ソリューション・サービス

Webアプリケーションファイアウォール

Imperva SecureSphere WAF製品概要

自動学習機能を備えたWebアプリケーションファイアウォール

Webアプリケーションの発達と普及によりインターネット上での商取引は加速し、あるいは今までには無かったサービスやマーケティング手法が続々と出現しています。一方でWebアプリケーションの重要性が増すにつれ、Webアプリケーションの直面している脅威は企業の信頼や財務へのリスクとして深刻さを増しています。
従来サーバを保護する製品としてファイアウォールやIDS (侵入検知システム)、IPS (侵入防御システム)がありました。これらの機器はサービスに関係の無い機能へのアクセスや、定型の攻撃パターンによるアクセスの遮断に有効でした。しかし今日ではWebサービスに対して変化の富んだ攻撃パターンが送り込まれるため、Webアプリケーションの振る舞いに基づいて攻撃を検知するWAF (Webアプリケーションファイアウォール) が登場しました。
SecureSphere WAFは既存の環境の変更をほとんど必要としないWebアプリケーションセキュリティソリューションです。透過型のネットワーク機器として動作するため、Webアプリケーションへの変更は不要です。また自動学習機能を有しており、アプリケーションの変更にも柔軟に対応できます。

SecureSphere WAFの特徴

アプリケーションとネットワークへの変更なしに導入可能

アプリケーション本体だけでなく、WebサーバのIPアドレスなどの既存の環境に変更を加えずに透過的に導入できます。

アプリケーションに適応した柔軟な保護

Webアプリケーションの入出力を監視し、本来の振る舞いとは異なったパターンを検出および遮断します。

自動学習による負荷の軽減

自動学習機能によりWebアプリケーションの正しい振る舞いを学習するため導入から運用までの期間を短くできます。運用中も自動学習が働きセキュリティ設定の維持にあまり手間をかけずに済みます。

マネジメントサーバによる集中管理

集中管理機能により複数台のSecureSphere WAFを統一的に管理できます。導入台数の多い環境でも少ない管理負荷で運用できます。

SecureSphere ネットワーク アーキテクチャ

Imperva SecureSphere WAF機能詳細

防御性能

ホワイトリストによる防御

SecureSphere WAFでは各ページが受け取るパラメータのパターンをホワイトリストとしてプロファイルを保持します。入力されたパラメータはプロファイルに基づき検査され、パターンから外れた文字の種類や長さを検知します。例えばパラメータとして数字しか受け付けない入力フィールドに記号が入力された場合などを検知できます。
またアクセスを受け付けるURLも同様にプロファイルとして保持します。プロファイルに含まれないURLへのアクセスも同様に検知できるため、管理用のWebページなどエンドユーザからのアクセスを想定していないページへのアクセスを遮断できます。

ホワイトリストによる防御
ホワイトリストによる防御

既知の攻撃パターンへの防御

SQLインジェクションやクロスサイトスクリプティングなど、既知のよく知られた攻撃パターンのブラックリストとしてシグネチャも搭載しております。SecureSphere WAFはシグネチャを使用して明確な悪意のあるアクセスを遮断できます。

新種の攻撃への迅速な対応

SecureSphere WAFのシグネチャはImperva社の研究機関であるADC (Application Defence Center)によって維持、更新されます。ADCは定期的にシグネチャを更新し配布するほか、重大な脅威が観測された際には臨時で更新版を配布します。シグネチャはSecureSphereの自動ダウンロード機能により常に最新版に保たれます。

新種の攻撃への迅速な対応

多様な入出力に対応

Webアプリケーションの多くはURLパラメータやフォームによる入力を受け付けます。SecureSphere WAFではURLパラメータやフォームの入力に加え、Webアプリケーションの連携に使われるSOAPのリクエストにも対応しています。
さらにWebサーバからのレスポンスデータも同様に監視します。レスポンスデータから個人情報などの機密性の高い情報が検出された際には、クライアント側に届かないよう通信を遮断できます。

ネットワークファイアウォール機能による防御

SecureSphere WAFはホワイトリストおよびブラックリストだけではなくネットワークプロトコルレベルでの異常検出機能も有しており、HTTPヘッダやTCPヘッダに含まれる異常を検出できます。またファイアウォール機能も内蔵しているため、特定のポートへのアクセスを遮断したり、Webサーバからの不審な外部アクセスを遮断したりできます。

相関攻撃検証による防御

ホワイトリスト、ブラックリストおよびファイアウォール機能により検知された異常の中には軽微なものも含まれます。SecureSphere WAFでは異常それぞれの単独での判断に加え、複数の異常を組み合わせて判断する相関攻撃検証機能が用意されています。
例えばWebページへ入力したパラメータがホワイトリストの定義よりも長かった場合、ユーザの入力ミスの可能性もあります。しかし同時にTCPヘッダに異常が検出されていれば悪意のあるアクセスである可能性が高まります。相関攻撃検証を使えばこのように複数の条件を組み合わせた判断による通信の遮断も実現できます。

運用支援

自動学習によるホワイトリスト作成支援

Webページのホワイトリストであるプロファイルの作成はWAFの動作にとって最も重要な作業といえます。多くのWAF製品ではプロファイルを手動で作成しなければならず、WAFを機能させるまでに多くの作業と期間を要します。
SecureSphere WAFのダイナミックプロファイリング機能はホワイトリストの作成を支援します。Webアプリケーションに対するユーザの振る舞いからプロファイルを自動生成するため、設置してから運用開始までの時間を短縮しコストを削減できます。

Imperva SecureSphere WAF設置構成

SecureSphere WAFの代表的な設置構成例を示します。

基本構成 (インライン配置、ノン・インライン配置)

インライン配置

全てのパケットがSecureSphere WAFを通過するため、パケットの破棄を確実に行いたい場合に適した配置方法です。
サーバとクライアントの中間に配置します。SecureSphere WAFはネットワーク機器としてはブリッジとして振舞うため、IPアドレスの割り当てや変更は必要ありません。
遮断すべき通信を見つけるとその場でパケットを破棄します。破棄されたパケットはWebサーバに届きません。

インライン配置

ノン・インライン配置

SecureSphere WAFを評価導入していただく際にこの配置方法をお勧めしております。
サーバとクライアントの間の通信を複製し監視します。レイヤ2スイッチのミラーリング機能などを使用します。
遮断すべき通信を見つけると通信をブロックするためのリセットパケットを送信します。

ノン・インライン配置

高可用性 (HA) 構成

複数台のSecureSphere WAFを連携させ、高可用性構成を実現できます。お使いのネットワーク機器がSTPに対応している場合はSTPを、対応していない場合はImperva社の独自実装でアクティブ-スタンバイの構成をとります。

※高可用性構成はインライン配置の場合のみ適用できます。

高可用性 (HA) 構成

SSLへの対応

WebサーバのHTTP over SSLを使用した通信にもSecureSphere WAFは対応できます。SecureSphere WAFにはSSLの秘密鍵を登録してSSLを復号します。Webサーバには復号前の暗号化されたパケットが届きます。

SSLへの対応

MXマネジメントサーバによる集中管理

SecureSphere WAFはMXマネジメントサーバによる集中管理ができます。データセンターなど大規模な環境においても複数台のSecureSphere WAFを一元管理でき、管理コストを削減できます。

MXマネジメントサーバによる集中管理

三菱総研DCSの構築・運用支援サービス

三菱総研DCSではSecureSphereを安心してお使いいただけるよう、次のような構築・運用支援サービスを提供しております。こちらのサービスメニューに無いご要望も可能な限りお受けいたしますので、是非御相談ください。

SecureSphere構築時のサービス

設計フェーズ 導入フェーズ
要件定義 設計
(機器発注)
導入
テスト
自動学習
チューニング
  • ヒアリング
  • 構成検討 (冗長化等)
  • 機能要件の検討
  • 非機能要件の検討
    • 運用方針
    • 保守方針
    • 性能要件
  • 要件定義書の作成
各要件/方針実現のための設計
  • システム構成
  • 機能要件
  • 運用方針
  • 保守方針
  • 性能要件
  • システム設計書作成
  • パラメータ設計書作成
  • テスト報告書作成
【導入】
  • (NW設定変更作業)
  • 機器の設置
  • 設定作業
【テスト】
  • 機能テスト
  • 障害テスト
  • 運用テスト
  • テスト報告書作成
【スタンダードチューニング】
  • アラート状況取り纏め
  • アラート内容の精査
    (お客様作業)

  • アラート状況報告書
【フルチューニング】
  • 学習結果の取り纏め
  • 学習結果の精査
    (お客様作業)
  • 学習結果報告書

三菱総研DCSのSecureSphere構築サービスでは、設計および導入の各フェーズにて設計書および報告書を作成させていただいております。導入の各節目において設定内容を十分にご理解いただくとともに、将来の構成変更への備えとしてご用意させていただいております。

SecureSphere運用時のサービス

システム運用支援サービス

三菱総研DCSはSecureSphereの日常における運用をお手伝いいたします。

(1)テクニカルサポート

SecureSphereの技術情報をご提供いたします。また運用に際し発生した問題の解決をご支援いたします。

(2)ソフトウェア & セキュリティコンテンツ

シグネチャの更新版がリリースされた際にお知らせいたします。またファームウェアの修正モジュールや最新版がリリースされた際にご提供いたします。

(3)メンテナンス支援

監視対象とするシステムの追加による設定変更や、バージョンアップ、パッチの適用などのメンテナンス作業をお客様に代わって実施いたします。

障害対応支援サービス

SecureSphereにトラブルが発生しても迅速に復旧できるよう、障害の対応をお手伝いいたします。

(1)クロスセンドバック保守

SecureSphereの筐体に問題が発生した場合は、代替機をお送りいたします。お客様の筐体は代替機への交換後に修理してお返しいたします。

(2)オンサイト保守

SecureSphereに障害が発生した際に、お客様に代わってオンサイトで対応いたします。

業務運用支援サービス

SecureSphereのアラート情報をもとに、お客様のデータベース監査業務を支援いたします。
※ こちらのサービスはログ分析ツールの導入が必要です。

(1)分析レポート作成

SecureSphereのアラート情報を分析し、レポートとしてご報告いたします。業務外でのデータベースアクセスやアプリケーションの想定外の動作などを発見しやすくします。

(2)集計テンプレートカスタマイズ

お客様の運用形態に合わせ、データベースアクセスの集計テンプレートをカスタマイズいたします。