BIG-IP Application Security Manager
概要
Webサーバが利用するポート80番、443番のトラフィックを双方向で監視し、不正アクセスや攻撃からアプリケーションとその背後にあるデータを保護する、Webアプリケーション・ファイヤウォール。ポジティブ・セキュリティ・ロジックの採用により、未知の攻撃を防御するだけでなく内部情報の流出も防ぎます。
特長
BIG-IP Application Security Manager(以下、ASM、旧TrafficShield)はハッカーや悪意ある攻撃からアプリケーションを保護する「Webアプリケーションファイアウォール(WAF)」です。BIG-IP ASMは、ネットワークレベルの攻撃からの保護に重点を置いたネットワークファイアウォール製品や、絶えず増え続ける既知の攻撃を回避することに重点を置いた侵入防止システム(IDS/IDP)とは異なり、ネットワーク、Webインフラ、Webアプリケーションへの広範囲な攻撃をブロックします。
Webアプリケーションファイアウォール(WAF)の優位性
Webアプリケーションファイアウォール(WAF)を利用することで、Webアプリケーションに特化した攻撃を防御することができます。他セキュリティデバイスによる防御との違いについては、以下となります。
| セキュリティ脅威 | ファイアウォール(FW) | 侵入検知/防御システム(IDS/IPS) | Webアプリケーションファイアウォール(WAF)/ASM |
| ファイル/ディレクトリ探索 | × | ▲ | ● |
| バッファオーバーフロー攻撃 | ▲ | ▲ | ● |
| クロスサイトスクリプティング(XSS) | × | ▲ | ● |
| SQLインジェクション | × | ▲ | ● |
| OSコマンドインジェクション | × | ▲ | ● |
| Cookieポイズニング | × | × | ● |
| パラメータ改ざん | × | × | ● |
| クロスサイトリクエストフォージェリー(CSRF) | × | × | ● |
| レイヤ7DoS攻撃 | × | × | ● |
| ブルートフォースログイン攻撃(パスワードリスト型攻撃) | × | × | ● |
ブラックリストによる対策
- Attack Signature
攻撃パターンをシグネチャとして持っておくことによりそれにマッチした攻撃をブロック。この機能だけでもWebアプリケーションを狙う攻撃の7~8割はブロック可能。シグネチャステージング機能により誤検知から未然に予防することが可能。
- プロトコル違反検出
HTTP/SMTP/FTPのプロトコル違反、RFCに準拠しない異常なトラフィックをブロック可能。WebアプリケーションやOSの未知の脆弱性を突く攻撃のほとんどは異常なリクエストであるため、これにより未知の脆弱性による攻撃もほとんど防ぐことが可能。
- パラメータ改ざん検出
- フロー制御
- Data Guard(クレジットカード情報漏洩対策)
- XMLセキュリティ
ホワイトリストによる対策
- File Types
- URLs
Webアプリケーションに実際に存在するオブジェクト
- Parameters
リクエスト・レスポンス内に確認するパラメータの名前、種類
ターゲット攻撃を防御するポジティブセキュリティプロテクション
スキャナーやその他の自動化されたセキュリティ機器では、悪質なユーザーがアプリケーション特有の脆弱性をついてしかけてくる「狙い撃ち」攻撃を防ぐことはできません。このようなタイプの攻撃に対して唯一有効なのは、アプリケーションの特性に基づいたポリシーです。BIG-IP ASMは、パターンとして認識できない攻撃をリアルタイムで検知、回避します。既存のファイアウォールや不正侵入検知システム(Intrusion Detection System:IDS)では防げないHTTPやHTTPSを悪用した攻撃を防御し、従来のセキュリティ製品の弱点を補完するソリューションを提供します。
無差別攻撃を防御するネガティブセキュリティ攻撃フィルタ
BIG-IP ASMが備えるアプリケーションレイヤレベルでのパケット検査と、ユーザーの挙動を解析するロジックは、巧妙なフラッド攻撃やアプリケーションへの偽装アクセスを防止して攻撃の脅威を確実に低減します。スクリプトキディによる攻撃、既知のワームや脆弱点を突いた攻撃、制限されたオブジェクトやファイルの不正なリクエスト、その他の既知の侵入行為をきめ細かくブロックします。
コンテンツスクラビング
BIG-IP ASMはWebサーバ用の個人情報保護機能を備えており、取扱いに注意を要する顧客情報がWebページ上で処理されることがないようにします。BIG-IP ASMは、住所、クレジットカード番号、口座番号、診察履歴、電話番号など、個人の特定を可能にするあらゆる情報を処理対象から除外するよう設定できます。
包括的なネットワークセキュリティサービス
BIG-IP ASMは、SSLアクセラレーション、Webサーバの終端と再暗号化、鍵管理とフェイルオーバー処理、基本的なネットワークファイアウォール機能などを含む、完全なリバースプロキシ機能を提供します。
Webサーバの保護(クローキング)
BIG-IP ASMは、どのサーバが稼動しているかがアタッカーにわからないように、Webのインフラを保護する機能を備えています。この機能は「クローキング」と呼ばれ、OSやサーバに関する特定情報を取り除き、あらゆるHTTPエラーメッセージをユーザーから隠します。また、ユーザーへ転送されるページからアプリケーションのエラーメッセージを除去し、Webページからサーバのコードが漏れることのないようにチェックと確認を行ないます。
WAFの導入について
WAFの導入について、Webアプリケーション作成時に利用する以下ドキュメントに、WAFの導入や効果が記載されております。Webアプリケーション導入時は、WAFの導入に加えてこれらのドキュメントもご参照ください。PCIDSS
PCIDSSは、カード会員情報の保護を目的として、国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)が共同で策定したカード情報セキュリティの国際統一基準です。要件としては、以下12項目があります。
要件 1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
この中で、以下の要件6.6にWAFについての言及があり、定期的なレビューが実施できない場合においては、WAFの導入が効果的となります。
要件6.6
一般公開されているウェブアプリケーションで、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが、次のいずれかの方法によって、既知の攻撃から保護されていることを確認する。
・一般公開されているウェブアプリケーションは、アプリケーションのセキュリティ脆弱性を手動/自動で評価するツールまたは手法によって、少なくとも年 1 回および何らかの変更を加えた後にレビューする。
注: この評価は、要件 11.2 で実施する脆弱性スキャンとは異なる。
・ウェブベースの攻撃を検知および回避するために、一般公開されているウェブアプリケーションの手前に、ウェブアプリケーションファイアウォールをインストールする。
IPA(独立行政法人 情報処理推進機構) 「安全なウェブサイトの作り方」
2.6 WAF によるウェブアプリケーションの保護
F5、F5 Networks、F5のロゴ、及び本文中に記載されている製品名は、米国および他の国におけるF5, Inc.の商標または登録商標です。
| カタログ | 4.91MB | ダウンロード |
|---|
