[Data Sheet] NSFOCUS WVSS ウェブ脆弱性 スキャニングシステム 概要 WVSS の強み ウェブアプリケーションの多くは、お客様の目的に合うようカスタマイズされ、開発元よ ウェブサイト上の脆弱性を 正確に解析 大規模なウェブサイトの高 りソースコードで受け取ることが主流となっています。アプリケーション環境に応じて動 的な演算機能によって、特定の機能を実行します。このため、ウェブアプリケーションの セキュリティ管理において新たな課題が生まれています。アプリケーション開発者から Windows の脆弱性パッチといった一般的なパッチが配布されることはまずなく、セキュ 速スキャン WAF と連携した閉ループ ウェブサイトセキュリティ リティをパッチだけに頼るといった受け身の方法では十分に安全を守ることができなく なっています。ウェブセキュリティの安全評価には、専門的なウェブの脆弱性対策を活 用し、より予防的かつ主体的な方法をとることが必要です。こういった対策をとることで、 対象となるウェブアプリケーションやウェブサイトにおいて隠れた脆弱性を検知し、脆弱 仮想化環境に柔軟に対応 性をついたハッカーによる悪意ある攻撃からシステムを守ることが可能になります。 NSFOCUS WVSS ウェブ脆弱性スキャニングシステム (NSFOCUS WVSS)は、ア プリケーションセキュリティに関する弊社の長年の研究や経験に基づいて開発された 業界最高の脆弱性スキャニングソリューションです。本ソリューションは、ウェブサイト 上のすべてのリソースのセキュリティ評価を簡単かつ自動で行うことができます。ボタ ンのクリック、カーソルの動き、複雑なフォームへの記入といったウェブサイトの訪問者 の振る舞いを疑似的に実行することで、内蔵のセキュリティモデルを介してウェブアプ リケーション上に存在しうる脆弱性を検知し、解析レポートと併せて優先順位に基づい た改善方法をご提案致します。また、NSFOCUS WVSS は、NSFOCSUS ウェブアプ リケーションファイアウォール (NSFOCUS WAF)と自動連携することが可能で、WAF において脆弱性を埋めるポリシーを適用できるように、スマートパッチを提供することが できます。これにより、セキュリティ管理を効果的に向上させることが可能になるので す。 1/7 [Data Sheet] WVSS の強み ウェブサイトの脆弱性に対する正確な解析 NSFOCUS WVSS はウェブアプリケーションのセキュリティスキャンに特化しており、業界 最高のウェブスキャンおよび脆弱性解析を行います。Ajax, Flash、JavaScript や Web 2.0 といったアプリケーションの認識および OWASP、WASC 脆弱性テンプレートをサポー トしており、一般的な脆弱性との互換性を持ちます。フォレンジック・スキャニング技術を駆 使することで、容易に危険な脆弱性の特定や修復ができるよう詳細なレポートの提供を行 います。緊急事態においては、弊社の専門スタッフが常に監視を行い、ウェブ脆弱性ベー スの早急なアップデートを行うことで、スムーズに運営できる Websafe サービスも提供可 能です。 大規模なウェブサイトに対するスピーディーなスキャニング ウェブアプリケーション・セキュリティに関する専門的な研究により、WVSS はインテリジェ ント・ウェブクローリング、動的リソースの調整、プロキシキャッシュ、リアルタイムでのタス クの割り当て、URL レベルのロードバランシングといった、革新的な技術を搭載していま す。独自の高度なスキャニング忌避技術を有し、Index 配下にある各サイロページのログ 解析との連携を行います。帯域幅の消費などの条件を手動または自動で調節することで スキャニングの測度を一定に設定することができます。今までは、スキャニングを行うこと で通常業務に支障が出ていましたが、最先端技術を用いることでこの課題を克服し、業界 最速でスキャニングを行うことに成功しました。 2/7 [Data Sheet] WAF によるクローズドループ・ウェブサイトセキュリティ 独自の脆弱性の追跡技術により、NSFOCUS WVSS は脆弱性の検知、監視および修 復、すべてのプロセスにおいて統計解析を行っています。また、NSFOCUS WAF と連 携し、セキュリティ上の脅威の検知、防御を行います。この過程において、NSFOCUS WVSS は、NSFOCUS WAF に対して自動でスキャニングレポートをアップロードし、 WAF では保護対象のウェブサイトに対する防御ルール「スマートパッチ」が作成されま す。 この技術によりクローズドループ検知および防御を実現します。 仮想化環境への柔軟な適応 NSFOCUS WVSS は、仮想化環境にも簡単に配置することが可能です。独立した仮 想化の管理アーキテクチャにより、ソフトウェアに使用することができるため、オンデマ ンド技術の仮想版として、他社のホスティングオペレーションシステムを使用する際に かかる費用を抑えることができます。Bare およびホスティング配置モードをサポートし ます。区分けされたクラウドホストや社内用のコンピュータ、どちらにもインストールする ことができるため、資産の有効的な活用および仮想化を可能にします。 3/7 [Data Sheet] WVSS の特長 徹底した検証と包括的なスキャニング より多くのウェブアプリケーションを自動解析: 複数のウェブ技術(PHP, ASP, .NET, WVSS の特長 HTML)、サイトタイプ(ポータル、電子政府、フォーラム、ブログ、インターネットバン キング)、ウェブアプリケーション(IIS, Apache, Tomcat)、他社製のコンポーネント 徹底した検証と包括的なス (Struts2, WebLogic, WordPress) キャニング 多くの正確なスキャニングプラグイン: 弊社のプラグインに基づいて、例えば 可視化された脆弱性の確 OWASP TOP 10-2010 / 2013; WASC といった世界的な脆弱性に対応しています。 認 分散型クラスタスキャン グローバルリスク分析(ダッ また、必要に応じて、スキャニングテンプレートをカスタマイズすることが可能です。 ウェブセキュリティ事件を絶えずトラッキングすることで、攻撃に迅速に対応し、どこ よりも早く脆弱性プラグインをアップデートすることが可能です。 シュボード)とディスプレイ レジスターに関連するプロアクティブ検知技術を静的および動的に組み合わせるこ とで、既知および未知のレジスタータイプを識別します。 の見やすさ 可視化された脆弱性の確認 SQL インジェクション、クロスサイトスクリプティング等の一般的なウェブ脆弱性の 検証をサポートします。 バッチの検証では、手動または自動の認証モードにおいてコード内の脆弱性の位 置を特定することができます。また誤検証の場合の修正も可能です。 詳細なレポートに基づいてコードの修正を行ったならば、WVSS にてブロックされ たリンクを開放する手順で、脆弱性の発見から修復を迅速に行うことが可能で す。 コードレベルでの詳細なリスト相互データだけでなく、可視化された脆弱性の確認 画面を添えたオフラインレポートを提供します。脆弱性を論理的な観点から検証 し、脆弱性を検出可能なリクエストやレスポンスを表示します。 4/7 [Data Sheet] 分散型クラスタスキャン 従来のスキャニング方法ではなく、確実かつ迅速なスキャニング技術を駆使するこ とで、URL のスキャニング画面レベルでのロードバランシングをより細密かつ詳 細に行い、大規模なスキャニングの安全性および迅速性の両立させたスキャン テクノロジーを実現しています。 下層のノードを簡単・柔軟に拡張可能なため、それぞれに割り当てられたシングル /マルチタスク間の動的均衡を保つことができます。分散型クラスタスキャンは 様々な状況におけるスキャニングに適合させることが出来ます。最大 32 の下層 ノードをサポートし、最大構成時でもスキャン速度のリアルタイム自動調整機能を 搭載しています。 各 WVSS は管理およびスキャニング、2 つの役割を担います。上層のノードは下 層ノードのスキャンタスクを管理し、サマリーレポートの出力を行います。 グローバルリスクリスク分析とディスプレイの見やすさ ダッシュボード:最初の画面では、スキャン対象サイトのセキュリティ危険度に関す るサマリが表示されます。例えば、過去 10 日間のリスクレベル、過去 30 日間の 5/7 [Data Sheet] 危険なウェブサイトトップ 10、最新の脆弱性情報、シングルウェブページにおける リスクのトレンド、ネットワークのインターフェーストラフィック、各タスクの進捗状況 といった詳細な情報を瞬時に読み取ることができます。 独自の脆弱性トラッキング技術を駆使: NSFOCUS が誇る脆弱性トラッキング技 術は、面で脆弱性を検知するタイムラインにより可能となっています。すべての監 視および修復過程を閲覧することができるため、容易に危険を特定することが可 能になります。 マルチアングルのレポート:様々な角度から専門的に検証したレポートは、シング ルウェブページのレポートだけでなく、複数のサイトの包括的なリスクレポートや マルチタスク脆弱性の共通点を自動で収集することも可能です。脆弱性はすべて 「サイトのリソースツリー」に基づいて表示されます。WVSS は、スキャニングを実 行した際に、レポートを作成します。 6/7 [Data Sheet] 仕様 トロイ木馬ウイルスの検出 AJAX、Flash および JavaScript を含むすべての Web 2.0 アプリケーション PHP、ASP、NET、Java およびその他プログラミン グ言語 検知および検証 IIS、Apache および Nginx などのウェブサーバー プロキシのスキャン HTTPS のスキャン Flash 攻撃の検知 Basic、NTLM、cookies および SSL などの認証モー ド レポート OWASP、WASC およびその他レポート WAF との連携 NSFOCUS WAF との連携 IPv4、IPv6 導入モデル 分散型配置 その他 NSFOCUS TEL: +86 10 68438880 EMAIL: [email protected] データインターフェースとしても使用可能 NSFOCUS US TEL: +1 408 907 6638 EMAIL: [email protected] NSFOCUS ジャパン TEL: +81 3 6206 8156 EMAIL: [email protected] “NSFOCUS” は、NSFOCUS Information Technology Co., Ltd 社の登録商標です。 NSFOCUS 社は、本書に記載されているすべての文言、文書フォーマット、図、写真、方法論、およびプロセス手順に関する著作権を保有し、特に明示しないかぎ り、財産権と著作権に関する法律によって保護されます。NSFOCUS 社からの書面による許可なく、本書のいかなる部分をいかなる方法によっても複製または引用 することを、個人、商用問わず禁止致します。. NSFOCUS 社について NSFOCUS 社はサービスプロバイダ、データセンタおよび企業を対象とした変化の激しいネットワークセキュリティ業界において世界 的なリーダーの地位を確立し、キャリアグレード Anti-DDoS システム、ウェブアプリケーションファイアウォールおよびネットワーク侵入 防止システムをはじめとするネットワークセキュリティソリューションに重きを置いています。弊社製品はすべてお客様のネットワーク や機密情報の安全を守ることを目的としています。弊社についての詳細は弊社ホームページ(http://www.nsfocus.com)をご覧くださ い。 7/7
© Copyright 2024 Paperzz