサービス」導入にあたっては、お客様のご要望に応じた最適な設定へセキュリティー専門家が導入支援を実施します。
これにより、短期間(1ヶ月未満)で「ソフトウェアWAFオペレーションサービス」を導入することができます。

feature_im_01.jpg

最新の攻撃に対応するシグネチャを提供

最新の攻撃に対応したシグネチャ&カスタマイズ性

最新の攻撃に対応したシグネチャ&カスタマイズ性
WAFの強度は「Webアプリケーションに対する攻撃に対応したシグネチャの充実度・鮮度」と「Webアプリケーション特性に合わせたカスタマイズ性」がキーとなります。
シグネチャはさまざまなWebアプリケーションの脆弱性情報網からの分析結果に基づき適宜更新しています。お客様サイトに導入した「ソフトウェアWAFオペレーションサービス」はインターネットに公開されたシグネチャの更新を日々チェックし、更新があった場合には自動更新を行います。これにより、 「ソフトウェアWAFオペレーションサービス」は常に最新攻撃に対する防御を実現しています。

feature_im_04.jpg

また、「ソフトウェアWAFオペレーションサービス」は、お客様Webサイト固有の脆弱性に合わせた防御ルールを自由に設定することができます。これにより、シグネチャだけでは対応することができない脆弱性に対してもカバーすることができます。

ユーザールール定義(例)
 

feature_im_03.jpg

機能

サービス仕様・機能

基本サービスにて基本的な脆弱性に対する攻撃(SQLインジェクション、クロスサイトスクリプティングなど)の防御機能やモニタリング機能を提供します。
オプションサービスを追加することで、個別チューニングなど、お客様Webサイト特性に合せた、より高度なセキュリティー対策を実装することができます。

動作環境

OS Windows Server/Linux
Webサーバー Apache/IIS
基本サービス オプションサービス
代表的なWAF防御機能
(24時間365日)
クロスサイトスクリプティング
SQLインジェクション
OSコマンドインジェクション
パストラバーサル
クロスサイトリクエストフォージェリー
パラメータ改ざん/強制的ブラウズ
Cookieに関する脆弱性
ユーザールール定義
モニタリング機能(検知・防御内容、統計情報の表示)
個別チューニング(お客様に合わせたカスタマイズ)

機能詳細

WAF防御機能

「ソフトウェアWAFオペレーションサービス」は、Webアプリケーションの脆弱性対策の重要な指針になる「OWASP* TOP10」に対応しています。
なおクレジットカード業界のセキュリティー基準「PCIDSS」でもOWASP TOP10への対応が推奨されています。

【凡例】○:対応可、△:部分的に対応可、-:未対応
攻撃内容 予測される被害 対応可否 防御方法
基本 OP
SQLインジェクション データベースと連携したWebアプリケーションの多くは、利用者からの入力情報を基にSQL文(データベースへの命令文)を組み立てています。SQL文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性があります。 ・基本サービスのシグネチャにより防御が可能
・シグネチャに定義されていない攻撃に対してはオプションサービスでユーザールールを定義することで防御が可能
OSコマンドインジェクション Webアプリケーションによっては、外部からの攻撃により、WebサーバーのOSコマンドを不正に実行されてしまう問題を持つものがあります。悪意あるリクエストにより、Webサーバー側で意図しないOSコマンドを実行させられ、機密情報が盗まれたり、攻撃の踏み台に悪用される可能性があります。
クロスサイトスクリプティング HTMLで表示する文字列の中に、悪意のあるJavaScriptやHTMLタグなどを混入できるというバグがある場合、罠にはまったユーザーのCookie情報が攻撃者の手に渡ることで、セッションを乗っ取られてしまい、アカウントを盗まれてしまう可能性があります。
オブジェクト直接参照 URLやパラメータを変えることで、本来見せるべきではないオブジェクトにアクセスすることができてしまうバグが存在する場合、ディレクトリをさかのぼりシステム内のファイルにアクセスする「ディレクトリトラバーサル」や、UIDを変えると違うユーザー権限でアクセスすることができてしまう可能性があります。
クロスサイトリクエストフォージェリー 本来拒否すべき外部のWebページからのHTTPリクエストを受け付けてしまうというバグが存在する場合、罠にはまったユーザーが外部に設置された悪意のあるWebページにアクセスすることで、Webアプリケーションの何らかの機能が実行される可能性があります。 ・オプションサービスとしてWAF特有のトークンを埋め込み有効性を確認することで防御可能
URLアクセス制御の不備 Webサイトの管理者ページへのアクセスを、アクセス制御機能を設けず、URLを隠していることだけに頼っている場合、何らかの理由で隠していたURLが見つかってしまうと何の制限もなくそのページを利用される可能性があります。 ・オプションサービスとして、アクセスを許可するURLを指定することにより防御可能
検証されていないリダイレクトとフォワード ユーザーを他のページやWebサイトにリダイレクトあるいはフォワードするにあたり、適切な検証が行わなければフィッシングやマルウェアサイトにリダイレクトさせられたりする可能性があります。 ・オプションサービスとして、ユーザールールを追加し、正常な遷移先以外は受け付けないようにすることで防御可能
セッション管理の不備 セッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。 ・基本サービスのシグネチャにより、セッション固定攻撃の一部を防御可能
・上記以外の攻撃はWebアプリケーションにおいて、適切なセッション管理機構の実装要
不完全な認証の不備 認証機構、ログアウト機能、パスワード管理、秘密の質問などの設計や実装に弱点がある場合、ユーザーや管理者のアカウントを乗っ取られる可能性があります。 ・Webアプリケーションにおいて、適切な認証制御を実装要
セキュリティーの不適切な設定 ミドルウェアやアプリケーションが最新化されていなかったり、不要なサービスの無効化、不要なアカウントの削除を実施していない場合、脆弱性を悪用した攻撃を受ける可能性があります。 ・Webサーバーにおいて、適切なミドルウェアやアプリケーション設定要
暗号化の不備 開発者お手製の暗号アルゴリズムを使ったり、弱いアルゴリズムを採用してしまったり、鍵の管理が安全でなかったり、暗号化すらしていなかった場合、暗号化によって安全に守られていると思い込んでいる情報が、簡単に漏えいしてしまうといった可能性があります。 ・Webアプリケーションにおいて適切な暗号化の実装要
SSLの不備 認証が必要な部分の通信のすべてにSSLを使用していない、またクレジットカード番号などの重要な情報を扱う部分の通信で使用していなかった場合、認証情報やセッションIDなどが漏えいすることでアカウントが乗っ取られたり、重要な情報が漏えいする可能性があります。 ・Webサーバーやネットワーク機器(SSLアクセラレータ)により、SSLの実装要

*OWASP:「Open Web Application Security Project」の略称。安全なWebアプリケーションやウェブサービスのセキュリティー改善を目的とした共同研究や関連活動を行っている非営利団体。
*OWASP TOP10:OWASPが挙げているパラメータの未確認やクロスサイト・スクリプティング、バッファーオーバーフローなど、ハッカーが狙う脆弱性のベスト10。

モニタリング機能

①監査ログ
WAFポータルサーバーにて攻撃の詳細情報を監査ログとして一覧表示できます。
本監査ログを用いて、攻撃内容の解析を実施することができます。

service_im_02.jpg

②統計情報
WAFポータルサーバーにて任意の期間における検知した攻撃の統計情報を見ることができます。
特手のIPからの攻撃数や特定ページへの攻撃など、攻撃内容の傾向分析を実施することができます。

service_im_03.jpg

③月次レポート
WAFポータルサーバーにて任意の月における検知した攻撃の月間レポートを見ることができます。

service_im_04.jpg

利用イメージ

サービス・システム利用構成図

お客様にてWebサーバーへWAFソフトウェアをインストールし、WAFポータルサーバーへ接続いただくことで、「ソフトウェアWAFオペレーションサービス」を利用することができます。

system_im_01.jpg

利用事例

Web-EDIシステムの情報漏えいを防止!

ビジネススピードを優先して構築したWeb-EDIシステムなど、セキュリティー対策に不安を抱えているシステム管理者が多数いらっしゃいます。

取引先や取引額が増えるにつれて、Webアプリケーションの脆弱性を突かれた攻撃により、機密情報が漏えいした場合、被害額が莫大に膨れ上がります。

「ソフトウェアWAFオペレーションサービス」を導入することで、常に最新の攻撃に対するセキュリティー対策を実現することができるため、情報漏えいを防止することができます。

case_im_01.jpg

ショッピングサイトで顕在化した脆弱性対策!

セキュリティー診断により脆弱性が発見された場合、Webアプリケーションを改修する必要がありますが、ショッピングサイトなど、インターネットに公開しているWebサイトがビジネスの根幹である場合、長期間休止することはできません。

「ソフトウェアWAFオペレーションサービス」を導入することでサービス停止を最小限に抑えて、脆弱性対策を実現することができます。

case_im_02.jpg

料金・ご利用までの流れ

ご利用までの流れ

step1

お問い合わせ
当社Webサイトのお問い合わせフォームよりお問い合わせください。
折り返し、当社担当者より連絡させていただきます。
 

step2

ご要望確認
サービスの紹介およびお客様の利用目的などをお伺いさせていただきます。

step3

ご提案・お見積り
ご要望いただいた内容に基づき、最適なサービスの組み合わせをご提案させていただきます。

step4

お申し込み
ご導入が決定しましたら、詳細な要件について「ヒアリングシート」をご記入していただき、契約を締結させていただきます。

step5

サービス開始
環境が整い次第、サービス提供を開始させていただきます。

料金

「ソフトウェアWAFオペレーションサービス」の料金については、お気軽にお問い合わせください。

>  お問い合わせ

よくあるご質問

特長関連

他事業者が提供するサービスとの違いは何でしょうか?
WAFはデフォルト設定のままでも効果がありますが、お客様サイト特有の脆弱性に対しては防御できない場合もあります。セキュリティー診断などと組み合わせながら、お客様Webサイトの特性に合わせた個別チューニングを実施することにより、より強固なWebセキュリティーを実現しています。
どのような業種や規模の利用者が多いのでしょうか?
ECサイトを持つ流通・製造業、個人情報を取り扱う金融業、官公庁でのご利用が多いです。

導入関連

なぜWAFを導入する必要があるのでしょうか?
近年、機密情報の入手やWebページの改ざんなど、金銭や営業妨害を主な目的として、企業のWebサイトを狙った悪質な攻撃が急増しています。
SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を突いた攻撃は、攻撃の手口が更に複雑/巧妙化しております。WAFを導入することによりWebサイトの脆弱性の対処を低コストで素早く実施することが可能となります。
WAFを導入することによりどのような脅威を防ぐことができますか?
WやIDS/IPSでは防御できないWebアプリケーションに特化した脆弱性を防ぐことが可能です。具体的にはSQLインジェクションやクロスサイトスクリプティングなどを防御できます。
どのようなシステムにWAFを導入すればよいのでしょうか?
インターネットへ公開するWebサイト、特に以下の要件が存在するWebサイトへの導入を推奨いたします。 
①ライフサイクルが早くWebアプリケーション変更が頻繁に発生する
②①クレジットカード情報や個人情報などの機密情報を取り扱う
③脆弱性が発見されたが、システムを止めることができない
④脆弱性が発見されたが、Webアプリケーションを改修する時間がない、改修する予算がない
⑤脆弱性が発見されたが、Webアプリケーションを改修することができる人材がいない
契約してからサービス開始までどれくらいの期間がかかりますか?
お客様の環境や条件にもよりますが、概ね1ヶ月程度です。
契約単位はどのようになっていますか?
Webサーバー単位での提供となります。また、最低利用期間は1ヶ月です。
「ソフトウェアWAFオペレーションサービス」を導入するにあたり、用意しなければならないものは何でしょうか?

WAFポータルサーバーをSmartCloud仮想サーバー上に準備いたしますので、「WAFポータルサーバーと接続すためのネットワーク」、「WAFポータルサーバーに割り当てるためのIPアドレス」、「WAFポータルサーバーを閲覧するための端末」を準備していただく必要があります。

WAFをWebサーバーへインストールするにあたり、Webサーバーを停止する必要はありますか?
WAF機能を有効にするため、Webサーバーの瞬断が発生します。
Webサーバーへのインストールはユーザー側で実施しなければならないのでしょうか?コムウェアに作業を依頼することはできますか?
コムウェアが実施することも可能です。(別途費用がかかります。)
Webサーバーがコムウェアデータセンターやクラウド上ではなく、利用者企業内や別会社のデータセンター/クラウドに設置している場合、導入は可能ですか?
導入可能です。なお、WebサーバーとWAFポータルサーバー間を接続する回線/ネットワークが別途必要となります。
お試し版はありますか?
お試し版を無償で提供しています。なお、お試し版をご利用する場合は、WAFポータルサーバーをお客様環境に設置する必要がございます。
Webサイトに脆弱性があるのかどうか分からないのですが、どうしたらいいですか?
コムウェアのセキュリティー診断サービスを受けていただくことによって脆弱性の有無を確認していただくことが可能です。また、本診断結果に基づきWAFの有効度や具体的なチューニング方法について支援することが可能です。
判明している脆弱性に対して「ソフトウェアWAFオペレーションサービス」が有効かどうか事前に確認することは出来ますか?
セキュリティー診断結果を提示していただくことにより、おおよその「ソフトウェアWAFオペレーションサービス」対応可否を調査することが可能であるため、お問い合わせください。 なお、詳細な対応レベルに関しては、検証環境にて事前にご確認されることを推奨いたします。

仕様関連

WAFソフトウェアのバージョンアップにあたりWebサーバーを停止する必要はありますか?
バージョンアップ内容によって対応が異なりますので、対応方法、影響度について事前にお客様へ通知いたします。
「ソフトウェアWAFオペレーションサービス」を導入すれば、全てのWebアプリケーションの脆弱性に対応できますか?
Webアプリケーションの特性などにより、脆弱性は千差万別であるため、全てのWebアプリケーションの脆弱性対策を保証するものではありませんが、コムウェア実績では、8割程度の攻撃を防ぐことができた事例があります。
特定の脆弱性に対する防御を強化したい場合、チューニングにて対応することができますか?
お客様が把握されている脆弱性に関する情報をご提示いただければ、チューニングにて対応可能かどうか確認いたします。お問い合わせください。
チューニングの仕方がわからないのですが、どうすればいいですか?
セキュリティー診断結果や監査ログ結果を踏まえて、お客様に代わりコムウェアがチューニングを実施することが可能です。(基本メニューに含まれている初期チューニング以外の対応については、別途費用が発生いたします。)
「ソフトウェアWAFオペレーションサービス」は、正常な通信を誤検知・防御することがありますか?
市場に存在するセキュリティー製品全般に言えることですが、シグネチャに記載されているパラメータとお客様システムで利用されているパラメータが同一である場合、誤検知・防御が発生する可能性があります。
そのため、導入後一定の期間はテストモード(検知モード)で運用し、誤検知が発生している場合にはパラメータをチューニング後、本番モード(防御モード)に切り替えて運用することを推奨しています。
誤検知・防御策として、導入後もしばらくは検知のみにしたいのですが可能ですか?
可能です。なお、初期チューニング期間を過ぎてからの防御モードへの変更については、別途費用が発生いたします。
Webサーバーへのアクセスを防御した場合、どのように利用者のWebブラウザへ表示されますか?
WAFソフトウェアにて標準搭載されているエラー画面が表示されます。エラー画面をカスタマイズし、お客様希望のメッセージを出力することも可能です。
シグネチャの更新はどのように行われますか?
事前に更新案内(メール)を送付します。自動更新を設定されているお客様は自動的に新しいシグネチャが適応されます。手動更新を設定している場合は、更新方法について個別に協議させていただきます。
シグネチャ更新時に、サーバーの再起動は発生しますか?
再起動は発生しません。
WAFが攻撃を検知または防御した場合、ユーザー側に通知がきますか?
セキュリティーアラート通知オプションを選択された場合、メールによる通知を行います。
攻撃を検知または防御した場合、詳細の内容はどのように確認すればいいですか?
WAFポータルサーバーの監査ログから詳細レベルの攻撃状況が確認できます。
攻撃を検知または防御した場合、どのように対応する必要がありますか?
防御しているインシデントについては対応不要です。ただし、インシデントが多発している場合は、コムウェアへご相談ください。
検知だけしているインシデントについては、状況の確認ならびに防御モードへの変更をご検討ください。また、防御モードに変更する場合は、設定変更をコムウェアへ依頼してください。
定期的にWAFポータルにアクセスできない場合、レポートをいただくことはできますか?
月次レポートオプションがございます。
WAFをインストールするWebサーバーの対応OSはWindowsとLinuxだけでしょうか?また、バージョン、リビジョンの制約はありますか?
WindowsとLinuxが対応OSとなります。バージョンの詳細についてはお問い合わせください。
WindowsとLinux以外のOSの場合、リバースプロキシなどを設置しWAFを導入することで対応可能です。
Webサーバーの前にロードバランサーを設置してあるのですが、導入可能ですか?
導入可能です。なお、振り分けるWebサーバー全てにWAFを導入する必要があります。
IPv6に対応していますか?
はい。IPv6環境でも問題なくご利用いただけます。 
「ソフトウェアWAFオペレーションサービス」を導入すれば、ファイアウォールやIDS/IPSは不要になりますか?
「ソフトウェアWAFオペレーションサービス」は、Webアプリケーションの脆弱性を防御するサービスです。ファイアウォール、IDS/IPSとは防御するレイヤが異なります。OSやミドルウェアの脆弱性をついた攻撃やDoS攻撃などの脅威に対してファイアウォール、IDS/IPSは有効です。
「ソフトウェアWAFオペレーションサービス」を導入すると、Webアクセスの応答速度は遅くなりますか?
お客様の環境にもよりますが、実績値として12~20msec/1アクセス程度の遅延が発生しています。性能面における条件がシビアなシステムにおいては、事前に検証環境などで測定されることを推奨しております。
「ソフトウェアWAFオペレーションサービス」を導入すると、Webサーバーのリソースはどの程度消費しますか?
5GB程度HDの容量が必要となります。CPU使用率は実績として、現状の使用率×15%増となる可能性があります。
ex:仮に現在のCPUが40%の場合、40%×1.15=46%程度です。
SSL通信を行う時でも「ソフトウェアWAFオペレーションサービス」は動作しますか?
「ソフトウェアWAFオペレーションサービス」はWebサーバーにて復号後の通信を検査するため、SSL通信対応は不要であり、正常に動作します。
WAFソフトウェアのバージョンアップは発生しますか?
発生します。
WAFソフトウェア修正プログラムインストール手順は、当社にて準備しお客様にてインストールを実施していただきます。
機能拡充のバージョンアップは個別対応となります。

お問い合わせ

パンフレットをみる

ダウンロード

この商品のお問い合わせ

資料請求・お問い合わせ
 

※製品およびサービスの内容は、予告なく変更する場合がありますので、あらかじめご了承ください。
※「SmartCloud(スマートクラウド)」、「SmartCloud」ロゴは、NTTコムウェア株式会社の登録商標です。
※Windows、IISは米国Microsoft Corporationの米国およびその他の国における登録商標です。
※Apacheは、Apache Software Foundationの登録商標または商標です。
※UNIXは、X/Open Company Limitedが独占的にライセンスしている米国ならびに他の国における登録商標です。
※その他、記載されている会社名、製品名などは、各社の商標または登録商標です。