BIG-IP® ASM(WAF)

BIG-IP Application Security Manager

概要

Webサーバが利用するポート80番、443番のトラフィックを双方向で監視し、不正アクセスや攻撃からアプリケーションとその背後にあるデータを保護する、Webアプリケーション・ファイヤウォール。ポジティブ・セキュリティ・ロジックの採用により、未知の攻撃を防御するだけでなく内部情報の流出も防ぎます。

特長

BIG-IP Application Security Manager(以下、ASM、旧TrafficShield)はハッカーや悪意ある攻撃からアプリケーションを保護する「Webアプリケーションファイアウォール(WAF)」です。BIG-IP ASMは、ネットワークレベルの攻撃からの保護に重点を置いたネットワークファイアウォール製品や、絶えず増え続ける既知の攻撃を回避することに重点を置いた侵入防止システム(IDS/IDP)とは異なり、ネットワーク、Webインフラ、Webアプリケーションへの広範囲な攻撃をブロックします。

Webアプリケーションファイアウォール(WAF)の優位性

Webアプリケーションファイアウォール(WAF)を利用することで、Webアプリケーションに特化した攻撃を防御することができます。他セキュリティデバイスによる防御との違いについては、以下となります。

セキュリティ脅威 ファイアウォール(FW) 侵入検知/防御システム(IDS/IPS) Webアプリケーションファイアウォール(WAF)/ASM
ファイル/ディレクトリ探索 ×
バッファオーバーフロー攻撃
クロスサイトスクリプティング(XSS) ×
SQLインジェクション ×
OSコマンドインジェクション ×
Cookieポイズニング × ×
パラメータ改ざん × ×
クロスサイトリクエストフォージェリー(CSRF) × ×
レイヤ7DoS攻撃 × ×
ブルートフォースログイン攻撃(パスワードリスト型攻撃) × ×

ブラックリストによる対策

  • Attack Signature
攻撃パターンをシグネチャとして持っておくことによりそれにマッチした攻撃をブロック。この機能だけでもWebアプリケーションを狙う攻撃の7~8割はブロック可能。シグネチャステージング機能により誤検知から未然に予防することが可能。
  • プロトコル違反検出
HTTP/SMTP/FTPのプロトコル違反、RFCに準拠しない異常なトラフィックをブロック可能。WebアプリケーションやOSの未知の脆弱性を突く攻撃のほとんどは異常なリクエストであるため、これにより未知の脆弱性による攻撃もほとんど防ぐことが可能。
  • パラメータ改ざん検出
HTTP POSTで使われるHTMLのINPUTタグのパラメータ、HTTP GETで使われるURLのパラメータ、Cookieパラメータが不正に改ざんされていた場合に検出可能。
  • フロー制御
あらかじめログオンページを踏んでからでないとアクセスしてはいけないURLを定義しておくことで、そのフローに一致しないアクセスを検出しブロック可能。
  • Data Guard(クレジットカード情報漏洩対策)
万一SQLインジェクション攻撃などが成功し、クレジットカード情報が表示されそうになっても、それを検出してマスク可能。
  • XMLセキュリティ
SOAPで使われるXMLの書式がWSDLにマッチしているかを評価、XMLの署名・暗号化・復号化も可能。

ホワイトリストによる対策

  • File Types
Webアプリケーションで使われているオブジェクトの種類
  • URLs

Webアプリケーションに実際に存在するオブジェクト

  • Parameters

リクエスト・レスポンス内に確認するパラメータの名前、種類

ターゲット攻撃を防御するポジティブセキュリティプロテクション

スキャナーやその他の自動化されたセキュリティ機器では、悪質なユーザーがアプリケーション特有の脆弱性をついてしかけてくる「狙い撃ち」攻撃を防ぐことはできません。このようなタイプの攻撃に対して唯一有効なのは、アプリケーションの特性に基づいたポリシーです。BIG-IP ASMは、パターンとして認識できない攻撃をリアルタイムで検知、回避します。既存のファイアウォールや不正侵入検知システム(Intrusion Detection System:IDS)では防げないHTTPやHTTPSを悪用した攻撃を防御し、従来のセキュリティ製品の弱点を補完するソリューションを提供します。

無差別攻撃を防御するネガティブセキュリティ攻撃フィルタ

BIG-IP ASMが備えるアプリケーションレイヤレベルでのパケット検査と、ユーザーの挙動を解析するロジックは、巧妙なフラッド攻撃やアプリケーションへの偽装アクセスを防止して攻撃の脅威を確実に低減します。スクリプトキディによる攻撃、既知のワームや脆弱点を突いた攻撃、制限されたオブジェクトやファイルの不正なリクエスト、その他の既知の侵入行為をきめ細かくブロックします。

コンテンツスクラビング

BIG-IP ASMはWebサーバ用の個人情報保護機能を備えており、取扱いに注意を要する顧客情報がWebページ上で処理されることがないようにします。BIG-IP ASMは、住所、クレジットカード番号、口座番号、診察履歴、電話番号など、個人の特定を可能にするあらゆる情報を処理対象から除外するよう設定できます。

包括的なネットワークセキュリティサービス

BIG-IP ASMは、SSLアクセラレーション、Webサーバの終端と再暗号化、鍵管理とフェイルオーバー処理、基本的なネットワークファイアウォール機能などを含む、完全なリバースプロキシ機能を提供します。

Webサーバの保護(クローキング)

BIG-IP ASMは、どのサーバが稼動しているかがアタッカーにわからないように、Webのインフラを保護する機能を備えています。この機能は「クローキング」と呼ばれ、OSやサーバに関する特定情報を取り除き、あらゆるHTTPエラーメッセージをユーザーから隠します。また、ユーザーへ転送されるページからアプリケーションのエラーメッセージを除去し、Webページからサーバのコードが漏れることのないようにチェックと確認を行ないます。

WAFの導入について

WAFの導入について、Webアプリケーション作成時に利用する以下ドキュメントに、WAFの導入や効果が記載されております。Webアプリケーション導入時は、WAFの導入に加えてこれらのドキュメントもご参照ください。

PCIDSS

PCIDSSは、カード会員情報の保護を目的として、国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)が共同で策定したカード情報セキュリティの国際統一基準です。
要件としては、以下12項目があります。

要件 1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件 2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
要件 3: 保存されるカード会員データを保護する
要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
要件 5: ウィルス対策ソフトウェアまたはプログラムを使用し、定期的に更新する
要件 6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件 7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件 8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件 9: カード会員データへの物理アクセスを制限する
要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件 11: セキュリティシステムおよびプロセスを定期的にテストする
要件 12: すべての担当者の情報セキュリティポリシーを整備する

この中で、以下の要件6.6にWAFについての言及があり、定期的なレビューが実施できない場合においては、WAFの導入が効果的となります。
要件6.6
一般公開されているウェブアプリケーションで、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが、次のいずれかの方法によって、既知の攻撃から保護されていることを確認する。
・一般公開されているウェブアプリケーションは、アプリケーションのセキュリティ脆弱性を手動/自動で評価するツールまたは手法によって、少なくとも年 1 回および何らかの変更を加えた後にレビューする。
注: この評価は、要件 11.2 で実施する脆弱性スキャンとは異なる。
・ウェブベースの攻撃を検知および回避するために、一般公開されているウェブアプリケーションの手前に、ウェブアプリケーションファイアウォールをインストールする。

IPA(独立行政法人 情報処理推進機構) 「安全なウェブサイトの作り方」

WAFによるWebアプリケーション保護に関する記載があり、WAFの有効性について言及されています。

2.6 WAF によるウェブアプリケーションの保護
ウェブアプリケーションの安全を確保するには、脆弱性を作り込まないことや、脆弱性が発見されたら早期に該当箇所を修正することが重要です。一方、そのようなウェブアプリケーションの実装面での対策とは別に、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護する運用面での対策として、WAF(Web Application Firewall)の使用があります。WAF は、ウェブアプリケーションを含むウェブサイトと利用者の間で交わされる HTTP(HTTPS 通信を含む)を検査し、攻撃等の不正な通信を自動的に遮断するソフトウェア、もしくはハードウェアです。
WAF を使用することで以下の効果を期待できます。
- 脆弱性を悪用した攻撃からウェブアプリケーションを防御する
- 脆弱性を悪用した攻撃を検出する
- 複数のウェブアプリケーションへの攻撃をまとめて防御する
 

F5、F5 Networks、F5のロゴ、及び本文中に記載されている製品名は、米国および他の国におけるF5 Networks, Inc.の商標または登録商標です。

 

カタログ 4.91MB

 

PAGETOP

 

資料請求・お問い合わせ

 

Twitterでシェア Facebookでシェア