Webアプリケーションファイアウォール “WAPPLES”(ワップル)


ビジネス基盤としてますます重要性を増すウェブアプリケーション。
ウェブサービスを提供する事業者であれば、確実なセキュリティ性を確保して運営することが必須です。

WAPPLESは、
・ホワイト/ブラックリストに頼らず、攻撃のロジックを分析
・誤検知/過剰検知が少ない・設定の容易さ
・PCI DSS適合証明、EAL4の取得

から、確実なセキュリティ対策を考える運営事業者様に選ばれてきました。








 

 

 

 

 


WAFとは?

WAFとは、Web Application Firewall(ウェブアプリケーションファイアウォール)の略で、その名の通り、Webアプリケーションの脆弱性を悪用した攻撃などからWebアプリケーションを保護する製品の事です。

Webサイトの脆弱性をついた悪質で巧妙な手口が増加
-2007年以降、Webサイトの脆弱性に起因する事故が急増しています-

現在、不正プログラムは、2.5秒に1つという驚異的なスピードで発生しております。

最近話題になっている、サイトの改ざんや不正アクセス、情報漏洩など悪質かつ巧妙な手口の攻撃はファイアウォールやIDS/IPS(※1)などでは、防ぐ事が出来ません

そういった悪質かつ巧妙な手口の攻撃を防ぐ為に、Webサイトの脆弱性診断、ソースコード改修、セキュアコーディング開発など企業でも様々な対策を取っていると思いますが、最近の進化にあった対策を行い、更に継続させていく為には莫大な時間と費用を費やす結果となっているのが現状です

そこで、今注目を集めているのがWAF製品です。

WAF製品を利用する事で以下の効果を期待できます。

・脆弱性を悪用した攻撃を検出する

・脆弱性を悪用した攻撃Webアプリケーションを防御する

・複数のWebアプリケーションへの攻撃をまとめて防御する

WAFは脆弱性を修正するといったウェブアプリケーションの実相面での根本的な対策ではありませんが、根本的な脆弱性対策を実施する事が困難な状況では大変有効な製品と考えられております

ウェブサイトを運営するうえでウェブアプリケーションの脆弱性を悪用した攻撃を防ぐためには、「脆弱性を作りこまないこと」、「脆弱性が見つかったら修正すること」が重要です。

しかし、ウェブサイト運営者の事情により、これらの根本的な脆弱性対策を実施することが困難な状況があります

根本的な脆弱性対策を実施する事が困難な状況とは?

(WAFが有効な状況とは?)

WAFの導入が有効な状況を「事前対策」、「事後対策」の観点から整理すると

【事前対策】
ウェブアプリケーションの脆弱性を悪用する攻撃にセキュリティ事件の発生を低減する施策

直接管理出来ないウェブアプリケーションに攻撃対策を実施したい状況

  • 開発者や運営者が異なるウェブアプリケーションにおいて、脆弱性を悪用する攻撃に対して同じ対策を実施したい場合。(大手企業のウェブサイト運営者、レンタルサーバ等を提供する企業のウェブサイト運営者など)

脆弱性の修正が困難な状況

1.開発者にウェブアプリケーションの改修を依頼出来ない状況

  • 他社に開発を依頼していた場合、依頼先企業が開発事業から撤退していたり、依頼を受け付けない場合
    その場合、他の企業へ改修を依頼出来ますが、改修費用が高くなり予算内で改修出来ない可能性があります。

2.改修出来ないウェブアプリケーションに脆弱性が発見された状況

  • 商用製品やオープンソフトウェアを使用してWebサイトを構築した場合
    該当ソフトウェアの改修に直接関与出来ず脆弱性を修正できない事があります。

【事後対策】
事故が起きた場合、被害を最小限に抑え、早期復旧を実現する施策

ウェブアプリケーションへの攻撃をすぐに防御する必要がある状況
ウェブアプリケーションに脆弱性がありウェブアプリケーションの脆弱性を悪用する攻撃を受け被害を受けた場合、それ以上の被害が生じないように対策を講じる事が重要です。
その為、被害原因の調査や原因を解消する為に必要に応じてウェブサイトを停止する事があります。

しかし、インターネット中心に事業を展開している企業にとってウェブサイトを長期間停止する事は機会損失が大きく、事業継続に多大な影響を与えかねません。このようにウェブアプリケーションの脆弱性を修正する時間を許容出来ない場合などには有効と考えられます。

御社のWebサイトが上記内容に当てはまる場合は、

ぜひ詳細情報をご確認ください!!


参考情報

IPA 独立行政法人情報処理推進機構
「Web Application Firewall 読本 改訂第2版」2011年2月28日 公開
http://www.ipa.go.jp/files/000017312.pdf
安全なウェブサイトの作り方 改訂 第5版」2011年4月6日 公開
http://www.ipa.go.jp/security/vuln/documents/website_security.pdf

※1 WAF機能がついている機種もある為、例外もございます。


従来のWAF(検知方法)との違い

【第一世代の検知方法:ブラックリスト/ホワイトリスト】

リスト参照型の検知方法です。ウェブサーバとブラウザがやりとりを行うデータの中に、リストに記載されている「禁則文字列」が存在するかしないかで検知を行う方法です。
危険なものだけがリストアップされたものをブラックリスト、安全なものだけがリストアップされたものをホワイトリストと呼びます。第一世代の場合、これらのリストを管理者が手動で作成する必要がありました。

ブラックリストの特徴は、サーバとブラウザ間のやりとりにおいては基本的に全て許可をし、リストに引っかかった場合のみ、そのやり取りを通さない。という動きです。逆にホワイトリストはすべてのやり取りを遮断するのが基本的な動きとなり、ホワイトリストに登録されている場合のみ、サーバのとのやり取りが許可される。という特徴があります。

自分の会社に来る訪問者に対し、セキュリティ担当者が作ったチェックリストを基に確認作業を行い、問題ないようであれば入室を許可する。このような検知方法が第一世代の検知方法です。

 

【第二世代の検知方法:シグネチャベースのパターンマッチング】

現在主流となっている検知方法です。

リスト参照型の検知方法という点では第一世代と同じですが、リストの作り方に違いがあります。第一世代は手動にて管理者が作成する必要がありましたが、作成するにあたり大変な負荷であることと、サーバとブラウザ間のやり取りに関して詳細な知識が必要でした。この問題を解決するために考え出された検知方法がシグネチャベースのパターンマッチングという検知方法です。

今までのブラックリスト/ホワイトリストの内容を効率よくデータベース化し、その内容をWAFのベンダーが定期的に更新する(自動更新)。という仕組みが生まれました。これによって管理者の負荷が軽減されることになりました。

自分の会社に来る訪問者に対し、警備会社が作った1000を超えるようなチェックリストを基に確認作業を行い、問題ないようであれば入室を許可する。確認作業に使うチェックリストは定期的に更新され、更新されるたびにチェック項目が増えていきます。このような検知方法が第二世代の検知方法で、現在の主流となっている検知方法です。

 

【第三世代の検知方法:ロジカル分析エンジンによるルールベースの検知方法】

シグネチャを利用した検知方法は、データベース化されたシグネチャを常に更新していくため、そのデータベースが肥大化してしまうのと、ベンダーがシグネチャを作成するにあたり、攻撃を受けてからではないと作成することができない。という問題があります。

これらの問題を解決するために新しく開発されたのが「ルールベース」という新しい検知方法です。この検知方法はシグネチャを利用しないため、検知のための定期的なアップデートが必要ないことと、今までなかったような攻撃が来た場合でも適切に対処することができるという特徴を持っています。

自分の会社に来る訪問者に対し、各分野における権威的な専門家が20人以上で確認作業を行い、全専門家の確認試験をパスした場合のみ入室を許可する。このような検知方法が第三世代の新しい検知方法です。


PCIDSS適合証明書取得モデル

PCIDSSとは?

加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を

目的として策定された、クレジットカード業界のセキュリティ基準です。

Payment Card Industry Data Security Standardsの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)共同で設立したPCISSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

 

導入が必要な企業

カード情報を「保存、処理、または伝送する※1」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCIDSS 準拠する必要があります。 カード取引量がPCIDSS準拠の基準に満たさなくても、各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要があります。

 

PCIDSS遵守の対応が想定されるお客さま

イシュアー、アクワイアラー、サービス・プロバイダー、加盟店

 金融業           :クレジットカード会社、クレジットカード発行金融機関 

 流通業           :大手百貨店、スーパー、量販店、鉄道、航空会社    

 通信/メディア/公共    :携帯電話会社、通信会社、ユーティリティ、新聞    

 製造業           :石油業界 他                     

 

PCIDSS 12個の概要
※PCIDSS 要件とセキュリティ評価手順 バージョン2.0参照

 

PCI データセキュリティ基準 -概要

安全なネットワークの
構築と維持

1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する。
2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない。
カード会員データの保護 3. 保存されるカード下院データの保護。
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する。

脆弱性管理プログラムの
整理

5. アンチウイルスソストウェアまたはプログラムを使用し、定期的に更新する。
6. 安全性の高いシステムとアプリケーションを開発し、保守する。

強固なアクセス逝去手法
の導入

7. カード会員データへのアクセスを、業務上必要な範囲内に制御する。
8. コンピュータにアクセスできる各ユーザに一意のIDを割り当てる。
9. カード会員データへの物理アクセスを制御する。

ネットワークの定期的な
監視およびテスト

10. ネットワークリソースおよびカード会員データへのすべてを追跡および監視する。
11. セキュリティシステムおよびプロセスを定期的にテストする。

情報セキュリティポリシー
の整備

12. すべての担当者の情報セキュリティポリシーを整備する。

 

WAFと関係がある項目

要件6:安全性の高いシステムとアプリケーションを開発し、保守する

PCIDSS要件6.6

一般公開されているWebアプリケーションは、常時、新しい脅威と脆弱性に対処し、

以下のいずれかの手法によって既知の攻撃から保護する必要がある

一般公開されているWebアプリケーションは、アプリケーションのセキュリティ脆弱性を手動/自動で評価するツールまたは手法によって少なくとも年1回および何らかの変更を加えた後にレビューする

一般公開されているWebアプリケーションの手前にWebアプリケーションファイアウォールをインストールする

WAPPLES(ワップル)はPCIDSSの適合証明を取得

 

適合証明取得において、WAPPLESはPCIDSS認証のバージョン1.2、

要件6.6オプション2を満たしました。

 

PCISSC(PCIセキュリティ基準協議会)承認のQSAC(認定審査機関)であるテュフラインランドジャパン株式会社(http://www.jpn.tuv.com)が実施している100種類以上のテストに合格しました。

PCI-DSS 適合証明書 2009年12月


WAFの必要性

近年、Webページの改ざんや機密情報の漏えいなど、企業のWebサイトを狙った悪質な攻撃が後を絶ちません。

また、企業のサイトだけではなく、多くのアプリケーションもWeb化される傾向にあり、攻撃者のターゲットとして魅力的なものになってきています。

攻撃目的は多種多様で、企業への営業妨害や個人情報の販売など年々悪質なものになってきております。ほとんどのWebアプリケーションにおいて、どんなユーザーでも、Webブラウザからデータベースへなんらかのトランザクションを発生させることができ、通常の動作をする限りは定められた情報しかデータベースから取り出せないが、膨大な機密情報まであと一歩のところまで極めて簡単にたどり着くことが出来ます。

社会情勢の変化によりクレジット業界で策定された「PCIDSS」等の対策基準など、企業セキュリティへのプレッシャーも年々強くなってきています。

まだまだ対策をされていない企業も多いですが、昨今では、このような攻撃を防ぐため取り組んでいる対策として、Webサイトの脆弱性診断を行いセキュリティホールを発見し、その後アプリケーションプログラムを修正することなどがあります。しかし、Webサイトへの攻撃手法が多様化している中、その都度、脆弱性診断をしなければいけないのでしょうか?多額の費用を投資し、日々修正することに、本当に費用対効果はあるのでしょうか?

 

検討課題

1.日々攻撃が変化している中、新しい攻撃が本当に防げるのか? 
2.多額の費用を投資して、プログラム修正する必要があるか?
3.セキュリティの専門化ではない方々が、今後も対応していく必要があるのか?


Web攻撃の事例紹介

Open Web Application Security Project(OWASP)という、安全なWebアプリケーションやWebサービスを実現するためのツール開発やドキュメントの作成を行っているプロジェクトが、3年に一度、Webアプリケーションの脆弱性をランキングしており、その最新の情報である、「OWASP Top 10 – 2010 The Ten Most Critical Web Application Security Risks」によるランキングは下記の内容です。

  1. インジェクション(SQLインジェクション、OSインジェクション等)
  2. クロスサイトスクリプティング
  3. 不完全な認証とセッション管理
  4. 危険な直接的オブジェクト参照
  5. クロスサイト リクエスト フォージェリ (CSRF)
  6. セキュリティ設定の間違い
  7. 安全ではない暗号保管
  8. URLアクセス制限の不備
  9. 安全ではない通信
 10. 安全ではないリダイレクトとフォワード

Webアプリケーションの脆弱性をついた攻撃のうち、およそ8割がこのランキングのトップ1、2の攻撃といわれております。これらの攻撃がどのような攻撃なのかを見ていきましょう。

 

【SQLインジェクション】

SQLインジェクション攻撃は、主にWebアプリケーションと連動して動いているデータベースをターゲットにした攻撃です。データベースを操作するための言語である「SQL」を、Webアプリケーション開発者が想定していないような形で利用することで、データベース内部を不正に操作することを目的とした攻撃です。

登録されている個人情報の漏えいや、価格情報の改ざんといった、企業にとって致命的となる損害を引き起こす可能性の高い攻撃のひとつです。

 

攻撃例

このようなログインページが用意されていた場合、通常であれば適切なログイン名とパスワードを入力することで利用可能となります。しかし、ここでログイン名やパスワードの内容にSQLを入力することが可能であった場合、特殊な文字列を入力することでログイン認証そのものを無効化することが可能となり、ユーザー名とパスワードを知らなくてもログインすることが可能となります。また、ここでSQLが使用できるということはデータベースを操作することも可能となるので、データベース内部のすべての情報を抜き出したり改ざんしたりすることが可能となることを意味します。

 

【クロスサイトスクリプティング】

ブログや掲示板に対して悪意のある利用者が書き込みを行う際に、プログラム(スクリプト)を埋め込むことで、第三者がその内容を閲覧したタイミングで埋め込まれたプログラムを勝手に実行させてしまうという攻撃です。

プログラムの内容によっては、さまざまな個人情報や機密情報を悪意のある利用者へ送信するようなものや、サイト内の情報を書き換えるようなものがあります。

また、他の種類の攻撃のための準備となる情報を取得するために使用されます。

攻撃例

攻撃スクリプトに対してリンクを張っておき、利用者がそのリンクをたどっていった場合、サイト内容が改ざんされてしまうケースや、その改ざん内容によってはフィッシングサイトへ勝手にアクセスさせられることがあります。

また、ECサイトだった場合はアクセス情報を再利用され、勝手に買い物をされてしまうようなケースがあります。

 

【攻撃被害事例1(SQLインジェクション)】

海外からの不正アクセスにより5,964件のクレジットカード情報が流出か

EC用のWebサイトに対して海外サーバからの不正アクセスがあり、調査の結果、同サイトの利用者のクレジットカード情報の一部が流出したことを確認したと発表した。同社では現在、第三者のセキュリティ専門会社の指導の下で不正アクセス対策の強化を実施しており、環境整備に努めている。なお、同社での通販業務は、よりセキュリティ効果の高いシステムを導入するまで運用を停止するとしている。

調査結果によると、6月10日3時25分から6月21日5時32分にかけて海外(中国・韓国)のIPアドレスよりWebサイトに対し不正アクセスが行われ、データベース上のクレジットカード情報を窃取したものと確認されたという。この不正アクセスにより流出した可能性のある顧客情報は、同サイトで2008年3月4日から2010年6月21日までの期間に商品をクレジットカード決済にて購入した顧客5,964件のクレジットカード情報(カード番号、名義、有効期限)で、その他の個人情報の流出の形跡はないとしている。

 

【攻撃被害事例2(クロスサイトスクリプティング)】

YouTubeにXSS攻撃、不正ポップアップなどの被害広がる

動画共有サイトの米YouTubeを狙った攻撃が発生し、ショッキングなデマが流れたり、コメントが表示されなくなるなどの影響が広がった。7月4日から5日にかけて、米セキュリティ機関のSANS Internet Storm Centerや英Sophosなどが伝えた。

それによると、この攻撃ではYouTubeのコメントシステムに存在するクロスサイトスクリプティング(XSS)の脆弱性が悪用された。この影響でコメントが表示されなくなったり、画面に「ニュース速報:(歌手の)ジャスティン・ビーバーが交通事故で死亡」というデマがポップアップ表示されるなどの被害が広がった。ほかにも不正なポップアップが出たり、悪趣味なWebサイトにリダイレクトされたりするケースが相次いだという。

Googleは攻撃発生から2時間ほどでこの問題に対処したと伝えられている。

SANSによれば、YouTubeが使っているコメントアプリケーションの出力データの暗号化処理に問題が存在した。これを突いて攻撃者がcookieを盗み、JavaScriptコードを仕込んでユーザーのWebブラウザで実行させることができてしまったとみられる。


ルール型WAFとは?

【今までの検知方法】

ブラックリストとは?
基本的な接続はすべて許可するが、リストアップされているものからの接続はすべて遮断します。
常にログをレビューする必要があり、接続を遮断するべきところからのアクセスを見つけたら、すべてこのブラックリストに登録する必要があります。未知の不正な接続があった場合、最初の接続は許可されてしまうため、未知の不正なものに対しての耐性はありません。

ホワイトリストとは?
基本的な接続はすべて遮断するが、リストアップされているものからの接続のみ許可します。 事前に接続を行うものを特定し、ホワイトリストに登録しておく必要があります。
あらかじめわかっている場合は問題ありませんが、新しいところからの接続の場合、最初の接続は問答無用に遮断されるため、利用者側の使い勝手を考慮する必要があります。

シグネチャベースのパターンマッチングとは?
第2世代の検知方法です。基本はブラックリストタイプで、 過去に認識された攻撃リクエストのパターン(シグネチャ)をデータベース化し、リクエストの内容をシグネチャと比較することで攻撃検知を行う手法です。 シグネチャは定期的に更新する必要があります。また、シグネチャに登録されていないような新しい攻撃には対応することができません。

ロジック分析エンジンの優位性・・・1

ルールベース(ロジック分析エンジン)とは?
第3世代の検知方法で、あらかじめプログラミングされた26(現時点)種類の攻撃検知エンジンの集まりです。個々が独立することで処理の高速化と運用の簡素化を実現しています。

シグネチャベースのマッチングの限界
リクエストの内容に対し、「禁則文字列が含まれるかどうか?」「文字列がどのように並んでいるか?」という検知方法のため、本来検知してはいけないものまでも検知してしまうことがあります。(過剰検知)また、検知する対象が一定の決まりによって作られているものの場合、検知するのは難しくなってきます。

クレジットカード番号を識別できるか?
一見ランダムに生成されていそうなクレジットカード番号。実は発行会社によって番号の作り方が定められております。

 

クレジットカード番号

他社製

WAPPLES

1

2123-4214-1232-7584 (発行会社のルールに基づいた番号)

検知できない

検知

2

1111-2222-3333-4444 (ランダムに入力したもの)

検知できない

検知しない

※WAPPLESはクレジットカード番号の作り方(生成ロジック)を知っているため、クレジットカード番号であると判断することが可能です

 

ロジック分析エンジンの優位性・・・2

SQLインジェクション?

 

SQLリクエスト

他社製

WAPPLES

1

admin’ or 1=1;–

検知

検知

2

‘or ‘abcdzzz’=’abcdzzz’

検知

検知しない

3

‘or /*SQL comments*/ 160>150

検知

検知しない

4

I’ve an order for the Emperor

検知

検知しない

5

‘1 or 2’

検知

検知しない

6

‘;drop table’string can be used in SQL Injection attack.

検知

検知しない

7

‘union select or’

検知

検知しない

8

‘union select password users where name=’

検知

検知しない

※WAPPLESはSQLの仕様(ロジック)を知っているため、2~8のリクエスト内容は「SQLではなく単なる文字列」と判断できるため検知しません。

過剰検知が発生した場合、管理者がそれらのリクエストをホワイトリストに手動で登録することでWebサーバへリクエストを到達できるようにする必要があります。


WAPPLES導入事例
準備中です
どんな攻撃が防げるのか?

Open Web Application Security Project(OWASP)という、安全なWebアプリケーションやWebサービスを実現するためのツール開発やドキュメントの作成を行っているプロジェクトが、3年に一度、Webアプリケーションの脆弱性をランキングしております。
その最新の情報である、「OWASP Top 10 – 2010 The Ten Most Critical Web Application Security Risks」によるランキングは下記の内容です。

  1.インジェクション(SQLインジェクション、OSインジェクション等)
2.クロスサイトスクリプティング
3.不完全な認証とセッション管理
4.危険な直接的オブジェクト参照
5.クロスサイト リクエスト フォージェリ (CSRF)
6.セキュリティ設定の間違い
7.安全ではない暗号保管
8.URLアクセス制限の不備9.安全ではない通信10.安全ではないリダイレクトとフォワード

このOWASPはPCI-DSS(Payment Card Industry Data Standard)においても重要な位置付けで、PCI-DSS要件6.6が求めるWAF機能については、このOWASPのトップ10に入ってくる脆弱性については最低でも防御できる必要がある。との記載があるほどです。

WAPPLESは実装されている26のルールによってOWASPのトップ10であげられているような脆弱性に対し、確実に防御することが可能となります。

まず、WAPPLESが実装するルールについて、どのような攻撃が防げるのかについては下記表を参照してください。また、これらのルールがどのようにOWASPに対応しているのかについてはその次の表にまとめました。

【WAPPLESのルールと防御内容】

番号

ルール名

詳細

1

Buffer Overflow

アプリケーションが予想以上のデータ値を送信し、予想外の誤動作をおこさせる。または、悪意のあるコマンドを実行させることができる攻撃を防ぐためのルールです。

2

CookiePoisoning

Cookieを改ざんすることで特定アカウントに対するアクセス権限を取得したり、Cookieを盗むことでID、暗号、認証なしでユーザーアカウントを取得することが可能となることを防ぐためのルールです。

3

Cross Site Scripting

悪意のあるスクリプトコードをウェブページ、ウェブ掲示板、メール等に含ませることでユーザー側で悪意のあるスクリプトを実行させる攻撃を防ぐためのルールです。

4

Directory Listing

ユーザーから送信されたリクエストに対し、ウェブサーバ上でそのコンテンツが存在しないとき、ウェブサーバはディレクトリ及びファイルのリストを表示することがあります。このようにフォルダやファイルのリスト表示をさせないようにするためのルールです。

5

Error Handling

何らかの原因によってウェブアプリケーションでエラーが発生した場合を想定し、ウェブアプリケーションのエラー表示を吸収して利用者へその内容を表示させないようにするためのルールです。

6

Extension Filtering

悪意のあるユーザーは、情報取得のためにウェブサーバ内部のファイルに対し、外部から直接実行または表示させようとします。このようなリクエストを検知するためのルールです。

7

File Upload

悪意のあるユーザーがウェブサーバに攻撃ツールをアップロードすることに対して検知をするためのルールです。

8

Include Injection

ウェブサーバへのリクエストを行う際、ファイル名を変数として使用することでコンテンツソースに悪意のあるファイルをincludeして付け加えるようにすることを防ぐためのルールです。

9

Input Content Filtering

入力した文字列をフィルタリングすることで、掲示板等への書き込みに対し、他のユーザーを不快にさせないようにするためのルールです。

10

Invalid HTTP

HTTPスタンダードではないリクエスト及びレスポンス、存在していないウェブサイトへのリクエスト等の異常トラフィックを検知するためのルールです。

11

Invalid URL

RFCに定義されていないURIは、ウェブサーバ、及びウェブアプリケーションのエラーを引き起こします。このようなリクエストを防ぐためのルールです。

12

IP Filtering

ウェブサーバへのアクセスを行うクライアントIPに対してフィルタリングを実施し、特定の国や地域からの接続を許可及び拒否するためのルールです。

13

Parameter Tampering

ウェブアプリケーションがユーザーの入力値を適切に検証しない場合、エラーが発生するか、またはウェブアプリケーションのセキュリティメカニズムを迂回してしまうことがあります。このようなことを防ぐための検知ルールです。

14

Privacy File Filtering

ウェブサイトに対して文書ファイルをアップロードするとき、その文書に個人情報が含まれていかどうかを検知するためのルールです。

15

Privacy Input Filtering

掲示板などに書き込む際、その内容に個人情報が含まれているかどうかを確認し、ウェブサーバに送信されたとしても個人情報の漏えいを防ぐためのルールです。

16

Privacy Output Filtering

クレジット番号などの個人情報の漏えいを遮断するためのルールです。

17

Request Header Filtering

ユーザーの設定により、HTTP Request Header Fieldを限定させ、ブラウザを制限したり、または悪意のあるクライアントからのアクセスを遮断させるためのルールです。

18

Request Method Filtering

HTTPリクエストで不要、または攻撃として利用される恐れのあるMethodをフィルタリングさせるためのルールです。

19

Response Header Filtering

ウェブサーバからのレスポンスの中で、サーバOSの情報やウェブサーバの情報など、ユーザーに必要以上の情報を表示させないようにするためのルールです。

20

SQL Injection

ウェブアプリケーションに強引にSQL文をインサートし、内部データベースのデータ漏えい及び改ざんを防ぐためのルールです。

21

Stealth Commanding

ウェブアプリケーションがHTTPリクエストにより情報を表示するときに、攻撃者が悪意のあるコマンドをこの情報に含ませることができます。これによって悪意のあるコードが実行されることを防ぐためのルールです。

22

Suspicious Access

ワームやハッキングスクリプト、セキュリティスキャンツールなどの自動化された攻撃ツールからのアクセスをコントロールするためのルールです。

23

Unicode Directory Travarsal

開発者が予想できなかったディレクトリ及びファイルを指定し、その内容を確認することによって、管理者のIDやパスワード、DBMSサーバへのアクセスに使用される情報、ソースファイル等の機密情報が漏えいするのを防ぐためのルールです。

24

URI Access Control

管理者のみが使用できるページに対するアクセスを制限させるためのルールです。

25

Website Defacement

ウェブページの改ざんを検知し、利用者に迷惑をかけないようにするためのルールです。

26

User Defined

ユーザーの環境に合わせた条件を任意に追加することができるパターン登録型のルールです。

 

【OWASPのトップ10とWAPPLESのルール対応表】

OWASP Top 10 Application Vulnerabilities for 2010 の脆弱性

WAPPLES のルール(ルール番号)

1.インジェクション(SQLインジェクション、OSインジェクション等)

SQL Injection ( 20 )
Stealth Commanding ( 21 )
Parameter Tampering ( 13 )

2.クロスサイトスクリプティング

Cross Site Scripting ( 3 )

3.不完全な認証とセッション管理

Cookie Poisoning ( 2 )
Suspicious Access ( 22 )

4.危険な直接的オブジェクト参照

Parameter Tampering ( 13 )
Unicode Directory Traversal ( 23 )
Stealth Commanding ( 21 )
Invalid URI ( 11 )

5.クロスサイトリクエストフォージェリ(CSRF)

Cross Site Scripting ( 3 )
Stealth Commanding ( 21 )

6.セキュリティ設定の間違い

Directory Listing ( 4 )
Error Handling ( 5 )
Invalid HTTP ( 10 )
Request Method Filtering ( 18 )

7.安全ではない暗号保管

Privacy File Filtering ( 14 )
Privacy Input Filtering ( 15 )
Privacy Output Filtering ( 16 )

8.URLアクセス制限の不備

URI Access Control ( 25 )
Extension Filtering ( 6 )
Unicode Directory Traversal ( 23 )

9.安全ではない通信

Suspicious Access ( 22 )
Invalid HTTP ( 10 )

10.安全ではないリダイレクトとフォワード

URI Access Control ( 25 )


 


WAPPLESの効果

1.ウェブサイト攻撃を探知及び遮断
・ウェブサイト偽造、変造防止
・ウェブ攻撃による情報流出の防止(所有している情報の保護)

2.リアルタイムモニタリングなど様々な情報の提供

3.サービス中断を生じさせない可用性を提供

4.簡単で便利な設定と運営

5.ウェブアプリケーション運営費用の節減

6.不要なトラフィックの事前遮断でサービス速度の向上

 

WAPPLESの仕様

クラス バリュー パフォーマンス ハイエンド
モデル WAPPLES
-50
WAPPLES
-100 eco
WAPPLES
-500
WAPPLES
-1200
WAPPLES
-2200
WAPPLES
-5000

最大

スループット

100Mbps 300Mbps 500Mbps 2Gbps 4Gbps 6Gbps
HTTP TPS 3,000 9,000 15,000 35,000 55,000 70,000
HTTPS TPS 2,000 5,000 8,000 18,000 26,000 33,000
電源2重化

保護対象

サーバ数

2Servers 無制限 無制限 無制限 無制限 無制限

冗長構成

サポート

タグVLAN
(IEEE802.1Q)
サポート

複数回線

サポート

CPU Intel Dual Core
2.5 GHz ×1
Intel Quad Core
2.66 GHz×1
Intel Quad Core
Xeon 2.66 GHz×1
Intel Quad Core
Xeon 2.33 GHz ×2
Intel Quad Core
Xeon 2.66 GHz ×2
Intel Westmere
2.53 GHz ×2
メモリサイズ 2GB 4GB 8GB 8GB 16GB 24GB
HDD容量 160GB 500GB 500GB 500GB 500GB 1TB
SSD容量       128GB 128GB  

ログ

保存サイズ

80GB 250GB 250GB 250GB 250GB 500GB
NIC 2×10/100/1000 BaseTX
4×10/100/1000 BaseTX Bypass
2×10/100/1000 BaseTX
8×10/100/1000 BaseTX Bypass
6×10/100/1000 BaseTX
OR
2×1000 Base Optical Bypass
2×10/100/1000 BaseTX
8×10/100/1000 BaseTX Bypass
2×1000 BaseSFP
(Optional)
2x 1000 Base Optical Bypass
2×10/100/1000 BaseTX
8×10/100/1000 BaseTX Bypass
4×1000 BaseSFP
(Optional)
2×1000 Base Optical Bypass
2×10/100/1000 BaseTX
8×10/100/1000 BaseTX Bypass
4×1000 BaseSFP
2×1000 Base Optical Bypass
(Optional)
4×1000 Base Optical Bypass
2x10G Base Optical Bypass

外形寸法

(幅×奥行×高)

443×292×44.5
(mm)
443×292×44.5
(mm)
443×406×44.5
(mm)
443×548×88
(mm)
443×548×88
(mm)
431.8×580×88
(mm)
筐体サイズ 1U 1U 1U 2U 2U 2U
重量(kg) 8Kg 8Kg 11Kg 13.6Kg 14.2Kg 21Kg
電源(定格入力電力) AC100~240V 50/60Hz 200W AC100~240V 50/60Hz 200W AC100~240V 50/60Hz 300W AC100~240V 50/60Hz 400W
Redundant Power Supply
AC100~240V 50/60Hz 400W
Redundant Power Supply
AC100~240V 50/60Hz 500W
Redundant Power Supply
電源(コンセント)形状 平行3ピン
(アース端子付)
×1
平行3ピン
(アース端子付)
×1
平行3ピン
(アース端子付)
×1
平行3ピン
(アース端子付)
×1
平行3ピン
(アース端子付)
×1
平行3ピン
(アース端子付)
×1
消費電力 200W 200W 300W 400W 400W 500W