従来型WAFサービスとcloudbricの違い

シグネチャーベースの従来型WAFとは異なり、ロジックベースの解析エンジンを搭載。誤検知を 最小限に抑えられた精度の高い攻撃検出を実現します。頻繁な攻撃パターンの更新を伴い、新種・亜種のゼロデイ攻撃に対応できない従来型WAFの根源的な問題を解消したインテリジェントWAFサービスを提供します。

  1. 新種・亜種の攻撃のシグネチャー作成・登録までセキュリティリスク大
  2. WAFサービスを運用する会社および管理者のセキュリティレベルに依存し、セキュリティ強度が左右される
  3. サービス型セキュリティは、セキュリティ製品としてのグローバル認定等取得できず、証明されていない

  1. Web攻撃属性を分析したロジックエンジンを採用し、新種・亜種の攻撃パターンにも包括的に対応可
  2. 単純比較による検知ではなく本当の攻撃性の有無まで判断しているため、誤検知率が低い
  3. 国際認証にて証明されたWAFとしてのセキュリティを確保し、管理側のセキュリティレベルに依存しない高レベルのセキュリティを安定的に提供可

L3・L4・L7のDDos対策も

L3とL4のDDos攻撃をはじめ、巧妙化しているマルチベクトル型攻撃、アプリケーション(L7)Dos攻撃等様々なパターンのDDos攻撃対策を提供致します。

対応するDos/DDos攻撃

  • TCP SYN Floods
  • TCP FIN Floods
  • TCP RST Floods
  • HTTP GET Floods
  • HTTP Post Floods
  • HTTP XMLRPC PingBack attacks
  • TCP Fragment attacks
  • Slowloris
  • TCP Syn Spoofed
  • ICMP Floods
  • HTTP HEAD Floods
  • Brute Force
  • TCP Ack Floods
  • Ping of Death
  • DNS NXDomain Floods
  • HTTP Cache Control
  • HTTP SSL Saturation
  • Amplified DNS DDoS
  • RUDY
  • Smurf, As well as other attacks, 等

どのような攻撃から守れるのか

Buffer Overflow(バッファオーバーフロー)

アプリケーションが、メモリ割り当てをするための固有の空間及び容量に対して容量を超えた情報が入ってくると、設計者が意図していないメモリ領域の破壊が起こされ、予想外の誤動作が起きます。その際に意図していないメモリ領域へ悪意のあるコマンドを実行する攻撃を防ぎます。

Cross Site Scripting(クロスサイトスクリプティング)

スクリプトコードをウェブページなどに含ませ、ユーザー側で悪意のあるスクリプトを実行させます。Webアプリケーションの接続情報の奪取、成りすましを防げます。

Directory Listing(ディレクトリリスティング)

Webサーバに適切な設定がされていない場合、Webサーバのディレクトリ情報が外部に漏えいすることがあります。不要なファイル構成情報の漏えいは他の攻撃につながります。このようなフォルダ構成やファイルリストの表示を防ぎます。

Directory Traversal(ディレクトリトラバーサル※1)

Webコンテンツの上位フォルダに存在するサーバの設定情報やパスワードを取得する攻撃です。通常コンテンツとして表示させない設定にしてあっても、設定情報やパスワードファイルなどの情報を閲覧可能にする攻撃を防げます。

Error handling(エラーハンドリング)

Webアクセスのエラーメッセージには、Webサーバ、Webアプリケーション、DBMSの種類及びバージョン情報が含まれている場合があります。バージョン情報によっては攻撃が可能なため、利用者へ内容を表示させないようにします。

Extension Filtering(エクステンションフィルタリング)

本来不要であるエクステンション(拡張子)を含むリクエストは、Webサーバの意図しない動作を起こす可能性や情報漏えい等につながります。そういった攻撃に対してリクエストを検知し、不要なリクエストを遮断します。

File Upload(ファイルアップロード)

マルウェア等Webサーバの動作に危険をもたらす可能性のあるファイルを含む、アップロード・リクエストが実行された場合に、検知し遮断します。

Invalid URI(インバリッドユーアールアイ)

URIに正常ではない(invalid)文字を使用した場合、これを検知します。例えば、正しくないエンコードや、二重(重複)エンコード※2、予約文字※3などを使用した場合、検知します。

Privacy Output Filtering(プライバシーアウトプットフィルタリング)

Webサイトのレスポンスされる特定の個人情報や秘密情報を検知し、マスキングすることができます。例えばクレジットカードの番号を含むデータのマスキング※4処理を行います。

Request Header Filtering(リクエスト※5ヘッダフィルタリング)

Webサイトのレスポンスされる特定の個人情報や秘密情報を検知し、マスキングすることができます。例えばクレジットカードの番号を含むデータのマスキング処理を行います。

Request Method Filtering(リクエストメソッド※6フィルタリング)

HTTPリクエストにおいて、Webサイト上の情報搾取、ファイルの削除やアップロードが行えるため、許可しないメソッドを利用できないように検知・遮断します。

SQL Injection(エスキューエルインジェクション)

DBMSで実行可能なクエリー※7を使用した攻撃を検知します。DBMSアプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃を検知・遮断します。

Stealth Commanding(ステルスコマンディング)

外部から攻撃者がWebサーバで実行可能なコマンドを入力して実行しようとする攻撃に対して、検知・遮断します。コマンドにはWebサーバのシャットダウン、Webサーバの情報収集、ファイル・フォルダの

権限変更、ファイル・ディレクトリの削除などのコマンドがあります。

User Defined Pattern(ユーザデファインドパターン)

ユーザの環境に合わせた条件を任意で追加し、ルールを作成することができます。

※1 トラバーサル

コンテンツが存在する最上位ディレクトリからさらに上位のディレクトリに移動すること。

※2 エンコード

データを別の形式に変換すること。ここでは、予約文字の変換時に用いられます。 

※3 予約文字

予約文字は特殊記号をURLで利用する際などに用いられるもので、「 」(半角スペース)は、URL上では%20として予約文字として定義。その他、「!」、「”」、「#」などがある

※4 マスキング

データの文字列をユーザに分からないように隠すこと。cloudbricでは、サーバからクライアントへ流れる通信のみデータのマスキングを行います。

※5 リクエスト

クライアント端末よりWebサーバへ送信される命令。

※6 メソッド

Webサーバへコンテンツをリクエストする際の命令コマンド。

※7 クエリー

データベースの検索で、指定された条件を満たす情報を取り出すために行われる処理の要求。