WAF(Scutum)全般
仕様
主要機能
| 防御機能 | あらかじめ登録されている不正な通信パターンを検出した場合、 該当通信を遮断する機能 |
| モニタリング機能 | あらかじめ登録されている不正な通信パターンを検出した場合、 該当通信を記録する機能(通信自体は遮断されません) |
| ログ機能 | Scutumにて検出された不正と思われる通信を記録し、閲覧できる機能 |
| ソフトウェア更新機能 | Scutumの防御機能などを向上させるため、ソフトウェアを更新する機能 |
| シグネチャー更新機能 | 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能 |
| 特定URL除外機能 | 防御機能が不必要なWebページを防御対象から除外する機能 |
| レポート機能 | 下記の内容を管理画面(ブラウザー利用)上で報告する機能 - 統計機能(攻撃元、攻撃種別、アクション) - 攻撃元、攻撃種別の上位集計など |
| IPアドレス拒否機能 | 特定のIPアドレスからの通信を拒否する機能 |
| SSL通信機能 | 暗号化された通信においても解読し、防御する機能 |
| API機能 | Scutum管理画面で利用できる機能の一部をAPIにて利用可能 ※ご利用にあたってはScutum管理画面より、APIキーを発行する必要があります |
オプション機能
| 月次報告書 | 攻撃の傾向を月次でご報告します。 |
| キャプチャ認証追加機能 | 任意の箇所にキャプチャ認証を導入できます。 キャプチャ認証紹介 |
防御できる主な攻撃
下記のように、Webアプリケーションの脆弱性に対する主要な攻撃の多くをカバーしています。
新たな脆弱性についても、随時シグネチャーを更新して対応いたしますので、お客様側では特に意識することなく、最新のセキュリティ対策を維持することが可能です。
| 攻撃区分 | 攻撃名称 |
|---|---|
| 認証 | - 総当たり |
| クライアント側での攻撃 | - クロスサイトスクリプティング - CSRF(クロスサイトリクエストフォージェリ)※別途、設定費用が発生します。 |
| コマンドでの実行 | - バッファオーバーフロー - OSコマンドインジェクション - SQLインジェクション - XPathインジェクション - 書式文字列攻撃 - LDAPインジェクション - SSIインジェクション |
| 情報公開 | - ディレクトリインデクシング - 情報漏洩 - パス トラバーサル - リソースの位置を推測 |
| マルウエア対策 | - ドライブバイダウンロード攻撃(ガンブラーによるウイルス拡散など) - その他 |
SSL証明書
- SSL通信をご利用の場合、暗号化された通信をWAF(Scutum)内で復号し、通信内容を確認します。
その後、再度暗号化しお客様Webサーバーへ送信する形になりますので、SSL証明書のライセンスが追加で必要になります。 - SSL証明書はPEM形式(テキストファイル形式)のファイルにて、以下をご準備ください。
発行元に制限はございません。- サーバー証明書
- 秘密鍵
- 中間CA局証明書
メンテナンス・トラブル・脆弱性情報について
メンテナンス・トラブル情報について
- 以下よりメンテナンス・トラブル情報をご確認いただけます。
Scutumお客様サポートサイト:障害・メンテナンス情報 一覧
脆弱性情報について
- 本製品の脆弱性情報および対応状況は、以下のソリューションサービス提供企業サイトにてご確認ください。
Scutumお客様サポートサイト:脆弱性対応情報 - お客様は、ご利用のサービスの脆弱性情報をお客様の責任において確認するものとします。
- お客様は、修正プログラムや対処方法等をお客様の責任において適用するものとします。なお、当該修正プログラムや対処方法等に使用条件が定められている場合は、所定の使用条件に従い使用するものとします。
注意事項
- クライアント証明書には対応しておりませんので、Scutumを導入することはできません。
- Scutumを導入することにより、ホップ数が増えること、通信の不正チェックをすることから、レスポンスが低下する可能性があります。しかし、環境により差が出る可能性もございますので、DNS変更前に、hostsファイルを変更し、事前にレスポンスの差異をご確認されることを推奨します。
- 5~10MB以上のデータのアップロード、ダウンロードの処理がある場合、体感速度が遅延する可能性が高くなりますので、データのアップロード、ダウンロードのテストも実施ください。
- 見積もりを取得するために、5分単位のトラフィックレポートが必要です。レポートがない場合、サイトのURLとページビュー(日単位、週単位、月単位)から算出します。
- Webサーバーと同一サーバーにてFTP、SSH、SMTPなどをご使用されている場合、Scutumを導入することにより、Webホスト名でのアクセスができなくなります。このような場合、例えば、FTPソフトに設定するための別のホスト名(ftp.example.comなど)をご用意いただくか、あるいは、IPアドレスを直接設定して使っていただく必要がございます。SSHやそれ以外のサービスについても同様となります。
- Scutumは、正常通信の誤検知が発生しないように作られておりますが、まずはブロックはせず、ログだけをとるような形でスタートし、正常な通信を止めることがないか、一定期間確認させていただきます。
国際的なウェブサイトなど、英字での入力が多いケースの場合は、より注意が必要となりますので、事前にご相談ください。 - ファイアウォールで同じIPアドレスからの同時接続数を制限している場合、その設定を解除していただく必要があります。
- アクセスするIPアドレスを場合により変更する可能性や、データセンターの障害時などScutum側でのDNS変更が可能となるため、CNAMEでの変更を推奨しております。
- 月次報告書の提出は、翌月10営業日前後にお客様が指定されたメールアドレスに送付いたします。
- 契約プランよりもトラフィックが超過し正常なサービス提供に影響を及ぼす等、提供元の株式会社セキュアスカイ・テクノロジーが必要と判断した場合には、予告なく帯域制限をかける場合がございます。
帯域制限が行われた場合、契約帯域を超過するアクセスが制限され、503エラーとなります。
制限事項
- WAF(Scutum)で対応できるプロトコルは、httpとhttpsとなります。
- WAF(Scutum)を導入することにより、ソース元IPアドレスがすべてWAF(Scutum)のものとなります。ソース元IPアドレスを使用し、お客様のサイトにて何らかの作業を実施している場合はご注意ください。
- ソース元IP使用例
- アクセス解析
- ソース元IPアドレスを利用したWebアプリケーションによる表示変更
- ソース元IPアドレスを利用したロードバランシング
- ソース元IP使用例
本来のアクセス元IPアドレスは、HTTPヘッダー内に以下のような形でお送りする形となりますので、必要に応じて設定変更が必要となる場合がございます。
X-Forwarded-For: xxx.xxx.xxx.xxx(ソース元IPアドレス)ファイアウォールから適用でWAF(Scutum)以外からのアクセスを禁止することで、よりセキュアな環境が構築できます。
しかし、現在は検索エンジンに登録された情報を利用した外部からの攻撃が大多数であることから、WAF(Scutum)側ではファイアウォールの設定の有無は、お客様の判断にお任せしております。以下を参考にご判断ください。ファイアウォールで制限をした場合のメリット ドメイン名でなくIPアドレスにてアクセスを実施した場合についても防御が可能となる。 ファイアウォールで制限をした場合のデメリット 万が一のデータセンター障害時、DNSの変更と同時にお客様側でファイアウォールの変更を実施していただく形になる。 - DDOS攻撃の対策は行えません。
- IPv6には対応しておりません。
- 下記のサイトではご利用いただくことはできません。
- アダルトサイトなど公序良俗に反するサイト
- 低レイテンシーを保証または要求されるサイト
サポートについて
障害やトラブル時などのお問い合わせは、ニフクラにて24時間365日承っておりますが、対応時間は提供企業窓口に準じることとなりますので、あらかじめご了承ください。
