管理者用ガイド(PDF:1.1MB)

SiteGuard Lite
管理者用ガイド
― ウェブアプリケーションへの攻撃を水際で防ぐ
ウェブアプリケーション・ファイアウォール・ソリューション ―
Version 3.00
Update 2
SiteGuard Lite/管理者用ガイド
はじめに
この度は、JP-Secure「SiteGuard Lite」をご購入いただきありがとうございます。
本マニュアルでは、製品のインストールおよびアンインストール、基本的な設定例、詳細な設定例など
について説明しています。
尚、本マニュアルでは、SiteGuard Lite または本製品と表記します。
本マニュアルで使用するマーク
マーク
説 明
注意していただきたいことを記載しています。
ヒント・補足情報を記載しています。
参照先を記載しています。
本マニュアルで使用する記号と書体
[
記号・書体
]
〔
〕ボタン
説
メニュー名、項目名
明
例
[モジュール設定] を選択します。
ボタン名
〔適用〕ボタンをクリックします。
あいう ABCabc123
ウェブ管理画面の設定値
[シグネチャ検査] :有効
ABCabc123
コマンド名、ファイル名、ディレクトリ名、 # rpm -Uvh siteguardlite-XXX.i386.rpm
ディスプレイ上の出力、コード例など
ABCabc123
コマンドラインでユーザが入力する文字列
ABCabc123
コマンドラインの可変部分
書式等が崩れる可能性があるため、各種設定で入力を行う際に、本マニュアル(PDF)の内容を
そのままコピー&ペーストすることは避けてください。
SiteGuard Lite/管理者用ガイド
目的別ガイド
1. インストールする
 本製品のインストール・初期設定は、次の章を参照してください。
「3. 動作環境」「4. インストール」
2. 基本的な動作・操作方法を確認する
 製品の評価やテストなど、本製品の基本動作を確認する場合は、次の章を参照してください。
「5. ウェブ管理画面の基本操作と初期設定」「6. 動作確認」
3. 各種機能の詳細設定を確認する
 導入に向けて、本製品の詳細な設定を確認する場合は、次の章を中心に参照してください。
「7. 詳細設定」
4. トラステッド・シグネチャの設定を確認する
 トラステッド・シグネチャの設定を確認する場合は、次の章を参照してください。
「7.1.3.1 トラステッド・シグネチャ」
「7.1.3.2 トラステッド・シグネチャの推奨設定」
5. カスタム・シグネチャの設定を確認する
 カスタム・シグネチャの設定を確認する場合は、次の章を参照してください。
「7.1.3.3 カスタム・シグネチャ」
「7.1.3.4 カスタム・シグネチャの設定例」
6. 監視運用を行う
 本運用を開始する前の監視運用(モニタリング)については、次の章を参照してください。
「8. 監視運用」
7. Apache のディレクティブによる設定を確認する
 httpd.conf や.htaccess を活用したバーチャルホストごとの設定変更、検査の除外などを行う
場合は、次の章を参照してください。
「14. Apache のディレクティブによる設定」
SiteGuard Lite/管理者用ガイド
目 次
1. SiteGuard Lite について ............................................................................................ 1
2. 機能一覧 ..................................................................................................................... 2
2.1 機能一覧 .................................................................................................................................... 2
3. 動作環境 ..................................................................................................................... 3
3.1
3.2
3.3
3.4
3.5
3.6
ハードウェア環境 ...................................................................................................................... 3
ソフトウェア環境(Linux/サーバー環境) ............................................................................... 4
ソフトウェア環境(FreeBSD/サーバー環境) ......................................................................... 4
ソフトウェア環境(クライアント環境) ................................................................................. 5
通信要件 .................................................................................................................................... 5
インストール前の確認と設定.................................................................................................... 6
4. インストール.................................................................................................................. 7
4.1 Linux 環境でのインストール(rpm パッケージ) ..................................................................... 8
4.2 Linux 環境でのインストール(tar.gz パッケージ) .................................................................. 8
4.3 FreeBSD 環境でのインストール ............................................................................................... 9
4.4 セットアップ ........................................................................................................................... 10
4.5 インストール・セットアップの内容 ....................................................................................... 15
4.6 アンインストール .................................................................................................................... 15
5. ウェブ管理画面の基本操作と初期設定.............................................................. 16
5.1 ウェブ管理画面 ....................................................................................................................... 16
5.1.1 ウェブ管理画面へのアクセス ................................................................................... 16
5.1.2 初期パスワードの変更 .............................................................................................. 18
5.2 ウェブ管理画面の構成 ............................................................................................................ 19
5.3 ライセンス情報の登録 ............................................................................................................ 20
5.4 基本的な設定 ........................................................................................................................... 21
5.5 管理パスワードの変更 ............................................................................................................ 23
5.6 ログアウト............................................................................................................................... 23
6. 動作確認 .................................................................................................................. 24
6.1 動作確認と検出テスト ............................................................................................................ 24
7. 詳細設定 .................................................................................................................. 25
7.1 モジュール設定 ....................................................................................................................... 25
7.1.1 基本設定 .................................................................................................................... 26
7.1.2 詳細設定 .................................................................................................................... 29
SiteGuard Lite/管理者用ガイド
7.1.2.1 検出時の動作 .............................................................................................. 37
7.1.3 シグネチャ検査の詳細設定項目・設定例 ................................................................. 39
7.1.3.1 トラステッド・シグネチャ......................................................................... 39
7.1.3.2 トラステッド・シグネチャの推奨設定 ...................................................... 42
7.1.3.3 カスタム・シグネチャ ................................................................................ 43
7.1.3.4 カスタム・シグネチャの設定例 ................................................................. 51
7.1.4 検出通知テンプレート .............................................................................................. 67
7.1.5 正規表現 .................................................................................................................... 69
7.2 シグネチャ更新設定 ................................................................................................................ 71
7.2.1 手動更新 .................................................................................................................... 73
7.2.2 自動更新 .................................................................................................................... 76
7.2.3 共通設定 .................................................................................................................... 77
8. 監視運用 .................................................................................................................. 78
8.1 監視 URL ................................................................................................................................. 78
8.1.1 監視 URL の登録と解除 ............................................................................................ 79
8.1.2 監視する接続元 IP アドレスの指定 .......................................................................... 80
9. ログ............................................................................................................................. 81
9.1 ログの表示............................................................................................................................... 81
9.2 検出名 ...................................................................................................................................... 86
9.3 動作ログ詳細 ........................................................................................................................... 87
9.3.1 検出ログ(detect.log) ............................................................................................. 87
9.3.2 情報ログ(info.log) ................................................................................................. 89
9.3.3 エラーログ(error.log) ........................................................................................... 90
9.3.4 フォームログ(form.log) ........................................................................................ 94
9.3.5 設定ログ(conf.log) ................................................................................................ 94
9.4 通知サービスログ詳細 ............................................................................................................ 95
9.4.1 情報ログ(info.log) ................................................................................................. 95
9.4.2 エラーログ(error.log) ........................................................................................... 96
9.5 その他のログ ........................................................................................................................... 97
9.5.1 Apache ログ(エラーログ) ..................................................................................... 97
9.5.2 管理サービスログ ..................................................................................................... 98
9.6 ログの分割(ローテート) ..................................................................................................... 99
9.7 時刻表示変換ツール(logconv) .......................................................................................... 100
10. 統計・レポート...................................................................................................... 101
10.1 ホーム画面........................................................................................................................... 101
10.1.1 統計 ....................................................................................................................... 101
10.1.2 統計の更新 ............................................................................................................ 103
10.1.3 製品情報と検出・エラー情報 ............................................................................... 104
10.2 レポート .............................................................................................................................. 105
10.2.1 レポート出力......................................................................................................... 105
11. 状態・管理........................................................................................................... 107
11.1 状態 ..................................................................................................................................... 107
SiteGuard Lite/管理者用ガイド
11.2 管理 ..................................................................................................................................... 108
11.2.1 診断情報 ................................................................................................................ 108
11.2.2 バックアップ・リストア ...................................................................................... 109
11.2.3 ライセンス情報 ..................................................................................................... 110
11.2.4 ホーム画面設定 ..................................................................................................... 111
12. ウェブ管理画面のログインロック ..................................................................... 114
12.1 ログインロック ................................................................................................................... 114
12.2 ログインロックの解除方法 ................................................................................................. 114
12.3 許容するログイン失敗回数の変更 ...................................................................................... 115
13. コマンドラインでの操作 ..................................................................................... 116
13.1
13.2
13.3
13.4
13.5
13.6
13.7
13.8
シグネチャ更新コマンド ..................................................................................................... 116
設定情報適用コマンド ........................................................................................................ 118
統計コマンド ....................................................................................................................... 118
診断情報作成コマンド ........................................................................................................ 118
サービス起動コマンド ........................................................................................................ 119
全サービス起動コマンド ..................................................................................................... 119
フィルタ情報クリアコマンド.............................................................................................. 120
ログインアカウント初期化コマンド ................................................................................... 120
14. Apache のディレクティブによる設定 ................................................................ 121
14.1 検査の有効/無効 .................................................................................................................. 121
14.2 監視モード........................................................................................................................... 122
14.3 トラステッド・シグネチャの除外 ...................................................................................... 122
14.4 トラステッド・シグネチャの除外(パラメータ指定) ...................................................... 124
14.5 接続元 IP アドレスによる検査の除外 ................................................................................. 126
14.6 ユーザによる検査の有効/無効............................................................................................. 127
14.7 ユーザによるトラステッド・シグネチャの除外................................................................. 129
14.8 ユーザによるトラステッド・シグネチャの除外(パラメータ指定) ................................ 131
14.9 ユーザによる接続元 IP アドレスの検査除外 ...................................................................... 133
14.10 検出ログ・フォームログ出力先の指定 ............................................................................. 135
14.11 Apache のディレクティブによる設定項目一覧 ................................................................. 136
15. 製品動作仕様 .................................................................................................... 137
15.1 動作仕様一覧 ....................................................................................................................... 137
15.2 サービス・プロセス一覧 ..................................................................................................... 137
16. パラメータの検査 ............................................................................................... 138
16.1 クエリストリングの検査 ..................................................................................................... 138
16.2 Cookie の検査 ...................................................................................................................... 138
16.3 要求本文の検査 ................................................................................................................... 139
16.4 multipart の検査 .................................................................................................................... 139
16.5 JSON の検査 ........................................................................................................................ 140
16.6 XML の検査 .......................................................................................................................... 140
SiteGuard Lite/管理者用ガイド
16.7 JSON/XML の親子関係 ........................................................................................................ 141
17. レポートオプション ............................................................................................... 143
17.1 ログ解析ツールの設定 ........................................................................................................ 143
18. カスタム・シグネチャ(サンプル) ........................................................................ 144
18.1 カスタム・シグネチャ(サンプル)の導入 ........................................................................ 144
18.1.1 新規インストール時 .............................................................................................. 144
18.1.2 製品アップグレード時 .......................................................................................... 144
18.2 カスタム・シグネチャ(サンプル)の説明 ........................................................................ 144
19. よくあるご質問(カスタム・シグネチャ) ............................................................ 147
20. 著作権 ................................................................................................................. 148
21. お問い合わせ...................................................................................................... 151
21.1
21.2
21.3
21.4
ウェブによる情報提供 ........................................................................................................ 151
購入に関するお問い合わせ ................................................................................................. 151
電子メールによるサポート ................................................................................................. 151
電話によるサポート ............................................................................................................ 151
SiteGuard Lite/管理者用ガイド
1. SiteGuard Lite について
本製品は、オンラインショッピング、イントラネット、電子商取引、電子申請、情報検索、企業・官公
庁での情報提供、個人間の情報交換等で利用されているウェブサーバー、ウェブアプリケーションへの
攻撃を防ぐための「ウェブアプリケーション・ファイアウォール・ソリューション」です。
ウェブサーバー、ウェブアプリケーションへの攻撃は、情報漏えい・ウェブページやデータの改ざん等
に繋がる重大な脅威です。特に、最近の電子商取引の普及、官公庁の電子化、各種 ASP サービス等によ
るウェブアプリケーションの普及と、世界的なインターネットの利用者増大により、攻撃が広がってい
ます。企業の場合、個人情報漏洩・データ改ざん等の被害に加え、評判や信頼の低下による間接的な影
響もあります。
システム管理者は本製品を使用することで、ウェブアプリケーションの脆弱性を悪用した攻撃からウェ
ブサーバー、ウェブアプリケーションを保護することができます。
本製品には、高品質・高性能なトラステッド・シグネチャによる「シグネチャ検査機能」が搭載されて
います。
また、完全な国産製品となっているため、管理画面の言語やドキュメント類の提供などはすべて日本語
対応となっています。
1
SiteGuard Lite/管理者用ガイド
2. 機能一覧
2.1 機能一覧
■Apache のモジュールとして動作するホスト型 WAF
■HTTP/HTTPS による通信を検査
■シグネチャ検査機能を搭載
• 高品質・高性能なトラステッド・シグネチャ(チューニング済みシグネチャ)
• 独自のルールを作成できるカスタム・シグネチャ検査
• トラステッド・シグネチャの自動更新機能
■各種攻撃に対応
•
•
•
•
•
•
SQL インジェクション
クロスサイトスクリプティング(XSS)
OS コマンドインジェクション
ディレクトリトラバーサル
HTTP ヘッダインジェクション
ブルートフォース など
■容易なインストール
• rpm パッケージによる簡単インストール(Linux)
• tar.gz パッケージによるインストールも可能
• 初期設定のためのスクリプトを用意
■容易な設定
• ウェブ管理画面による設定が可能(日本語対応)
• 検出メッセージの表示が可能(日本語で編集可能)
• 管理者への検出メール通知が可能(日本語で編集可能)
2
SiteGuard Lite/管理者用ガイド
3. 動作環境
本製品が正常に動作するためには、以下の環境が必要です。
3.1 ハードウェア環境
■推奨ハードウェア環境
CPU
Intel Pentium 互換 CPU 2GHz 以上、複数コアを推奨
MEMORY
2GB 以上推奨
DISK
空きが 5GB 以上(インストール 500MB のほか、ログの保存期間等による)
NETWORK
TCP/IP 接続, 100BaseT 以上
本製品は、検出情報やパラメータ変数の名前・値などをログとして保存します。
検出時は、検出ログ・フォームログが出力され、1 回の検出で 1KB 程度のログを出力します。
(URL の長さやパラメータ変数の有無により、検出時のログ容量は変動します。)
なお、本製品によるアクセスログの出力はありません。
(アクセスの記録は、Apache のアクセスログに出力されます。)
3
SiteGuard Lite/管理者用ガイド
3.2 ソフトウェア環境(Linux/サーバー環境)
■必須コンポーネント
•
•
•
•
•
•
•
•
•
•
Linux kernel 2.6.以降
Apache 2.2 または Apache 2.4
glibc 2.5 以降
perl
wget
unzip
openssl
make
file
JDK/JRE 1.8 (ウェブ管理画面を使用する場合)
■対応ディストリビューション
• Red Hat Enterprise Linux 5/6/7
• CentOS 5/6/7
• Amazon Linux
※32bit/64bit(x86_64) の動作に対応しています。
仮想 OS での動作も可能です。
OS(カーネル、ドライバ、ライブラリ等)は正常に動作すること
Red Hat Enterprise Linux 6, CentOS 6 の環境で、本製品をインストール後に OS を
7 系にアップグレードした場合は、本製品の再インストールが必要となります。
3.3 ソフトウェア環境(FreeBSD/サーバー環境)
■必須コンポーネント
•
•
•
•
•
•
•
•
Apache 2.2 または Apache 2.4
openssl
perl
wget
unzip
make
file
OpenJDK 8(ウェブ管理画面を使用する場合)
■対応 OS
• FreeBSD 9/10
※32bit/64bit(amd64) の動作に対応しています。
仮想 OS での動作も可能です。
OS(カーネル、ドライバ、ライブラリ等)は正常に動作すること
4
SiteGuard Lite/管理者用ガイド
3.4 ソフトウェア環境(クライアント環境)
本製品の設定は、ウェブ上の管理ページで行います。このページを「ウェブ管理画面」と呼びます。
ウェブ管理画面では Javascript と Cookie 使用し、以下のバージョンでの動作を確認済みです。
•
•
•
•
Mozilla Firefox 48
Google Chrome 52
Mircosoft Internet Explorer 11
Mircosoft Internet Edge 25
上記以外のウェブブラウザ、上記よりも古いバージョンのブラウザの場合、ウェブ管理画面が
正常に動作しないことがあります。
3.5 通信要件
本製品は、トラステッド・シグネチャの更新やバージョン情報の確認を行うために、下記 URL に接続
します。通信プロトコルは、https(443)を使用します。
トラステッド・シグネチャの更新
https://www.jp-secure.com/download/siteguardlite/updates_lite/latest-lite.zip
トラステッド・シグネチャのバージョン確認
https://www.jp-secure.com/download/siteguardlite/updates_lite/header.ini
製品バージョンの確認
https://www.jp-secure.com/download/siteguardlite/updates_lite/version.ini
いずれもサポート ID、パスワードによる認証を行います。
プロキシサーバを経由する必要がある場合は、[シグネチャ更新設定]でプロキシサーバを指定
することができます。
「7.2 シグネチャ更新設定」「7.2.3 共通設定」を参照してください。
5
SiteGuard Lite/管理者用ガイド
3.6 インストール前の確認と設定
■ウェブ管理画面への接続について
本製品は、Apache-SSL 経由でウェブ管理画面に接続します。
また、ウェブ管理画面用のウェブアプリケーションサーバー(Tomcat)は、java 上で動作します。
そのため、ウェブ管理画面を利用する場合は、以下の環境が必要です。
• Apache モジュールの mod_ssl, mod_proxy
• JDK/JRE 1.8
本製品のセットアップ時、ウェブ管理画面の使用を選択すると、JDK/JRE のパスを指定するた
めの項目が表示されますが、セットアップスクリプトによって、下記のパスを自動的に検出し
ます。

/usr/lib/jvm/jre-1.8.0

/usr/java/latest :Oracle JRE 1.8.0(RPMパッケージによるインストール)
:java-1.8.0-openjdk(yumによるインストール)
Red Hat Enterprise Linux 6, CentOS 6 以降の場合、yum コマンドで java-1.8.0-openjdk をインスト
ール・アップデートすることができます。
Oracle JRE の最新版は、以下の URL からダウンロードすることができます。
https://java.com/ja/download/manual.jsp
FreeBSD の場合は、pkg コマンド等で openjkd8 をインストールすることができます。
(セットアップスクリプトによって、/usr/local/openjdk8 を自動的に検出します。)
■Apache の ErrorDocument 403 について
本製品には、攻撃検出時に検出メッセージ(403 Forbidden)をクライアントへ応答する機能がありますが、
Apache で ErrorDocument 403 を有効にしている場合は、Apache で設定している 403 のメッセージが応答
されます。
例) ErrorDocument 403 /error/403.html
例の場合、検出時のメッセージは 403.html の内容になります。
ErrorDocument 403 が有効でない場合、本製品で設定した検出メッセージの内容になります。
■SELinux 環境について
SELinux 環境へ本製品をインストールする場合、semanage コマンドが必要です。
semanage コマンドが導入されていない場合は、yum provides で対象パッケージを確認してから、semanage
コマンドをインストールしてください。(yum provides *usr/semanage)
6
SiteGuard Lite/管理者用ガイド
4. インストール
本製品は、rpm パッケージまたは、tar.gz パッケージによるインストールが可能です。
・Linux の場合、rpm パッケージと tar.gz パッケージを使用することができます。
・FreeBSD の場合は、tar.gz パッケージを使用します。
・いずれもインストール先のディレクトリは、/opt/jp-secure/siteguardlite です。
インストールパッケージは、32bit 用と 64bit 用があります。
ご利用の環境に合ったインストールパッケージを使用してください。
■Linux 用 rpm パッケージ
• siteguardlite-XXX-X.i386.rpm
• siteguardlite-XXX-X.x86_64.rpm
32bit 版
64bit 版
■Linux 用 tar.gz パッケージ
• siteguardlite-XXX-X.i386.tar.gz
• siteguardlite-XXX-X.x86_64.tar.gz
32bit 版
64bit 版
■FreeBSD 用 tar.gz パッケージ
• siteguardlite-XXX-X.bsd32.tar.gz
• siteguardlite-XXX-X.bsd64.tar.gz
32bit 版
64bit 版
7
SiteGuard Lite/管理者用ガイド
4.1 Linux 環境でのインストール(rpm パッケージ)
rpm パッケージを利用して、本製品をインストールする方法について説明します。
root 権限で、以下のコマンドを実行します。
# rpm -Uvh siteguardlite-XXX-X.XXXX.rpm
インストール完了のメッセージを確認します。
-----------------------------------------------------Install succeeded!
Please run the following command
in order to setup apache
# cd /opt/jp-secure/siteguardlite
# ./setup.sh
------------------------------------------------------
「4.4 セットアップ」を参照してください。
4.2 Linux 環境でのインストール(tar.gz パッケージ)
本製品は、tar.gz パッケージを使用してインストールすることもできます。
root 権限で、以下のコマンドを実行します。
# tar -zxvf siteguardlite-XXX-X.XXXX.tar.gz
# cd siteguardlite-XXX-X.XXXX/
# make install
インストール完了のメッセージを確認します。
-----------------------------------------------------Install succeeded!
Please run the following command
in order to setup apache
# cd /opt/jp-secure/siteguardlite
# ./setup.sh
------------------------------------------------------
「4.4 セットアップ」を参照してください。
8
SiteGuard Lite/管理者用ガイド
4.3 FreeBSD 環境でのインストール
root 権限で、以下のコマンドを実行します。
# tar -zxvf siteguardlite-XXX-X.bsdXX.tar.gz
# cd siteguardlite-XXX/
# make install
インストール完了のメッセージを確認します。
-----------------------------------------------------Install succeeded!
Please run the following command
in order to setup apache
# cd /opt/jp-secure/siteguardlite
# ./setup.sh
------------------------------------------------------
「4.4 セットアップ」を参照してください。
9
SiteGuard Lite/管理者用ガイド
4.4 セットアップ
本製品のインストールが完了したら setup.sh を実行して、Apache の設定やウェブ管理画面のアクセス制
御などの設定を行います。
Apache モジュールの mod_ruid を導入している場合、設定ファイル(conf/siteguardlite.ini)に
以下の設定を記述してからセットアップを実行してください。
use_mod_ruid=yes
※[admin]セクションよりも上に記述してください。
root 権限で、以下のコマンドを実行します。
# cd /opt/jp-secure/siteguardlite/
# ./setup.sh
セットアップシェルが実行されます。
----------------------------------------------------+ SiteGuard Lite setup start...
+
-----------------------------------------------------
Apache の設定ファイルのパスを指定します。
please enter Apache Config File. [/etc/httpd/conf/httpd.conf] -->
[ ]内に検出した設定ファイルのパスが表示されます。
検出された設定ファイルが正しい場合は、そのまま Enter を押してください。
検出されなかった場合やその他の設定ファイルを指定する場合は、設定ファイルのパスを指定して Enter
を押してください。
Apache の設定ファイルのパスを確認します。
Apache Config File=[/etc/httpd/conf/httpd.conf]
is correct? [yes]|no -->
[ ]内に指定した設定ファイルのパスが表示されます。
指定した設定ファイルのパスが正しい場合は、そのまま Enter を押してください。
設定ファイルのパスを修正する場合は、no を入力してやり直してください。
Apache の実行ファイルのパスを指定します。
please enter Apache Binary File (httpd). [/usr/sbin/httpd] -->
[ ]内に検出した実行ファイルのパスが表示されます。
検出された実行ファイルが正しい場合は、そのまま Enter を押してください。
検出されなかった場合やその他の実行ファイルを指定する場合は、実行ファイルのパスを指定して Enter
を押してください。
10
SiteGuard Lite/管理者用ガイド
Apache の実行ファイルのパスを確認します。
Apache Binary File (httpd)=[/usr/sbin/httpd]
is correct? [yes]|no -->
[ ]内に指定した実行ファイルのパスが表示されます。
指定した実行ファイルのパスが正しい場合は、そのまま Enter を押してください。
実行ファイルのパスを修正する場合は、no を入力してやり直してください。
管理インターフェース(ウェブ管理画面)の使用に関する設定を行います。
do you want to use the web administrative console?
* to use the console, you will need JDK or JRE is installed.
please select. [yes]|no -->
ウェブ管理画面を使用する場合は、yes を指定します。
ウェブ管理画面を使用しない場合は、no を指定します。
(no を選択した場合、管理インターフェースに関する設定はスキップされます。)
ウェブ管理画面の使用を選択した場合、JDK または JRE のインストールディレクトリを指定します。
please enter JDK or JRE directory. [/usr/lib/jvm/jre-1.8.0] -->
[ ]内に検出したパスが表示されます。
検出されたパスが正しい場合は、そのまま Enter を押してください。
検出されなかった場合やその他のパスを指定する場合は、JDK または JRE がインストールされているデ
ィレクトリのパスを入力して Enter を押してください。
JDK または JRE のインストールディレクトリを確認します。
JDK or JRE directory=[/usr/lib/jvm/jre-1.8.0]
is correct? [yes]|no -->
指定した内容が正しい場合は、そのまま Enter を押してください。
修正する場合は、no を入力してやり直してください。
管理インターフェース(ウェブ管理画面)のポート番号を指定します。
please enter the port number of the web console for https.
please enter port number. [9443] -->
[ ]内の 9443 はデフォルトです。
9443 のままでよければ、そのまま Enter を押してください。
別のポート番号を使用する場合は、ポート番号を入力して Enter を押してください。
SELinux 環境の場合は、9443 を指定してください。
11
SiteGuard Lite/管理者用ガイド
管理インターフェース(ウェブ管理画面)のポート番号を確認します。
port number=[9443]
is correct? [yes]|no -->
[ ]内に指定したポート番号が表示されます。
指定したポート番号が正しい場合は、そのまま Enter を押してください。
別のポート番号を使用する場合は、no を入力してやり直してください。
管理インターフェース(ウェブ管理画面)のアクセス制御を設定します。
please enter the addresses allowed to access the web console for https.
ex:192.168.1. 10.0.0.0/24
please enter allowed addresses. [ALL] -->
[ ]内の ALL はデフォルトです。(全ての接続元からのアクセスを許可)
ALL または、アクセスを許可したい接続元を指定して Enter を押してください。
管理インターフェース(ウェブ管理画面)のアクセス制御を確認します。
allowed addresses=[ALL]
is correct? [yes]|no -->
[ ]内に指定したアクセス制御の設定が表示されます。
アクセス制御の設定が正しい場合は、そのまま Enter を押してください。
アクセス制御を設定し直す場合は、no を入力してやり直してください。
セキュリティ対策のため、本項によるアクセス制御の実施、または iptables 等で接続元 IP
アドレスを制限することを推奨しています。
管理インターフェース(ウェブ管理画面)で使用する SSL 証明書を設定します。
please enter the ssl certificate file (crt file) path.
please enter ssl certificate file path.
[/opt/jp-secure/siteguardlite/conf/ssl/server.crt] -->
[ ]内の/opt/jp-secure/siteguardlite/conf/ssl/server.crt はデフォルトです。
(製品に同梱されている証明書です。)
同梱されている証明書を使用する場合は、そのまま Enter を押してください。
任意の証明書を使用する場合は、証明書のパスを指定して Enter を押してください。
管理インターフェース(ウェブ管理画面)で使用する SSL 証明書を確認します。
ssl certificate file path=[/opt/jp-secure/siteguardlite/conf/ssl/server.crt]
is correct? [yes]|no -->
指定した内容が正しい場合は、そのまま Enter を押してください。
修正する場合は、no を入力してやり直してください。
12
SiteGuard Lite/管理者用ガイド
管理インターフェース(ウェブ管理画面)で使用する SSL 証明書の秘密鍵を設定します。
please enter the ssl server key file (key file) path.
please enter ssl server key file path.
[/opt/jp-secure/siteguardlite/conf/ssl/server.key] -->
[ ]内の/opt/jp-secure/siteguardlite/conf/ssl/server.key はデフォルトです。
(製品に同梱されている秘密鍵です。)
同梱されている証明書を使用するように指定した場合は、そのまま Enter を押してください。
任意の証明書を指定した場合は、秘密鍵のパスを指定して Enter を押してください。
管理インターフェース(ウェブ管理画面)で使用する SSL 証明書の秘密鍵を確認します。
ssl server key file path=[/opt/jp-secure/siteguardlite/conf/ssl/server.key]
is correct? [yes]|no -->
指定した内容が正しい場合は、そのまま Enter を押してください。
修正する場合は、no を入力してやり直してください。
SELinux が有効の場合、SELinux での動作に必要な設定が行われます。
(SELinux が無効の場合、以下のメッセージは表示されません。)
-----------------------------------------------------SELinux Context Setup start
-----------------------------------------------------tomcat settings
modules settings
logs settings
configured.module settings
tmp settings
notify settings
statistics settings
expire.txt settings
policy settings
-----------------------------------------------------SELinux Context Setup done
------------------------------------------------------
この処理には、数分程度かかる場合があります。また、setenforce 0, setenforce 1
が実行されるため、一時的に SELinux が無効になります。
13
SiteGuard Lite/管理者用ガイド
各種設定が完了すると、Apache の再起動を確認するメッセージが表示されます。
Apache restart. Are you sure? [yes]|no -->
Apache を再起動して SiteGuard Lite を有効にする場合は、そのまま Enter を押してください。
あとで Apache を再起動する場合は、no を入力してください。
Apache を再起動するまで、SiteGuard Lite は有効になりません。
セットアップ完了のメッセージが表示されます。
----------------------------------------------------+ finished SiteGuard Lite setup
+
----------------------------------------------------Please access following URL for starting service.
https://xxxxxxxxxx:9443/
(default user:admin, default password:admin)
14
SiteGuard Lite/管理者用ガイド
4.5 インストール・セットアップの内容
本製品をインストールすると、以下のディレクトリが作成され、必要なファイルが導入されます。
/opt/jp-secure/siteguardlite
SiteGuard Lite(Apache モジュール)、各種設定ファイル、ログファイルは以下のディレクトリに導入され
ます。
/opt/jp-secure/siteguardlite/modules
/opt/jp-secure/siteguardlite/conf
/opt/jp-secure/siteguardlite/logs
Apache の設定ファイルの最下行に以下の 2 行が追加されます。
include /opt/jp-secure/siteguardlite/conf/siteguardlite.conf
include /opt/jp-secure/siteguardlite/conf/httpd.conf.siteguardlite_admin_ssl
このほか、ウェブ管理画面のサービスと通知サービスの起動スクリプトが設定されます。
4.6 アンインストール
本製品をアンインストールする場合は、以下の手順でアンインストールします。
システムに導入したファイルの削除、設定の削除、Apache の再起動を行います。
root 権限で、以下のコマンドを実行します。
# cd /opt/jp-secure/siteguardlite
# make uninstall
# rm -rf /opt/jp-secure/siteguardlite
rpm パッケージの場合、以下のコマンドも実行します。
# rpm -e siteguardlite
以上で、アンインストール完了となります。
make uninstall コマンドの実行時、Apache の再起動が行われます。
※「14. Apache のディレクティブによる設定」を使用している場合は、Apache の再起動に
失敗するため、設定を削除してからアンインストールコマンドを実行してください。
15
SiteGuard Lite/管理者用ガイド
5. ウェブ管理画面の基本操作と初期設定
インストール完了後、本製品の初期設定を行います。
5.1 ウェブ管理画面
本製品の設定は、ウェブ上の管理ページから行います。このページを「ウェブ管理画面」と呼びます。
Apache-SSL 経由で、ウェブ管理画面用のアプリケーションサーバーの Tomcat(java)に接続します。
5.1.1 ウェブ管理画面へのアクセス
1) ウェブブラウザから以下の URL へアクセスします。
https://ホスト名:9443/
本製品をインストールしたウェブサーバーのホスト名、または IP アドレスのポート 9443 宛に接続
してください。
ポート番号は、「4.5 セットアップ」で設定した番号です。(デフォルト 9443)
2) ログイン画面で「ユーザ ID」と「パスワード」を入力してログインします。
デフォルト ユーザ ID:admin パスワード:admin
ウェブ管理画面に接続できない場合、ポート 9443 宛の接続が許可されているか、ファイアウォール
等のネットワーク機器や本製品を導入したサーバーの iptables の設定を確認してください。
16
SiteGuard Lite/管理者用ガイド
ウェブブラウザの設定で、JavaScript が無効になっている場合、以下のメッセージが出力されます。
JavaScript を有効にして、アクセスし直してください。
ウェブブラウザの設定で、Cookie をブロックしている場合、以下のメッセージが出力されます。
Cookie を許可する設定にして、アクセスし直してください。
17
SiteGuard Lite/管理者用ガイド
5.1.2 初期パスワードの変更
1) 初期パスワード変更のため、
ウェブ管理画面への初回ログイン時に管理パスワードの設定画面が表示
されます。
2) 英大文字、英小文字、数字を含んだ 8 文字以上のパスワードを入力し、〔登録〕ボタンを押します。
初期パスワードの変更は必須です。
パスワードの変更が完了するまで、他の操作を行うことはできません。
デフォルトの admin を任意のユーザ ID に変更することも可能です。
初期パスワードを変更後、ウェブ管理画面の操作が可能になります。
18
SiteGuard Lite/管理者用ガイド
5.2 ウェブ管理画面の構成
ウェブ管理画面は、画面上部のメニューと左のサブメニュー、操作エリアで構成されています。
以下の画面は、メインメニュー[モジュール設定]→サブメニュー[基本設定]を選択したときの画面です。
項 目
メインメニュー
説 明
本製品の各種設定やログ検索を行うためのメニューです。
サブメニュー
設定したい項目をクリックすると、操作エリアに選択した項目の設定ページが表示
されます。
操作エリア
各項目を設定するエリアです。
デフォルト値が設定されていますので、必要に応じて変更してください。
有効/無効ボタン
各種機能の有効/無効の設定で使用します。
適用・キャンセルボタン
設定後、〔適用〕ボタンをクリックすると、設定の保存と適用を行います。
(変更内容についての確認ダイアログを表示します。)
〔キャンセル〕ボタンをクリックすると、保存されていない設定内容を破棄します。
〔適用〕ボタンをクリックすると、apachectl graceful コマンドが実行されます。
ブラウザのウィンドウサイズ変更時など、グラフや表のレイアウト崩れが発生する場合があります。
その場合は、画面の再読み込みを行ってください。
パスワードの入力箇所では、入力値を「●」で表示します。
確認ダイアログと設定後の表示について、[SMTP 認証]、[プロキシ認証]のパスワードは、実際に
入力した桁数ではなく、「●●●●●●●●(桁数固定)」で表示されます。
19
SiteGuard Lite/管理者用ガイド
5.3 ライセンス情報の登録
製品のシリアルキーとサポート ID、パスワードの登録を行います。
〔適用〕ボタンを押すと、設定内容が保存されます。
〔適用〕ボタンをクリックすると、apachectl graceful コマンドが実行されます。
メインメニューの[管理]→サブメニュー[ライセンス情報]で、ライセンス情報を登録します。
[シリアルキー]
[サポート ID]
[パスワード]
:製品を正規利用するためのシリアルキー
:トラステッド・シグネチャのダウンロード認証で使用する ID
:トラステッド・シグネチャのダウンロード認証で使用するパスワード
シリアルキー・サポート ID・パスワードは、ご購入時に発行される「契約内容確認書」に記
載されています。
シリアルキーの登録がない場合(TRIAL VERSION)は、90 日間の評価環境となります。
20
SiteGuard Lite/管理者用ガイド
5.4 基本的な設定
ここでは、基本的な設定内容についてのみ説明します。
詳細設定については、「7. 詳細設定」を参照してください。
メインメニューの[モジュール設定] →サブメニュー[基本設定]を選択します。
[基本設定]の画面が表示されるので、以下の設定・確認を行います。
[ウェブ攻撃検査]
検査を開始する場合は「有効」を選択します。(デフォルト無効)
[管理者への通知設定]
[検出通知]
[障害通知]
[メールアドレス]
[SMTP サーバ]
通知機能を利用する場合は「有効」を選択します。
(デフォルト無効)
通知機能を「有効」にした場合、通知先のメールアドレスとメール
の送信に使用する SMTP サーバ、ポート番号を指定します。
21
SiteGuard Lite/管理者用ガイド
設定が完了したら、画面下の〔適用〕ボタンを押します。
〔適用〕ボタンをクリックすると、apachectl graceful コマンドが実行されます。
確認ダイアログが表示されるので、設定内容が正しいことを確認してから、
〔OK〕ボタンを押します。
設定適用のメッセージと検査が有効であることを示すアイコン(緑のチェック)を確認します。
[ウェブ攻撃検査]で”有効”が選択されていて、且つ有効なシリアルキー(TRIAL VERSION を
含む)が登録されている場合、アイコンが緑のチェックで表示されます。
アイコン
説 明
本製品による検査が”有効”であることを示しています。
(緑のチェックで表示されます。)
本製品による検査が”無効”であることを示しています。
22
SiteGuard Lite/管理者用ガイド
5.5 管理パスワードの変更
ウェブ管理画面のログインに使用するユーザ ID、パスワードを変更する場合は、メインメニューの[パ
スワード変更]を選択します。
ユーザ ID と英大文字、英小文字、数字を含んだ 8 文字以上のパスワードを入力し、〔登録〕ボタンを
押してください。
5.6 ログアウト
ウェブ管理画面からログアウトする場合は、メインメニューの[ログアウト]を押します。
23
SiteGuard Lite/管理者用ガイド
6. 動作確認
設定が終了したら、以下の手順で動作確認を行ってください。
正しく動作しない場合は、以下のどちらかの方法でエラーログを参照してください。
■ ウェブ管理画面で、メニューから [ログ]を選択し、[動作ログ]-[エラーログ]を参照します。
■ コマンドラインで、エラーログ (logs/http/error.log) を参照します。
6.1 動作確認と検出テスト
1) ウェブブラウザを起動し、以下の URL でウェブサーバーに接続できることを確認してください。
http://ホスト名/
2) 以下の検出テスト用パスを含むアドレスに接続し、検出画面が表示されることを確認してください。
http://ホスト名/WAF-TEST-SIGNATURE
本製品をインストールしたサーバーのホスト名または、IP アドレス宛に接続してください。
24
SiteGuard Lite/管理者用ガイド
7. 詳細設定
7.1 モジュール設定
本製品のインストールと動作確認が完了したら、必要に応じて詳細設定を行います。
検査や通知に関する設定は、メインメニューの[モジュール設定]で行います。
[モジュール設定]には、[基本設定]と[詳細設定]があります。
必要な設定を行い、〔適用〕ボタンで設定の保存と適用を行います。
■ボタンに関する説明
ボタン
説 明
設定後、〔適用〕ボタンをクリックすると、設定の保存と適用を行います。
設定後、〔保存〕ボタンをクリックすると、設定の保存を行います。
〔キャンセル〕ボタンをクリックすると、保存されていない設定内容を破棄します。
〔適用〕ボタンをクリックすると、apachectl graceful コマンドが実行されます。
25
SiteGuard Lite/管理者用ガイド
各項目の ( ) は、設定ファイル (conf/siteguardlite.ini) での項目名です。
ウェブ管理画面を使用せずに、設定ファイルを編集することも可能ですが、通常はウェブ管理画面
を使用してください。
7.1.1 基本設定
[基本設定]
Standard Settings
[ウェブ攻撃検査]
Web attack check (enabled)
本製品による検査の有効/無効の指定です。
攻撃パターンのシグネチャを用いたシグネチャ検査を主としています。
シグネチャには、トラステッド・シグネチャとカスタム・シグネチャの 2 種類があります。
カスタム・シグネチャでは、条件を指定した検出の除外設定を行うこともできます。
26
SiteGuard Lite/管理者用ガイド
詳細については、「7.1.3.1
トラステッド・シグネチャ」を参照してください。
詳細については、「7.1.3.2
カスタム・シグネチャ」を参照してください。
[管理者への通知設定]
Report settings to admin
[検出通知]
Detection notification (notify_admin)
有効にすると、攻撃を検出した場合に管理者へメールで通知します。(デフォルト無効)
通知の間隔は、分単位の[通知間隔]と日単位の[毎日]のいずれかを指定できます。
・指定間隔の間に検出がなかった場合、メールは送信されません。
・メールサーバーへの接続失敗など、通知に失敗したメールは削除されます。
[通知間隔]
Notification interval (notify_admin_interval)
管理者に検出通知をメール送信する間隔(分)の指定です。(デフォルト 10)
指定した間隔(分)ごとに、サマリされた検出情報を管理者にメールで通知します。
[毎日]
Daily (notify_admin_minute / notify_admin_hour / notify_admin_daily)
管理者に検出通知を日単位でメール送信するための指定です。
毎日、指定した時間に、サマリされた検出情報を管理者にメールで通知します。
(デフォルト 0 時 0 分)
[最大詳細件数]
Max Detail (notify_admin_max_detail)
通知に含める検出情報の詳細件数(件)の指定です。(デフォルト 100)
指定した件数までは、検出情報の詳細が通知内容に含まれます。
27
SiteGuard Lite/管理者用ガイド
[障害通知]
Fault notification (notify_fault)
有効にすると、本製品のエラーログに出力された内容と、トラステッド・シグネチャの更新に
失敗した場合のエラーを管理者へメールで通知します。(デフォルト無効)
通知の間隔は、分単位の[通知間隔]と日単位の[毎日]のいずれかを指定できます。
・指定間隔の間にエラーがなかった場合、メールは送信されません。
・メールサーバーへの接続失敗など、通知に失敗したメールは削除されます。
[通知間隔]
Notification interval (notify_fault_interval)
管理者に障害通知をメール送信する間隔(分)の指定です。(デフォルト 10)
指定した間隔(分)ごとに、サマリされた障害情報を管理者にメールで通知します。
[毎日]
Daily (notify_fault_minute / notify_fault_hour / notify_fault_daily)
管理者に障害通知を日単位でメール送信するための指定です。
毎日、指定した時間に、サマリされた障害情報を管理者にメールで通知します。
(デフォルト 0 時 0 分)
[最大詳細件数]
Max Detail (notify_fault_max_detail)
通知に含める障害情報の詳細件数(件)の指定です。(デフォルト 100)
指定した件数までは、障害情報の詳細が通知内容に含まれます。
[メールアドレス]
Mail address (admin_mailaddr / admin_fromaddr)
管理者のメールアドレスを指定します。
[検出通知] [障害通知]が有効の場合、[宛先]に指定されたメールアドレス宛にメールが送信さ
れます。
ウェブ管理画面の場合、改行入力で複数指定できます。
設定ファイル編集の場合は、カンマ(",")区切りで複数指定できます。(最大 1999 バイト)
通知の送信者アドレスは、[差出人] で指定することができます。
2.10 Update1 までのバージョンとの互換性
各通知メッセージの編集画面[追加ヘッダ]の From で、送信者アドレス(通知の差出人)を指定し
ている場合、そのまま[追加ヘッダ]の From を送信者アドレスとして使用することができます。
[差出人]と[追加ヘッダ]の From の両方を指定した場合、[追加ヘッダ]の From が優先されます。
[SMTP サーバ]
SMTP server (admin_mx_host/admin_mx_port)
管理者へ通知メッセージを送信するときに利用するメールサーバーのホスト名(または、IP ア
ドレス)とポート番号を指定します。SMTP over SSL の送信には対応していません。
[SMTP 認証]
SMTP Authentication (admin_smtp_username/admin_smtp_password)
管理者に通知メッセージを送信するときに利用するメールサーバーで、SMTP 認証が必要な場
合のユーザ名、パスワードを指定します。
PLAIN, LOGIN, CRAM-MD5 の認証方式に対応しています。
28
SiteGuard Lite/管理者用ガイド
7.1.2 詳細設定
[トラステッド・シグネチャ]
Trusted Signature
攻撃パターンのシグネチャを用いた検査を行うことで、SQL インジェクションやクロスサイトスク
リプティングなど、ウェブアプリケーションへの攻撃を検出・防御します。
「7.1.3.1 トラステッド・シグネチャ」を参照してください。
[カスタム・シグネチャ]
Custom Signature
任意に作成することができるシグネチャでの検査や除外設定が可能です。
「7.1.3.2 カスタム・シグネチャ」を参照してください。
[検出メッセージ]
Detection message
検出時に表示するメッセージの編集ができます。
メッセージの内容は、日本語/英語で編集することができます。(最大 9000 バイト)
利用できる変数については「7.1.4 検出通知テンプレート」を参照してください。
検出メッセージのステータスコードは、403 Forbidden です。
ウェブ管理画面で編集した内容は、conf/template_http_waf.html に保存されます。
29
SiteGuard Lite/管理者用ガイド
[監視 URL]
Monitoring urls
検出時に”拒否”や”フィルタ”の動作を適用せず、”監視”で処理する URL の編集ができます。
本運用前のテスト、監視運用に活用できるほか、拒否(ブロック)の設定で運用するサイトと、監視で
運用するサイトを分けたい場合にも活用できます。
URL の指定には、正規表現を使用することができます。
複数指定の場合は、改行入力してください。(最大 1999 バイト)
詳細については「8.1 監視 URL」を参照してください。
ウェブ管理画面で編集した内容は、conf/monitor_url.txt に保存されます。
[通知除外]
Exlucde setting of detection notification
攻撃検出時に管理者へメール送信する検出通知について、通知を除外する条件を指定します。
以下の条件を指定することができます。(デフォルト指定なし)
30
SiteGuard Lite/管理者用ガイド
[通知除外シグネチャ名(正規表現)]
通知を除外するシグネチャ名を正規表現で指定します。
[フィルタ通知除外]
有効にすると、フィルタ動作時の同一接続元(IP アドレス)からの接続拒否(WAF_FILTER)が通知
の除外対象になります。
[URL デコードエラー通知除外]
有効にすると、URL デコードエラー(RULE_URLDECODE)による検出が通知の除外対象になりま
す。
[監視通知除外]
有効にすると、検出時の動作が”監視”の検出が通知の除外対象になります。
それぞれ、以下のファイルに設定が保存されます。
[通知除外シグネチャ名(正規表現)]conf/notify_exclude_sig.txt
[フィルタ通知除外][URL デコードエラー通知除外]conf/notify_exclude_detect.txt
[監視通知除外]conf/notify_exclude_action.txt
[検出通知メッセージ]
Detection notification message
管理者へメール送信する検出通知メッセージの内容を編集します。
件名を含めて、日本語/英語で編集できます。(最大 9000 バイト)
利用できる変数については「7.1.4 検出通知テンプレート」を参照してください。
ウェブ管理画面で編集した内容は、conf/template_admin_summary.txt に保存されます。
31
SiteGuard Lite/管理者用ガイド
[障害通知メッセージ]
Fault notification message
管理者へメール送信する障害通知メッセージの内容を編集します。
件名を含めて、日本語/英語で編集できます。(最大 9000 バイト)
利用できる変数については「7.1.4 検出通知テンプレート」を参照してください。
ウェブ管理画面で編集した内容は、conf/template_fault_summary.txt に保存されます。
32
SiteGuard Lite/管理者用ガイド
[高度な設定]
Advanced Settings
利用環境や要件に応じて、変更を行う場合に参照してください。
[Cookie の検査]
Cookie check (check_cookie)
クライアントから送付された Cookie について、シグネチャ検査を行います。(デフォルト無効)
(検査対象が“パラメータの名前”と”パラメータの値”のシグネチャによる検査を行います。)
[URL デコードエラー検出]
URL decode error detect (check_urldecode)
URL デコードに失敗した場合に"RULE_URLDECODE"で検出する機能です。(デフォルト無効)
[動作]
Action (check_urldecode_action)
[URL デコードエラー検出]で検出した場合の動作です。
「7.1.2.1 検出時の動作」を参照してください。
[パラメータ数の上限値の検出]
Max parameter number detect
リクエスト中のパラメータ数の上限値(個)を制限し、上限を超えた場合に検出する機能です。
hashdos と呼ばれる DoS 攻撃に対応しています。検出名は"RULE_PARAMS_NUM"です。
[上限値]
Max number(max_params_num)
リクエスト中のパラメータ数の上限値(個)の設定です。(デフォルト 3000)
0 を指定した場合、パラメータ数の上限値の制限は行いません。
[動作]
Action (max_params_num_action)
[パラメータ数の上限値の検出]で検出した場合の動作です。
拒否または、監視を選択することができます。
「7.1.2.1 検出時の動作」を参照してください。
33
SiteGuard Lite/管理者用ガイド
フォーム画面などで 3000 を超えるパラメータがある場合は、正常なアクセスも当機能に
よる検出・拒否の対象となります。([動作]で拒否を選択している場合)
[上限値]を超えてしまう可能性がある場合は、[動作]で監視を選択する方法が有効です。
この場合、当機能による検出があっても、リクエストは拒否されません。
[検出ログ]の検出文字列に記録されるパラメータの数をもとに、[上限値]を調整してくだ
さい。
[フィルタ動作時の接続拒否時間]
Rejection time duration at filtering action (filter_lifetime)
検出時の動作を"フィルタ"に設定した場合に、同一接続元(IP アドレス)からの接続を拒否する
時間(秒)を指定します。(デフォルト 300)
[クライアント IP アドレスを X-Forwarded-For から取得]
Use X-Forwarded-For to get client address (srcip_x_forwarded_for)
X-Forwarded-For ヘッダから取得したクライアント IP アドレスをもとに、頻度判定とフィルタ
の動作を適用します。(デフォルト有効)
また、検出ログに記録されるクライアントホストの情報として使用されます。
本製品を導入したウェブサーバーの前段にリバースプロキシが配置されている場合(接続元の
IP アドレスがすべてリバースプロキシになる場合)などに、クライアント IP アドレスを適切に
判別することができます。
X-Forwarded-For から取得できない場合は、
接続元 IP アドレス(CLIENT_ADDR)を使用します。
[レベル] (srcip_x_forwarded_for_level)には、X-Forwarded-For ヘッダのうち、最後から何番目の
IP アドレスを取得するかを指定します。(デフォルト 0)
一番右の IP アドレスが「0」、右から 2 番目が「1」、3 番目が「2」のように指定します。
34
SiteGuard Lite/管理者用ガイド
[ログ]
Log
各種ログの出力先に関する設定です。(デフォルト[ファイル])
それぞれ、[ファイル]、[syslog]、[ファイルと syslog]から選択することができます。
[検出ログ]
Detection log (detect_log_switch)
[情報ログ]
Information log (info_log_switch)
[エラーログ]
Error log (error_log_switch)
[フォームログ]
Form log (form_log_switch)
デフォルトの[ファイル]の場合、各種ログは、
/opt/jp-secure/siteguardlite/logs/http ディレクトリに出力されます。
[syslog]
Syslog
各種ログの出力で[syslog]を選択した場合の設定です。
35
SiteGuard Lite/管理者用ガイド
[タグ]
Tag (syslog_tag)
各種ログを syslog に出力する際のタグの指定です。(デフォルト siteguardlite)
それぞれ、syslog のファシリティとプライオリティを選択することができます。
(デフォルト local0.err)
[検出ログ]
Detection log (detect_syslog)
[情報ログ]
Information log (info_syslog)
[エラーログ]
Error log (error_syslog)
[フォームログ]
Form log (form_syslog)
[要求本文の最大保存サイズ]
Request body store max size
[メモリ]
Memory (max_post_memory_store_size)
要求本文をメモリに一時保存する上限値(バイト)を設定します。(デフォルト 10000000)
本製品は、ここで設定されているサイズに満たない要求本文は、メモリに一時保存して検査
します。
[ファイル]
File (max_post_file_size)
要求本文をファイルに一時保存する上限値(バイト)を設定します。(デフォルト 2000000000)
本製品は、要求本文が[メモリ]で設定された値を超える場合、一時保存ディレクトリ
(/opt/jp-secure/siteguardlite/tmp)にファイル保存して検査します。
ここで設定されているサイズを超える要求本文は、ファイル保存せずに切り捨てます。
[デバッグログ]
Debug log (debugloglevel)
有効にすると、詳細情報を[情報ログ](logs/http/info.log)に出力します。
(デフォルト無効)
問題解析時などに利用します。
36
SiteGuard Lite/管理者用ガイド
7.1.2.1 検出時の動作
攻撃検出時の動作は以下のいずれかから選択できます。
( )内は、設定ファイル(siteguardlite.ini)中の名前およびシグネチャファイル中の名前です。
フィルタ
("filter", "FILTER"):
同一 IP アドレスからの接続を一定時間拒否します。
接続拒否時間は、[フィルタ動作時の接続拒否時間]で指定します。
拒否
("block", "BLOCK"):
リクエストを拒否し、検出メッセージをクライアントに応答します。
監視
("monitor", "MONITOR"):
記録(ログ出力、メール通知)のみ行います。リクエストは拒否されずに通過します。
安全
("WHITE"):
該当リクエストを安全なアクセスとみなします。
カスタム・シグネチャの各条件で設定可能です。
検出動作の優先順位は以下のとおりです。
1. 安全
2. フィルタ
3. 拒否
4. 監視
複数の条件に一致した場合、検出動作の優先順位にしたがいます。
トラステッド・シグネチャ、カスタム・シグネチャの両方の検出条件に一致した場合を例に
説明します。
それぞれ以下の検出動作であった場合、結果として動作は"拒否"になります。
トラステッド・シグネチャによる検出:拒否
カスタム・シグネチャによる検出:監視
⇒優先順位の高い"拒否"で処理されます。
37
SiteGuard Lite/管理者用ガイド
トラステッド・シグネチャを除外
("EXCLUDE_OFFICIAL"):
[除外するトラステッド・シグネチャ名(正規表現)]で、指定したシグネチャによる検出を除外し
ます。
特定の URL やパラメータ等を条件にして、
指定したシグネチャによる検出を除外する設定が可能
です。
トラステッド・シグネチャで除外設定(EXCLUDE_OFFICIAL)が指定されている場合、動作は除外
で表示されます。他の動作を選択することはできません。
URL デコードエラーを除外
("EXCLUDE_URLDECODE"):
[URL デコードエラー検出](アドバンスト設定)による検出を除外します。
カスタム・シグネチャの各条件で設定可能です。
特定の URL やパラメータを条件にして、URL デコードエラーによる検出を除外する設定が可能
です。
何もしない
("NONE"):
カスタム・シグネチャで複数条件(AND)のシグネチャを登録する場合やトラステッド・シグネチ
ャの除外("EXCLUDE_OFFICIAL")で使用します。
必要に応じて設定されるため、ウェブ管理画面に設定項目はありません。
38
SiteGuard Lite/管理者用ガイド
7.1.3 シグネチャ検査の詳細設定項目・設定例
シグネチャ検査には、本製品に実装されているトラステッド・シグネチャによる検査と、任意のシグ
ネチャを作成することができるカスタム・シグネチャによる検査があります。
カスタム・シグネチャでは、条件を指定した検出の除外設定を作成することもできます。
7.1.3.1 トラステッド・シグネチャ
トラステッド・シグネチャによる検査を行うことで、SQL インジェクションやクロスサイトスクリプ
ティングなどの攻撃を防御することができます。
[トラステッド・シグネチャ]の画面では、各シグネチャの有効・無効、検出時の動作を設定できます。
シグネチャは、1 ページあたり、50 個の単位で表示されます。
直近の追加シグネチャには、
マークが表示されます。
マークの表示は、直近の追加シグネチャが対象です。
39
SiteGuard Lite/管理者用ガイド
■ボタンに関する説明
アイコン/ボタン
説明
シグネチャの有効/無効、動作を置換します。
シグネチャの設定を既定値(推奨設定)にリセットします。
検索条件に一致したシグネチャを表示します。
シグネチャ ID または、シグネチャ名の前方一致で検索するほか、作成日/更新日の指定
や直近の追加/更新シグネチャ、有効/無効、動作を検索条件にすることができます。
シグネチャの有効/無効を設定します。
予め既定値(推奨設定)が設定されています。
有効 (ON)
無効 (OFF)
シグネチャの検出時の動作を設定します。
予め既定値(推奨設定)が設定されています。
編集した設定内容を保存します。
編集した設定内容の保存と適用を行います。
(apachectl graceful コマンドが実行されます。)
〔置換〕ボタンと〔リセット〕ボタンが適用される範囲は、表示されているページ数の範囲となりま
す。以下の表示では、9 ページ分のシグネチャが適用範囲となります。
シグネチャ名(例.sqlinj)で検索すると、該当するシグネチャだけが抽出され、ページ数の表示は以下の
ようになります。(前方一致)
この場合、3 ページ分のシグネチャが〔置換〕ボタンと〔リセット〕ボタンの適用範囲となります。
すべてのシグネチャを対象に”無効”に置換したあと、SQL インジェクション対策用のシグネ
チャを検索し、”有効”に置換するといった操作が可能です。
(SQL インジェクション対策のシグネチャのみを有効にする場合の例)
40
SiteGuard Lite/管理者用ガイド
設定ファイル
トラステッド・シグネチャの設定内容は以下のファイルに保存されます。
conf/waf/sig_official.txt
設定項目
有効/無効:
シグネチャの有効/無効の設定です。
有効 (ON)
無効 (OFF)
動作:
シグネチャの検出時の動作です。
「7.1.2.1 検出時の動作」を参照してください。
同一動作の複数のシグネチャにマッチした場合、検出ログに記録されるのは、登録順が先の
シグネチャです。
カスタム・シグネチャは、トラステッド・シグネチャよりも登録順が先となります。
シグネチャ ID:
シグネチャの ID です。
シグネチャ名:
シグネチャの名称です。
コメント:
シグネチャのコメントです。
(設定ファイル中の日本語文字コードは UTF-8 です)
作成日:
当社が該当のシグネチャを作成した日付です。
更新日:
該当のシグネチャの検査パターン(検査対象、検査文字列、比較方法)が更新された日付
です。
Referer リクエストヘッダを検査しない:
有効の場合、トラステッド・シグネチャで要求ヘッダの Referer を検査しません。
(デフォルト有効)
User-Agent リクエストヘッダを検査しない:
有効の場合、トラステッド・シグネチャで要求ヘッダの User-Agent を検査しません。
(デフォルト有効)
[Referer リクエストヘッダを検査しない][User-Agent リクエストヘッダを検査しない]の
設定は、conf/waf/exclude_fields.txt に保存されます。
41
SiteGuard Lite/管理者用ガイド
トラステッド・シグネチャの設定内容を保存する場合は、
〔保存〕ボタンを押します。
保存と適用を行う場合は、
〔適用〕ボタンを押します。
未適用の設定がある場合、画面上の〔適用〕ボタンが点滅し、適用待ちであることをお知らせします。
■シグネチャの背景色に関する説明
有効/無効、動作
拒否
背景色
背景色はありません。
除外
監視
緑色の背景色で表示されます。
フィルタ
桃色の背景色で表示されます。
無効
濃い灰色の背景色で表示されます。
7.1.3.2 トラステッド・シグネチャの推奨設定
トラステッド・シグネチャには、各シグネチャの有効・無効、検出時の動作が推奨シグネチャ設定と
して定義されています。(conf/waf/sig_official_base.txt)
拒否のシグネチャ
推奨設定が[拒否]のシグネチャは、攻撃に悪用されるパターンや攻撃の可能性があるパターンに設定
されています。
攻撃元の IP アドレスからの接続を一定時間の間、禁止する[フィルタ]を設定することもできます。
監視のシグネチャ([無効])
[監視]のシグネチャは、攻撃者による脆弱性有無の調査・試行を含め、攻撃の可能性を広く検出する
ことを目的としています。
外部からのアクセス状況を継続的に分析するために有効なシグネチャですが、通常操作でも使用され
る可能性のあるパターンや比較的に単純な文字列を検出するパターンを含んでいるため、製品の標準
設定では[無効]となっています。
42
SiteGuard Lite/管理者用ガイド
7.1.3.3 カスタム・シグネチャ
[カスタム・シグネチャ]では、任意のシグネチャを追加・作成することができます。
1000 個までの条件を登録できます。シグネチャは、1 ページあたり、20 個の単位で表示されます。
本製品の新規インストールの場合、カスタム・シグネチャのサンプル(3 個)が登録されていま
す。すべて”無効”で登録されていますので、必要に応じて条件を編集してご利用ください。
カスタム・シグネチャは、以下の流れで作成します。
43
SiteGuard Lite/管理者用ガイド
■ボタンに関する説明
アイコン/ボタン
説 明
シグネチャの有効/無効、動作を置換します。
検索条件に一致したシグネチャを表示します。
シグネチャ名の前方一致で検索するほか、動作や有効/無効を検索条件にすることができ
ます。
シグネチャを追加します。
選択したシグネチャをコピーします。
(コピー・編集により、類似のシグネチャを作成する場合に有効です。)
選択したシグネチャを編集します。
選択したシグネチャを削除します。
選択したシグネチャを 1 つ上に移動します。
選択したシグネチャを 1 つ下に移動します。
すべてのシグネチャを展開して表示します。
展開されているすべてのシグネチャを格納します。
選択したシグネチャを展開して表示します。
シグネチャの有効/無効を設定します。
有効 (ON)
無効 (OFF)
編集した設定内容を保存します。
編集した設定内容の保存と適用を行います。
(apachectl graceful コマンドが実行されます。)
カスタム・シグネチャを追加する場合は、操作エリアの〔追加〕ボタンを押します。
シグネチャ登録/変更画面が表示されます。
44
SiteGuard Lite/管理者用ガイド
設定項目
設定項目は以下のとおりです。
シグネチャ名:
シグネチャの名称です。(例: CUSTOM01)
最大 29 文字です。
コメント:
コメントを指定します。
(設定ファイル中の日本語文字コードは UTF-8 です)
動作:
「7.1.2.1
検出時の動作」を参照してください。
同一動作の複数のシグネチャにマッチした場合、検出ログに記録されるのは、登録順が先の
シグネチャです。
カスタム・シグネチャは、トラステッド・シグネチャよりも登録順が先となります。
除外するトラステッド・シグネチャ名(正規表現)を設定:
条件に一致した場合に検出を除外するトラステッド・シグネチャ名を正規表現で指定し
ます。(例: ^xss-tagopen-[1-4]$)
改行入力で複数指定ができます。カンマ(",")を使用することはできません。
(最大 999 バイト)
45
SiteGuard Lite/管理者用ガイド
フィルタ動作時の接続拒否時間:
カスタム・シグネチャでフィルタした場合に、同一接続元(IP アドレス)からの接続を拒
否する時間(秒)を指定します。
拒否時間は、[0~9,999]の範囲で指定できます。(デフォルト 0)
0 の場合、[モジュール設定]の[高度な設定]-[フィルタ動作時の接続拒否時間]で設定
されている値を使用します。
頻度判定:
カスタム・シグネチャで登録した条件に対して、何秒間に何回一致したかを接続元 IP
アドレスでカウントします。ブルートフォース攻撃等の高頻度の接続を検出する場合に
有効です。
頻度判定の秒数は[0~60]の範囲で、回数は[0~9,999]の範囲で指定できます。
(例: 登録した条件について、同一接続元 IP アドレスからの接続が指定回数[1 秒間に 3
回以上]に達した場合にフィルタする)
0 秒間に 0 回を指定した場合、頻度判定を行いません。(デフォルト)
シグネチャ追加場所:
条件を追加するときの場所を指定します。
■ボタンに関する説明
アイコン/ボタン
説
シグネチャの検出時の動作を設定します。
明
シグネチャの検査対象、検査文字列などの条件を追加します。
選択した条件を編集します。
選択した条件を削除します。
選択した条件を 1 つ上に移動します。
選択した条件を 1 つ下に移動します。
シグネチャの登録、変更をキャンセルします。
指定した条件でシグネチャを追加します。
条件を追加する場合は、
〔条件追加〕ボタンを押します。
条件登録/変更画面が表示されます。
46
SiteGuard Lite/管理者用ガイド
設定項目
設定項目は以下のとおりです。
検査対象:
以下の組み合わせが指定できます。
( )内はシグネチャファイル中の項目名です。
URL("URL")
URL 全体 ("?"以降を含む。URL デコードを行います。)
https(SSL)で接続する URL を指定する場合も、本製品の処理は HTTP 通信の段階で行われるた
め、URL は"https://"ではなく、http://で指定します。
パス名("PATH"):
URL のパス名部分("?"以前の部分。URL デコードを行います。)
パラメータの名前("PARAM_NAME"):
パラメータ変数の名前
パラメータの値("PARAM_VALUE"):
パラメータ変数の値
パラメータ変数は、GET の引数、POST の引数(multipart を含む)から取得します。
47
SiteGuard Lite/管理者用ガイド
以下の表示形式のデコードに対応しています。
URL エンコード
'+'
(スペース文字)
%??
(16 進数、文字コード 0x00~0xff)
%u???? (16 進数、文字コード 0x00~0x7f)
文字実体参照
! " # $ &percent; % & ' (
) * + , ‐ − ‐ . /
: ; < = > ? @ [ \
] ˆ ⁁ ― _ ` { | }
˜ ∼ ¥   &sp; ␣
数値文字参照
&#??; (10 進数、文字コード 0x01~0xff)
&#x??; (16 進数、文字コード 0x01~0xff)
¥x??
(16 進数、文字コード 0x01~0xff)
¥u???? (16 進数、文字コード 0x0000~0x00ff)
multipart でファイルアップロードを行う場合(Content-Disposition:filename 変数があ
る場合)、変数の値は空文字列として扱い、ファイルの中身を検査しません。
ファイルの名前は、送信ファイル名("POST_FILENAME")で検査できます。
接続元 IP アドレス("CLIENT_ADDR"):
クライアントの IP アドレス
接続先 IP アドレス("SERVER_ADDR"):
サーバーの IP アドレス
送信ファイル名("POST_FILENAME"):
multipart の filename 変数で指定されるファイルの名前
要求メソッド("METHOD"):
要求メソッド (例: GET, POST)
要求ヘッダ"REQHEAD_<フィールド名>"):
要求ヘッダのフィールド名(完全一致)
(例: X-Forwarded-For)
"*"を指定すると、任意の要求ヘッダフィールドが検査対象になります。
カンマ","区切りで複数指定できます。
検査文字列(正規表現):
指定パターンの正規表現と比較を行います。
(最大 1999 バイト)
詳細については、
「7.1.5 正規表現」を参照してください。
48
SiteGuard Lite/管理者用ガイド
比較方法:
カンマ","区切りで以下の組み合わせを指定できます。
( )内はシグネチャファイル中の項目名です。
不一致("NOT"):
一致しない場合に検出します。
大文字小文字を区別:
大文字小文字を区別します。(区別しない場合、"PCRE_CASELESS")
その他の条件:
"ERASE_CHARS(文字一覧)":
指定文字一覧を削除してから比較します。
¥r, ¥n, ¥t, ¥x??(16 進数), ¥¥が指定できます。また、範囲指定(X-Y)が指定可能です。
"PATTERN_GROUP(グループ名):
正規表現のグループ化を行います。
個々の条件の正規表現で検査する前に、同じグループ名の条件の正規表現を結合し、複
数の条件中の正規表現を OR("|")で結合した正規表現で検査を行います。
また、グループ内のパターンの前方一致部分で共通化します。
(例: "ABCDE"と"ABXYZ"を"AB(CDE|XYZ)"で検査します。)
これにより、似た条件を1つの正規表現で予め検査し高速化することができます。
グループ化できるのは、不一致("NOT")が指定されておらず、オプションとフィールド
が一致していることが条件です。
前の条件と AND ("AND"):
指定した条件と 1 つ前の条件の両方が一致した場合に検出します。
複数の条件を登録した場合、自動的に AND 条件になるため、意識して設定する必要はあり
ません。
■ボタンに関する説明
アイコン/ボタン
説
明
条件の登録、変更をキャンセルします。
作成した条件を追加します。
シグネチャ、条件の登録が終わったら、〔OK〕ボタンを押します。
また、作成したカスタム・シグネチャを保存する場合は、
〔保存〕ボタンを押します。
保存と適用を行う場合は、
〔適用〕ボタンを押します。
49
SiteGuard Lite/管理者用ガイド
未適用の設定がある場合、画面上の〔適用〕ボタンが点滅し、適用待ちであることをお知らせします。
設定ファイル
カスタム・シグネチャの設定内容は以下のファイルに保存されます。
conf/waf/sig_custom.txt
設定ファイルには、以下のように各条件を1行ずつタブ区切りで記述します。
[有効・無効]<タブ>[動作]<タブ><タブ>[シグネチャ名]<タブ>[検査対象] <タブ>[比較方法]<タブ>
[検査文字列]<タブ><タブ>[コメント]
50
SiteGuard Lite/管理者用ガイド
7.1.3.4 カスタム・シグネチャの設定例
カスタム・シグネチャの設定例は以下のとおりです。
ここでは、よく使用される 5 つのパターンについて説明しています。
1. 2. 条件に一致した場合、指定したシグネチャによる検出を除外する
 条件を指定して、トラステッド・シグネチャによる検出を除外する場合の設定例です。
URL とパラメータなど、複数の条件を組み合わせた柔軟な設定が可能です。
3. 特定パスへの接続について、同一接続元 IP アドレスからのアクセス頻度を判定
 ログインページ等へのブルートフォース攻撃を検出、防御するときに有効な設定例です。
4. 指定ホスト以外への接続を拒否する(推奨)
 接続 URL に使用されるホストを明示的に指定することで、不正な接続を禁止します。
IP アドレス指定で送信される脆弱性スキャン等の接続を効率良く排除することができます。
5. 指定 IP アドレスからの接続を安全とみなす(検査の除外)
 管理者によるサイト編集等の操作を接続元 IP アドレスで、安全とみなす場合の設定例です。
51
SiteGuard Lite/管理者用ガイド
1. URL が http://www.jp-secure.com/demo/demo.php のとき、xss-tagopen-1~4 のシグネチ
ャによる検出を除外
①
②
③
④
⑤
① シグネチャ名を入力します。
「EXCLUDE-SIGNATURE」
② シグネチャのコメントを入力します。
「指定条件による検出除外」
③ 検出時の動作を選択します。
「トラステッド・シグネチャを除外」
④ 除外するトラステッド・シグネチャ名を指定します。(正規表現)
「^xss-tagopen-[1-4]$」
⑤ 〔条件追加〕ボタンを押します。
条件登録/変更画面が表示されます。
52
SiteGuard Lite/管理者用ガイド
⑥
⑦
⑧
⑥ 検査対象を選択します。
「URL」
⑦ 検査文字列を入力します。(正規表現)
「^http://www¥.jp-secure¥.com/demo/demo¥.php」
⑧ 〔OK〕ボタンを押して、条件登録/変更画面を閉じます。
シグネチャ登録/変更画面に戻り、〔OK〕ボタンを押して、作成したシグネチャを追加します。
一覧に作成したシグネチャが表示されます。
新しく作成したシグネチャには、
のマークが付きます。
53
SiteGuard Lite/管理者用ガイド
この段階では、作成したシグネチャは、まだファイルに保存されていません。
〔保存〕または、
〔適用〕ボタンを押して、シグネチャの保存、適用を行ってください。
[除外するトラステッド・シグネチャ名]は、正規表現で指定します。
本項の設定例のように、xss-tagopen-1~4 の検出を除外する場合は、文字列の最初と
最後を示すメタキャラクタ(^ : 文字列の最初, $ : 文字列の最後)を使用し、
^xss-tagopen-[1-4]$
と指定します。
xss-tagopen-4 だけの検出を除外する場合は、
^xss-tagopen-4$
と指定します。
正規表現については、
「7.1.5 正規表現」を参照してください。
ウェブ管理画面に接続するクライアント環境が Mac の場合、エスケープ表記”¥”の入力
には、[alt(option)] + [¥]ボタンを使用してください。
例)
^http://www¥.jp-secure¥.com/demo/demo¥.php
^192¥.168¥.1¥.1$
^¥d+$
などの入力時
54
SiteGuard Lite/管理者用ガイド
2. URL が http://www.jp-secure.com/demo/demo.php であり、パラメータの名前が hoge
のとき、xss-tagopen-1~4 のシグネチャによる検出を除外(1 に条件を追加)
1 で作成したシグネチャについて、
〔条件追加〕ボタンを押して、新しい条件を追加します。
①
②
③
55
SiteGuard Lite/管理者用ガイド
① 検査対象を選択します。
「パラメータの名前」
② 検査文字列を入力します。(正規表現)
「^hoge$」
③ 〔OK〕ボタンを押して、作成した条件を追加します。
④
④ シグネチャ登録/変更画面に戻り、〔OK〕ボタンを押して、変更作業を終了します。
〔保存〕または、
〔適用〕ボタンを押して、シグネチャの保存、適用を行います。
この設定により、複数の条件を組み合わせた(AND 条件)のシグネチャが作成されます。
複数のパラメータを条件としたシグネチャ(AND 条件)を定義することはできません。
(検査対象の[パラメータの名前]を複数使用したシグネチャ(パラメータの AND 条件)を
作成しても、無効のシグネチャと同等の処理になります。)
次頁を参照してください。
56
SiteGuard Lite/管理者用ガイド
前頁の「注意事項」について、以下のような POST 要求があった場合を例に説明します。
POST /cgi-bin/demo.cgi HTTP/1.1
Host: hostname
<略>
Content-Type: application/x-www-form-urlencoded
Content-Length: 44
body1=1234&body2=abcd&body3=5678&body4=efgh
パラメータの検査は、色分けされているように、各パラメータの名前と値のペアで検査・判定を行い、
それぞれの判定結果は、他のパラメータの判定に影響を与えません。
そのため、パラメータの名前”body1”とパラメータの名前”body4”を組み合わせた(AND 条件の)カスタ
ム・シグネチャを作成することはできません。
親子関係にあたる json, xml のパラメータについては、このかぎりではありません。
「16.7 JSON/XML の親子関係」を参照してください。
57
SiteGuard Lite/管理者用ガイド
3. パスが login.php への接続について、同一接続元(IP アドレス)からの接続が 5 秒間に 3
回以上あったとき、60 秒間フィルタする
①
②
③
④
⑤
⑥
① シグネチャ名を入力します。
「BLOCK-LOGIN-ATTACK」
② シグネチャのコメントを入力します。
「頻度判定で、ログインページへの高頻度アクセスを遮断」
③ 検出時の動作を選択します。
「フィルタ」
④ 頻度判定を設定します。
「[5]秒間に[3]回以上」
⑤ フィルタ動作時の接続拒否時間を設定します。
「[60]秒」
⑥ 〔条件追加〕ボタンを押します。
条件登録/変更画面が表示されます。
58
SiteGuard Lite/管理者用ガイド
⑦
⑧
⑨
⑦ 検査対象を選択します。
「パス名」
⑧ 検査文字列を入力します。(正規表現)
「/login¥.php」
⑨ 〔OK〕ボタンを押して、条件登録/変更画面を閉じます。
シグネチャ登録/変更画面に戻り、〔OK〕ボタンを押して、作成したシグネチャを追加します。
一覧に作成したシグネチャが表示されます。
新しく作成したシグネチャには、
のマークが付きます。
59
SiteGuard Lite/管理者用ガイド
この段階では、作成したシグネチャは、まだファイルに保存されていません。
〔保存〕または、
〔適用〕ボタンを押して、シグネチャの保存、適用を行ってください。
ウェブ管理画面に接続するクライアント環境が Mac の場合、エスケープ表記”¥”の入力
には、[alt(option)] + [¥]ボタンを使用してください。
例)
^http://www¥.jp-secure¥.com/demo/demo¥.php
^192¥.168¥.1¥.1$
^¥d+$
などの入力時
頻度判定のフィルタの対象とする接続元 IP アドレスは、要求ヘッダの X-Forwarded-For
から取得することができます。
[クライアント IP アドレスを X-Forwarded-For から取得](デフォルト有効)
この設定例では、パス(login.php)だけを条件に指定していますが、パラメータの名前やメソッドを条件
に追加することも可能です。
60
SiteGuard Lite/管理者用ガイド
4. URL が www.jp-secure.com 以外への接続を拒否する
①
②
③
④
① シグネチャ名を入力します。
「BLOCK-HOST」
② シグネチャのコメントを入力します。
「指定ホスト以外への接続を拒否」
③ 検出時の動作を選択します。
「拒否」
④ 〔条件追加〕ボタンを押します。
条件登録/変更画面が表示されます。
61
SiteGuard Lite/管理者用ガイド
⑤
⑥
⑦
⑧
⑤ 検査対象を選択します。
「URL」
⑥ 検査文字列を入力します。(正規表現)
「^http://www¥.jp-secure¥.com(:443)?/」
https(SSL)による接続時、携帯端末が Host ヘッダの末尾に 443 を付けることがあります。
例)Host: www.jp-secure.com:443
このようなケースを考慮して、正規表現で「(:443)?」を指定しておきます。
⑦ 比較方法を指定します。
「不一致」
⑧ 〔OK〕ボタンを押して、条件登録/変更画面を閉じます。
シグネチャ登録/変更画面に戻り、〔OK〕ボタンを押して、作成したシグネチャを追加します。
一覧に作成したシグネチャが表示されます。
新しく作成したシグネチャには、
のマークが付きます。
62
SiteGuard Lite/管理者用ガイド
この段階では、作成したシグネチャは、まだファイルに保存されていません。
〔保存〕または、
〔適用〕ボタンを押して、シグネチャの保存、適用を行ってください。
ウェブ管理画面に接続するクライアント環境が Mac の場合、エスケープ表記”¥”の入力
には、[alt(option)] + [¥]ボタンを使用してください。
例)
^http://www¥.jp-secure¥.com/demo/demo¥.php
^192¥.168¥.1¥.1$
^¥d+$
などの入力時
63
SiteGuard Lite/管理者用ガイド
5. IP アドレス”192.168.1.1”からの接続を安全とみなす(検査の除外)
①
②
③
④
① シグネチャ名を入力します。
「WHITE-IP-LIST」
② シグネチャのコメントを入力します。
」
「管理者からのアクセスを安全とみなす(検査除外)
③ 検出時の動作を選択します。
「安全」
④ 〔条件追加〕ボタンを押します。
条件登録/変更画面が表示されます。
64
SiteGuard Lite/管理者用ガイド
⑤
⑥
⑦
⑤ 検査対象を選択します。
「接続元 IP アドレス」
⑥ 検査文字列を入力します。(正規表現)
「^192¥.168¥.1¥.1$」
⑦ 〔OK〕ボタンを押して、条件登録/変更画面を閉じます。
シグネチャ登録/変更画面に戻り、〔OK〕ボタンを押して、作成したシグネチャを追加します。
一覧に作成したシグネチャが表示されます。
新しく作成したシグネチャには、
のマークが付きます。
65
SiteGuard Lite/管理者用ガイド
この段階では、作成したシグネチャは、まだファイルに保存されていません。
〔保存〕または、
〔適用〕ボタンを押して、シグネチャの保存、適用を行ってください。
検査対象の指定には、正規表現を使用します。
本項の設定例のように、192.168.1.1 のみを安全とみなす場合は、文字列の最初と最後
を示すメタキャラクタ(^ : 文字列の最初, $ : 文字列の最後, ¥ : エスケープ表記)を使
用し、
^192¥.168¥.1¥.1$
と指定します。
正規表現については、「7.1.5 正規表現」参照してください。
ウェブ管理画面に接続するクライアント環境が Mac の場合、エスケープ表記”¥”の入力
には、[alt(option)] + [¥]ボタンを使用してください。
例)
^http://www¥.jp-secure¥.com/demo/demo¥.php
^192¥.168¥.1¥.1$
^¥d+$
などの入力時
本製品を導入したウェブサーバーの前段にリバースプロキシ等が設置されている場合、
「接続元 IP アドレス」は、前段のプロキシの IP アドレスになります。
このような環境で、クライアントの IP アドレスをもとに除外設定やアクセス制限を行
う場合は、検査対象の「要求ヘッダフィールド(完全一致):」を選択し、X-Forwarded-For
を指定してください。
(前段のプロキシが X-Forwarded-For ヘッダにクライアントの IP アドレスを追加してい
る場合)
66
SiteGuard Lite/管理者用ガイド
7.1.4 検出通知テンプレート
■検出通知の変数
${MONITOR_NUM}
“監視”の検出件数
${BLOCK_NUM}
“拒否”の検出件数
${FILTER_NUM}
“フィルタ”の検出件数
${INTERVAL}
通知間隔
${ACTION_SUMMARY}
動作別発生件数
${DETECT_SUMMARY}
検出別発生件数
${DETECT_SUMMARY}
検出別発生件数
${MAX_DETAIL}
最大詳細件数
${DETAIL}
検出の詳細情報
■検出通知の詳細情報、検出メッセージの変数
${DETECTION_NAME}
検出名
詳細は「9.2 検出名」を参照してください。
${DETECT_STR}
検出した文字列の全体
(290 バイトまで。パラメータ、要求ヘッダで検出した場合)
${MATCHED_STR}
検出した文字列
(シグネチャ検査で検出した場合)
${ACTION}
検出時の動作
${CLIENT_ADDR}
クライアント IP アドレス
${SERVER_HOST}
サーバーホスト名
${SERVER_ADDR}
サーバーIP アドレス
${METHOD}
要求メソッド
${URL}
アクセスしたサイトの URL
${CONTENT_TYPE}
Content-Type が示す項目 (例:text/html)
67
SiteGuard Lite/管理者用ガイド
${CONTENT_LENGTH}
送受信したファイルのサイズ(バイト)
${TIME}
アクセス時刻 (1970/01/01 を基点とした秒数)
${TIME_STR}
アクセス時刻文字 (例:'2011-12-13 20:30:10 (+0900)')
${PATH_QUERY}
URL のパスおよびクエリ部分
${X_FORWARDED_FOR}
X-Forwarded-For ヘッダの内容
${WAF_FORM_LOG}
フォームログの内容
${JUDGE}
検出時の判定情報(検出ログの JUDGE の一番目)
${MONITOR}
監視 URL のマッチ状態(検出ログの JUDGE の二番目)
監視 URL に該当した場合、検出時の動作は”監視”になりますが、元の動作を${JUDGE}で表示し
ます。
また、監視 URL に該当しているかは、${MONITOR}で表示します。
(0: 監視 URL に該当しない、 1: 監視 URL に該当する)
検出ログの JUDGE については、「9.3.1 検出ログ(detect.log)」も参照してください。
■障害通知の変数
${INTERVAL}
通知間隔
${TYPE_SUMMARY}
警告/エラー別発生件数
${CODE_SUMMARY}
エラー種類別発生件数
${MAX_DETAIL}
最大詳細件数
${DETAIL}
警告/エラーの詳細情報
68
SiteGuard Lite/管理者用ガイド
7.1.5 正規表現
シグネチャ検査の各条件を正規表現で記述できます。
Perl5.8 に近い記述に対応しており、以下のようなメタキャラクタが指定できます。
^ : 文字列の最初
$ : 文字列の最後
. : 任意の文字
[X-Y] :文字範囲指定
A|B : A または B
() : グループ化
? : 直前の文字・グループの 0 または 1 回
* : 直前の文字・グループの 0 回以上の繰り返し
+ : 直前の文字・グループの 1 回以上の繰り返し
{x,y} : 直前の文字の x 回から y 回の繰り返し
¥d : 数字文字(0-9)
¥D : ¥d 以外の文字
¥s : スペース文字(スペース(' ', 0x20)、タブ('¥t', 0x09)、
復帰('¥r',0x0d)、改行('¥n',0x0a))
¥S : ¥s 以外の文字
¥w : [0-9a-zA-Z_](数字、アルファベット、"_")
¥W : ¥w 以外の文字
¥ddd : 10 進数表記
¥xhh : 16 進数表記
¥X : 記号 X のエスケープ表記 (例: "¥¥"は"¥"を表す)
ウェブ管理画面に接続するクライアント環境が Mac の場合、エスケープ表記”¥”の入力
には、[alt(option)] + [¥]ボタンを使用してください。
詳細については PCRE のマニュアルを参照してください。
http://www.pcre.org/pcre.txt ( PCREPATTERN(3) )
尚、正規表現については以下のような書き換えにより、性能向上できる場合があります。
例 1:
;.*ABC →
;[^;]*ABC
正規表現の繰り返し部分については、繰り返し範囲を制限することで高速化できます。
例えば、区切り文字の後に文字列がある場合については、".*"ではなく"[^(区切り文字)]*"にする
ことで範囲を制限することができます。
例の場合、"123;456;789;ABC"の比較方法が以下のようになり、高速化されます。
変更前: ";"を探して、3 の次の";"に一致した。その後文字列の最後まで A を探した。
また次の";"を探して 6 の次の";"に一致した。、、、
変更後: ";"を探して、3 の次の";"に一致した。その後、次の";"(456 の次の";")まで A を
探した。また次の";"を探して 9 の次の";"に一致した。、、、
69
SiteGuard Lite/管理者用ガイド
例 2:
PATTERN_GROUP オプションによるグループ化
以下のような、同一のオプション、同一の検査対象をもつ、先頭部分が一致した 3 つのシグネチ
ャの正規表現がある場合を考えます。
1: this is a pen
2: this is a book
3: this is the cup
これら 3 つのシグネチャついて、オプションとして PATTERN_GROUP(THIS_IS)を指定すると、
以下のような合成した正規表現を内部で生成します。
4: this is (a pen|a book|the cup)
この場合、パターンの比較は、まず 4 で検査を行い、一致した場合のみ 1,2,3 で検査します。
4 で一致する可能性が少ない場合、通常1回の検査で済むので高速化できます。ただし、先頭部
分が同一ではないものをグループ化すると正規表現が複雑になり、検査速度が低下します。
70
SiteGuard Lite/管理者用ガイド
7.2 シグネチャ更新設定
シグネチャの更新に関する設定は、メインメニューの[シグネチャ更新設定]で行います。
[シグネチャ更新設定]
Signature update
[トラステッド・シグネチャ更新設定]
Signature update
設定内容を変更した場合は、〔保存〕ボタンを押してください。
71
SiteGuard Lite/管理者用ガイド
最新のシグネチャがリリースされている場合は、
マークで分かりやすく表示します。
・動作中のトラステッド・シグネチャのバージョンには、conf/waf/header.ini の
"[WAF_Database_Version]Version=YYYY-MM-DD_XX"が表示されます。
・最新のトラステッド・シグネチャのバージョンには、下記 URL から取得したバージョン情報
が表示されます。
https://www.jp-secure.com/download/siteguardlite/updates_lite/header.ini
トラステッド・シグネチャの更新には、以下の 3 つの処理があります。

ダウンロード:最新シグネチャファイルのダウンロード

更新:シグネチャファイルの更新(最新シグネチャと既存シグネチャのマージ、更新)

適用:最新シグネチャファイルの適用
適用までが行われると、最新シグネチャによる検査が有効になります。
適用時は、make reconfig コマンド(apachectl graceful)が実行されます。
72
SiteGuard Lite/管理者用ガイド
7.2.1 手動更新
[手動更新]
Manual Update
最新のシグネチャファイルのダウンロードと更新・適用を行います。
〔今すぐ更新〕ボタンを押すと、最新のシグネチャファイルをダウンロードして、トラステッド・
シグネチャ差分確認の画面を表示します。
更新内容の確認と自動適用の有無を選択し、
を押します。
73
SiteGuard Lite/管理者用ガイド
をチェックしている場合は、最新のシグネチャ設定をただちに適用します。
をチェックしていない場合は、シグネチャファイルの更新まで行いますが、適用
はしません。
(各種設定画面で〔適用〕ボタンを押すか、Apache の再起動時に、最新のシグネチャ設定が適用され
ます。)
トラステッド・シグネチャ差分確認の画面で、
を押すと、最新シグネチャファイルの
ダウンロードまでの処理となります。(シグネチャの更新と適用は行われません。)
ダウンロード済みのシグネチャを更新・適用する場合は、再度、〔今すぐ更新〕ボタンを押します。
トラステッド・シグネチャ差分確認の画面で、更新内容の確認と自動適用の有無を選択して、
を押してください。
シグネチャ更新時、既存の設定(有効/無効, 動作)は引き継がれます。
74
SiteGuard Lite/管理者用ガイド
シグネチャの更新までが行われていて、適用が実行されていない場合は、以下のように
「※適用をしてください。」が表示されます。
([トラステッド・シグネチャ]の画面にリンクされています。)
〔今すぐ更新〕ボタンを押したとき、すでに最新バージョンが適用されている場合は、
以下のメッセージが表示されます。
評価ライセンスの場合、以下のメッセージが表示され、〔今すぐ更新〕ボタンを押すこ
とはできません。
また、ライセンス情報が登録されていない場合や最新シグネチャのバージョン情報を取
得できない場合も〔今すぐ更新〕ボタンを押すことはできません。
75
SiteGuard Lite/管理者用ガイド
7.2.2 自動更新
[自動更新]
Auto Update
[自動ダウンロード]を有効にすると、指定間隔で最新のトラステッド・シグネチャをダウンロード
します。(デフォルト無効)
ダウンロードの間隔は、[毎時] [毎日] [毎週][毎月]から選択することができます。
(デフォルト毎日)
[ダウンロード後に自動更新]が有効の場合は、ダウンロード後にシグネチャファイルを自動更新し
ます。
をチェックしている場合は、最新のシグネチャ設定をただちに適用します。
をチェックしていない場合は、シグネチャファイルの更新まで行いますが、適用
はしません。
(各種設定画面で〔適用〕ボタンを押すか、Apache の再起動時に、最新のシグネチャ設定が適用され
ます。)
自動更新によって、シグネチャファイルのダウンロード([自動ダウンロード])までを行っている場合
は、[手動更新]の〔今すぐ更新〕ボタンを押して、更新・適用を行ってください。
・[自動ダウンロード]を有効にしている場合のスケジュール設定は、root ユーザの crontab
に保存されます。
(上記以外のダウンロード間隔を指定する場合は、root ユーザの crontab の設定を編集して
ください。この場合、[自動ダウンロード]の項目がロックされ、設定内容が表示されます。)
・自動適用に関する設定は、conf/dbupdate_waf.conf に保存されます。
[自動適用する] (service_restart)
・シグネチャ更新時、既存の設定は引き継がれます。
76
SiteGuard Lite/管理者用ガイド
7.2.3 共通設定
[共通設定]
Common Setting
[共通設定]では、シグネチャ更新時の各追加シグネチャの設定やプロキシサーバの設定を行います。
[追加シグネチャ設定]で、[推奨]を選択した場合、各追加シグネチャは、推奨設定(デフォルトの動
作、有効/無効の設定)で追加されます。(デフォルト推奨)
[監視]を選択した場合、各追加シグネチャは、有効・監視の設定で追加されます。
[無効]を選択した場合、各追加シグネチャは、無効で追加されます。
トラステッド・シグネチャの更新で、プロキシサーバを経由する必要がある場合は、[プロキシサー
バ]を指定することができます。
プロキシサーバで認証を行っている場合の認証情報は、[プロキシ認証] で設定してください。
・追加シグネチャに関する設定は、conf/dbupdate_waf.conf に保存されます。
[追加シグネチャ設定] (use_dbsettings/add_monitor)
・プロキシサーバに関する設定は、conf/dbupdate.conf に保存されます。
[プロキシサーバ名] (use_proxy / http_proxy_host / http_proxy_port)
[プロキシ認証] (use_proxyauth / http_proxyauth_user / http_proxyauth_pass)
77
SiteGuard Lite/管理者用ガイド
8. 監視運用
8.1 監視 URL
本製品には、[監視 URL]の機能があります。
[監視 URL] に登録した URL については、本製品による検出があっても「フィルタ」や「拒否」の動作
が適用されず、すべて「監視」で処理されるようになります。
本製品による各種攻撃検査について、通常アクセスへの影響がないかを確認する監視運用等で、有効活
用することができます。
監視 URL を登録する場合は、[モジュール設定]-[詳細設定]-[監視 URL]を選択します。
78
SiteGuard Lite/管理者用ガイド
8.1.1 監視 URL の登録と解除
ドメイン jp-secure.com のすべてのサイトについて、監視運用を適用する場合、[監視 URL]の画面で以
下のように登録し、〔適用〕ボタンを押します。
監視 URL(正規表現):
^http://.*¥.jp-secure¥.com/
正規表現については、
「7.1.5 正規表現」を参照してください。
https(SSL)で接続する URL を指定する場合も、本製品の処理は HTTP 通信の段階で行われるた
め、URL は"https://"ではなく、http://で指定します。
これにより、ドメイン jp-secure.com のサイトは、本製品による検出があっても「拒否」や「フィルタ」
の動作が適用されず、すべて「監視」で処理されるようになります。
監視 URL の設定を解除する場合は、監視 URL の登録を削除して(未入力)、〔適用〕ボタンを押します。
[監視 URL]を有効に活用することで、本運用を開始しながら、特定のサイトについては監視運用を継続
する(段階的な導入)など、柔軟な設定が可能です。以下に例を示します。
ドメイン jp-secure.com の本運用を開始するが、test.jp-secure.com と demo.jp-secure.com
については、監視運用を継続する
監視 URL(正規表現):
^http://(test|demo)¥.jp-secure¥.com/
正規表現については、
「7.1.5 正規表現」を参照してください。
これにより、test.jp-secure.com と demo.jp-secure.com は監視が継続されますが、www.jp-secure.com など、
監視 URL に該当しないサイトは、各種攻撃検査の設定にしたがって防御されるようになります。
79
SiteGuard Lite/管理者用ガイド
8.1.2 監視する接続元 IP アドレスの指定
すでに稼働中のサイトの場合、様々な接続元からの検出情報がログに記録されます。
管理者用 PC など、特定の接続元を[監視 URL]の対象にしてテストする場合は、カスタム・シグネチャ
を併用します。
ここでは、監視する接続元 IP アドレスが 192.168.1.1 であることを前提に説明します。
この場合、[カスタム・シグネチャ]で、以下のようなシグネチャを作成します。
動作:
検査対象:
検査文字列(正規表現):
比較方法:
安全
接続元 IP アドレス
^192¥.168¥.1¥.1$
不一致
これにより、192.168.1.1 以外の接続元 IP アドレスは、安全とみなされます。
この状態で、[監視 URL]の機能を使用すると、192.168.1.1 からのアクセスで検出があったときだけ、検
出ログが出力されます。
対象の接続元(192.168.1.1)からウェブサイトへの通常アクセス・テストを行い、検出ログの出力状況を
確認することで、検査による影響の有無を確認しやすくなります。
該当の設定は、監視運用が終了したら、忘れずに削除・見直しをしてください。
80
SiteGuard Lite/管理者用ガイド
9. ログ
9.1 ログの表示
ログを表示するときは、メインメニューの[ログ]を選択します。
サブメニューで、表示するログを選択します。
「9.6 ログの分割(ローテート)」によって、ローテートされているログは、ウェブ管理画面に表
示されません。
81
SiteGuard Lite/管理者用ガイド
[ログ]
Log
[動作ログ]
本製品が出力する各種ログを検索・表示します。最大 1000 行まで表示・ダウンロードできます。
[検出ログ] (logs/http/detect.log)
本製品による検査で検出された情報を表示します。
[情報ログ] (logs/http/info.log)
本製品の設定などに関する情報を表示します。
[エラーログ] (logs/http/error.log)
本製品に生じたエラーの情報を表示します。
[フォームログ] (logs/http/form.log)
フォームの入力値を表示します。
[通知サービス]
管理者へのメール送信([検出通知]、[障害通知])を行う通知サービスに関するログを表示します。
最大 1000 行まで表示・ダウンロードできます。
[情報ログ] (logs/notify/info.log)
通知サービスの起動と終了に関する情報を表示します。
[エラーログ] (logs/notify/error.log)
通知サービスに生じたエラーの情報を表示します。
82
SiteGuard Lite/管理者用ガイド
[検出ログ]の出力例をもとに、操作方法を説明します。
[検索条件指定]をチェックすると、ログ検索の条件を指定できるようになります。
検索条件を指定して〔検索〕ボタンを押すと、検索条件にマッチしたログを最大 1000 行まで表示する
ことができます。
表示されたログは、[表示列]で表示項目を調整することができます。
83
SiteGuard Lite/管理者用ガイド
をクリックすると、選択したログを展開して表示します。
をクリックすると、展開して表示したログを格納し、元の表示に戻します。
を押すと、表示中のログをダウンロードします。
84
SiteGuard Lite/管理者用ガイド
[シグネチャ更新]
[シグネチャ更新ログ] (logs/dbupdate_waf.log)
トラステッド・シグネチャの更新ログを表示します。最大 1000 行まで表示します。
[管理画面]
[操作ログ] (logs/admin/siteguardlite/operation.log)
ウェブ管理画面の操作に関するログを表示します。
最大 1000 行まで表示・ダウンロードできます。
85
SiteGuard Lite/管理者用ガイド
9.2 検出名
攻撃を検出した場合、ログに検出名を出力します。
検出名は以下のとおりです。
- シグネチャ検査:
RULE_SIG/[検出箇所]/[名前]/[シグネチャファイル]/[シグネチャ ID]/[シグネチャ名]
- フィルタ:
WAF_FILTER/[IP アドレス]
- URL デコードエラー:
RULE_URLDECODE/[検出箇所]/[名前]
- パラメータ数の上限値の制限:
RULE_PARAMS_NUM/[パラメータ数の上限値]
[動作]が拒否の場合、[パラメータ数の上限値の検出]で設定した[上限値] が記録されます。
[動作]が監視の場合、リクエストに含まれているパラメータ数が記録されます。
[検出箇所]は以下のいずれかです。
PART_PARAM_NAME|[種別]
PART_PARAM_VALUE|[種別]
PART_URL
PART_PATH
PART_METHOD
PART_REQHEAD
PART_CLIENT_ADDR
PART_SERVER_ADDR
PART_POST_FILENAME
: パラメータ変数の名前
: パラメータ変数の値
: URL
: パス名
: メソッド
: 要求ヘッダ
: クライアントアドレス
: サーバアドレス
: 送信ファイル名(filenmae 変数で指定される名前)
[名前]は、パラメータ変数、ヘッダフィールド名を表示します。
[シグネチャファイル]は、OFFICIAL(トラステッド・シグネチャ)、CUSTOM(カスタム・シグネチャ)
のいずれかです。
[種別]は、PART_GET_PARAM(クエリストリング)、PART_REQBODY (要求本文)、PART_COOKIE
(クッキー)のいずれかです。
86
SiteGuard Lite/管理者用ガイド
9.3 動作ログ詳細
各種ログのフォーマット、内容に関する説明です。
9.3.1 検出ログ(detect.log)
本製品による検査で検出された情報が保存されています。
ログのフォーマットは以下のとおりです。
■検出ログの形式
検出状況が 1 行ずつ記録されます。
以下の各項目がスペースで区切られています。(1 行あたりの最大値は、9999 バイトです。)
• 時刻
クライアントから接続された時刻です。エポックタイム (1970/01/01 00:00:00(UTC)) からの秒数をミ
リ秒単位で表示します。
• 接続時間
クライアントとの接続時間をミリ秒単位で表示します。
• クライアントホスト
クライアントの IP アドレスを表示します。
本製品のデフォルト設定では、[クライアント IP アドレスを X-Forwarded-For から取得]が有効に
なっています。この場合、クライアントホストは、X-Forwarded-For の値になります。
X-Forwarded-For が存在しない場合と、[クライアント IP アドレスを X-Forwarded-For から取得]が
無効の場合は、REMOTE_ADDR の値になります。
• 処理結果
常に TCP_MISS/000 です。
• ファイルサイズ
転送したファイルのサイズです。
• 要求メソッド
HTTP の要求メソッド (GET, POST 等) です。
• URL
接続先の URL です。
• ユーザ名
常に"-" です。
• hierarchy code
"DIRECT/接続先 IP アドレス" を表示します。(接続先 IP アドレスは、SERVER_ADDR の値です。)
• Content-Type
送受信するファイルの Content-Type を表示します。利用できない場合は "-" となります。
87
SiteGuard Lite/管理者用ガイド
• 検出情報
"DETECT-STAT:[検査結果]:[検出名]::[検出文字列]:[検出文字列(全体)]:" を表示します。
検査結果
WAF
常に"WAF"です。
検出名
攻撃検出名称
詳細は「9.2 検出名」を参照してください。
検出文字列
検出した文字列(シグネチャ検査で検出した場合)
ウェブ管理画面上では、赤色で強調表示されます。
290 バイトまで記録されます。
検出文字列(全体)
検出した箇所の文字列全体(パラメータ、要求ヘッダで検出した場合)
290 バイトまで記録されます。
• 動作
"ACTION:[動作]:"を表示します。
動作
・
MONITOR
監視
・
BLOCK
拒否
・
FILTER
フィルタ
• 判定情報
"JUDGE:[判定]:[監視 URL の設定]:"を表示します。
判定
監視 URL の設定
・
MONITOR
監視
・
BLOCK
拒否
・
FILTER
フィルタ
・
0
監視 URL に該当しない
・
1
監視 URL に該当する
・
2
(URL が[監視 URL]に登録されている)
SiteGuard_Monitor に該当する
(Apache ディレクティブの監視モードに該当する)
・
3
1 と 2 の両方に該当する
通常運用時、動作と判定情報の結果は同じになります。
判定情報は、[監視 URL] による監視運用を行っているときに、元の動作を確認する場合に有効です。
例)
ACTION:MONITOR: JUDGE:BLOCK:1:
監視 URL に該当するため、MONITOR(監視)の動作で処理した。
監視動作を適用する前の判定(元の動作)は、BLOCK(拒否)であった。
• 検索キー
"SEARCH-KEY:[検索キー]:"を表示します。
検索キー
”時刻(エポックタイム).apache コネクション ID”の形式です。
例)
SEARCH-KEY:1392025522.175.2:
検索キーは、フォームログ(form.log)にも出力されます。
検索キーをもとに、該当のフォームログを検索することができます。
88
SiteGuard Lite/管理者用ガイド
9.3.2 情報ログ(info.log)
本製品の設定などに関する情報が保存されています。
■情報ログの形式
時刻(秒数) [日付 時刻] メッセージ
時刻は、エポックタイム (1970/01/01 00:00:00(UTC)) からの秒数をミリ秒単位で表示します。
メッセージ
license check. licensed=[yes|no]
説明
ライセンスチェックの結果が表示されます。
no が表示された場合は、[ライセンス情報]でライセンス状態を確認してください。
メッセージ
configuration normal completed. licensed=[yes|no] enabled=[yes|no]
説明
SiteGuard Lite の初期化の正常終了を示すメッセージです。
メッセージ
configuration failure. mod_siteguard is not enabled.
説明
SiteGuard Lite の初期化の異常終了を示すメッセージです。
[エラーログ]を参照して、問題の確認と対処を行ってください。
メッセージ
read <signature num> rules from <filename>.
説明
カスタム・シグネチャ、トラステッド・シグネチャが読み込まれたことと、それぞれの件数が表示
されます。
メッセージ
Configuration values================
enabled=[yes|no]
………
default_action=<BLOCK|MONITOR>
………
max_params_num=<n>
………
====================================
説明
適用されている各種設定の内容が表示されます。
89
SiteGuard Lite/管理者用ガイド
9.3.3 エラーログ(error.log)
本製品に生じたエラーの情報が保存されています。
本製品の動作に問題がある場合などに参照してください。
■エラーログの形式
時刻(秒数) [日付 時刻] メッセージ
時刻は、エポックタイム (1970/01/01 00:00:00(UTC)) からの秒数をミリ秒単位で表示します。
メッセージ
License Expired
説明
90 日間の評価期間が過ぎたことを示すメッセージです。
SiteGuard Lite による検査は行われません。
対処法
引き続き、SiteGuard Lite をご利用いただく場合は、本製品のご購入時に発行されるシリアルキーが
必要となります。弊社または、販売代理店までお問い合わせください。
メッセージ
Invalid license.txt
説明
無効なライセンスが登録されています。
対処法
[ライセンス情報]に登録しているシリアルキーが正しいことを確認してください。
メッセージ
read_httptemplate:too long template[<filename>]
説明
検出メッセージの本文が 9000 バイトを超えています。
対処法
検出メッセージの本文を 9000 バイトまでで設定してください。
メッセージ
Too Long Mail Template[<filename>]
説明
管理者への通知メールの本文が 9000 バイトを超えています。
対処法
管理者への通知メールの本文を 9000 バイトまでで設定してください。
90
SiteGuard Lite/管理者用ガイド
メッセージ
waf_sig_read_rules:cannot open [<filename>]
説明
シグネチャファイルのオープンに失敗しました。
対処法
シグネチャファイル(conf/waf/sig_custom.txt, conf/waf/sig_official.txt)が削除され
ていないか確認してください。
また、状況を確認するため、ウェブ管理画面の[診断情報]から診断情報ファイルを取得し、サポー
トデスク宛に送付してください。
メッセージ
waf_sig_read_rules:illegal line(file:<filename>, line:<line number>)
説明
シグネチャファイルの内容が不正です。
対処法
シグネチャファイル(conf/waf/sig_custom.txt, conf/waf/sig_official.txt)の内容を修
正し、〔適用〕ボタンを押してください。
解決できない場合は、ウェブ管理画面の[診断情報]から診断情報ファイルを取得し、サポートデス
ク宛にお問い合わせください。
メッセージ
waf_sig_read_rules:the first element [<first element>] should be 'ON' or
'OFF'(file:<filename>, line:<line number>)
説明
シグネチャファイルの内容が不正です。
ON または OFF 以外で始まっている行があります。
対処法
シグネチャファイル(conf/waf/sig_custom.txt, conf/waf/sig_official.txt)の内容を修
正し、〔適用〕ボタンを押してください。
解決できない場合は、ウェブ管理画面の[診断情報]から診断情報ファイルを取得し、サポートデス
ク宛にお問い合わせください。
メッセージ
waf_sig_read_rules: Unknown target name [<target name>]. (file:<filename>,
line:<line number>)
説明
シグネチャファイルで、無効な検査対象が指定されています。
対処法
シグネチャファイル(conf/waf/sig_custom.txt, conf/waf/sig_official.txt)の内容を修
正し、〔適用〕ボタンを押してください。
解決できない場合は、ウェブ管理画面の[診断情報]から診断情報ファイルを取得し、サポートデス
ク宛にお問い合わせください。
91
SiteGuard Lite/管理者用ガイド
メッセージ
waf_sig_read_rules:Unknown action [<action>]: file:[<filename>] line:<line
number>
説明
シグネチャファイルで、無効な動作が指定されています。
対処法
シグネチャファイル(conf/waf/sig_custom.txt, conf/waf/sig_official.txt)の内容を修
正し、〔適用〕ボタンを押してください。
解決できない場合は、ウェブ管理画面の[診断情報]から診断情報ファイルを取得し、サポートデス
ク宛にお問い合わせください。
メッセージ
waf_sig_read_rules:Unknown option [<pcre option>]: file:[<filename>]
line:<line number>
説明
シグネチャファイルで、無効なオプションが指定されています。
対処法
シグネチャファイル(conf/waf/sig_custom.txt, conf/waf/sig_official.txt)の内容を修
正し、〔適用〕ボタンを押してください。
解決できない場合は、ウェブ管理画面の[診断情報]から診断情報ファイルを取得し、サポートデス
ク宛にお問い合わせください。
メッセージ
XXXXXX:PCRE compilation failed. pattern=[<pattern>], erroroffset=<offset>,
error=[<errno>]
説明
設定ファイルの内容に正規表現の構文エラーがあります。
XXXXXX は、waf_sig_read_rules,load_urllist,load_notify_exclude_sig のいずれか
です。
waf_sig_read_rules: シグネチャファイル(sig_custom.txt, sig_official.txt)
load_urllist: 監視 URL の編集(monitor_url.txt)
load_notify_exclude_sig: 通知除外設定の編集(notify_exclude_sig.txt)
対処法
正規表現の構文エラーを修正し、〔適用〕ボタンを押してください。
92
SiteGuard Lite/管理者用ガイド
メッセージ
###ERROR### PCRE exec failed. ret=-8, pattern=[XXXXX]… name=[シグネチャ名]
説明
本製品がシグネチャ検査で利用している PCRE ライブラリの作業領域が溢れたことにより、検査エ
ラーが発生した場合に表示されます。
トラステッド・シグネチャによる検査でエラーが発生した場合、XXXXXX には“(ENC) ”が表示され、
カスタム・シグネチャによる検査でエラーが発生した場合は、検査文字列が表示されます。
“シグネチャ名”には、検査に失敗したシグネチャの名前が表示されます。(他のシグネチャの検査に
影響はありません。)
対処法
エラーが多発するなど、事象が継続する場合は、調査を行いますので、エラーログをサポートデス
ク宛に送付してください。
メッセージ
too many custom rules(1000)
説明
カスタム・シグネチャの登録件数が 1000 を超えた場合に表示されます。
対処法
カスタム・シグネチャの登録件数を 1000 以下にしてください。
メッセージ
(その他のメッセージ)
説明
通常は発生しない問題の可能性があります。
対処法
状況を確認しますので、ウェブ管理画面の[診断情報]から診断情報ファイルを取得し、サポートデ
スク宛に送付してください。
93
SiteGuard Lite/管理者用ガイド
9.3.4 フォームログ(form.log)
パラメータ変数の名前と値が保存されています。(検出時のみ。1 行あたり、最大 4999 バイト)
GET/POST/POST(multipart)と Cookie に対応しています。
POST(multipart)の場合、ファイルの中身の情報については記録せず、空白になります。
以下の各項目がスペースで区切られています。
■フォームログの形式
以下の各項目がスペースで区切られています。
• 時刻
エポックタイム (1970/01/01 00:00:00(UTC)) からのミリ秒単位の秒数です。
• 内部プロセス ID
常に 0 です。
• 接続元ホスト
• URL
• 種別
GET_PARAM/(クエリストリング)、REQBODY/(要求本文)、COOKIE/(クッキー)
Content-Type:
• 入力値
"変数名 1=値 1&変数名 2=値 2..."の形式です。変数・値は URL エンコードした値です。
• 検索キー
"SEARCH-KEY:[検索キー]:"
検索キーは、”時刻(エポックタイム).apache コネクション ID”の形式です。
■フォームログの例
1394155264.947 0 192.168.1.1 http://xxxxxxxxxx/sig_test.php
REQBODY/multipart/form-data: hoge=%3Cscript%3E... SEARCH-KEY:1394155264.947.2:
9.3.5 設定ログ(conf.log)
本製品の設定内容がログファイル(logs/http/conf.log)に保存されています。
テクニカルサポートご利用時の調査情報として活用できるほか、設定の履歴を確認する場合に有効です。
ウェブ管理画面上に項目はありません。
Apache の起動、〔適用〕ボタン実行の都度、本製品がロードした設定内容を保存します。
94
SiteGuard Lite/管理者用ガイド
9.4 通知サービスログ詳細
通知サービスログは、logs/notify ディレクトリに保存され、ウェブ管理画面の[ログ]-[通知サービ
ス]で参照することができます。
9.4.1 情報ログ(info.log)
管理者に検出通知、障害通知をメール送信する通知サービスの開始や終了に関する情報が保存されてい
ます。
ログのフォーマットは以下のとおりです。
■情報ログの形式
時刻(秒数) [日付 時刻] メッセージ
時刻は、エポックタイム (1970/01/01 00:00:00(UTC)) からの秒数をミリ秒単位で表示します。
■サービス起動時のメッセージ
メッセージ
notify_main: ### START ###(argv=[siteguardlite_notify
--pidfile=pid.siteguardlite_notify ],ver=[],pid=プロセス ID)
説明
通知サービスの開始メッセージです。
サービス起動時に表示されます。
■設定更新時のメッセージ
メッセージ
notify_main:signal_handler(sig=1[SIGHUP], errno=0[Success], code=0[SI_USER],
status=0[], pid=xxx, uid=0)/cur_pid=プロセス ID
説明
通知サービスがシグナル(SIGHUP)を受け取ったことを示すメッセージです。
〔適用〕ボタンを押して、設定の保存と適用を行った場合に表示されます。
(make reconfig コマンドを実行した場合も表示されます。)
■サービス終了時のメッセージ
メッセージ
notify_main: ### STOP ### (ver=[], pid=プロセス ID)
説明
通知サービスの終了メッセージです。
サービス終了時に表示されます。通常、OS の停止時(または、再起動時)に出力されます。
95
SiteGuard Lite/管理者用ガイド
9.4.2 エラーログ(error.log)
管理者への検出通知、障害通知のメール送信に失敗した場合のエラー情報などが保存されています。
ログのフォーマットは以下のとおりです。
■エラーログの形式
時刻(秒数) [日付 時刻] メッセージ
時刻は、エポックタイム (1970/01/01 00:00:00(UTC)) からの秒数をミリ秒単位で表示します。
メッセージ
getaddrinfo failed. admin_mx_host=[<host>] admin_mx_port=[<port>]
gai_strerror=[Name or service not known]
説明
検出時に管理者へのメール通知を行うため、管理者への通知設定の SMTP サーバーの名前引きを行
いましたが、失敗しました。
対処法
[管理者への通知設定]で設定した SMTP サーバーのホスト名が名前引きできるか確認してください。
メッセージ
connect_to_server:cannot connect to admin mail server[<host>:<port>]
説明
検出時に管理者へのメール通知を行うため、管理者への通知設定の SMTP サーバーへ接続しました
が、失敗しました。
対処法
[管理者への通知設定]で設定した SMTP サーバーのホスト名・ポート番号に接続できるか確認して
ください。
メッセージ
read_response:smtp error:<err message>: buf=[<response>] (expected <n>)
Unable to send email to <mail address>
説明
管理者へのメール通知でエラーが発生しました。
対処法
<err message>の内容を参照して、宛先やメールシステムの設定を確認してください。
メッセージ
(その他のメッセージ)
説明
通常は発生しない問題の可能性があります。
対処法
状況を確認しますので、サポートデスク宛にお問い合わせください。
96
SiteGuard Lite/管理者用ガイド
9.5 その他のログ
9.5.1 Apache ログ(エラーログ)
本製品は、エラーに関する情報を Apache のエラーログにも記録します。
本製品の動作に問題がある場合など、必要に応じて本製品の[エラーログ]と一緒に参照してください。
メッセージ
mod_siteguard: configuration failure. mod_siteguard is not enabled.
説明
SiteGuard Lite の設定に問題があるため、Apache の起動に失敗しました。
対処法
SiteGuard Lite の[エラーログ]を参照して、問題を解決してください。
メッセージ
mod_siteguard: license check failure.
see <siteguard_root_path>/logs/http/error.log.
説明
ライセンスに問題があります。
対処法
SiteGuard Lite の[エラーログ]を参照してください。また、[ライセンス情報]でライセンス状態を確
認してください。
メッセージ
mod_siteguard: need SiteGuard_RootPath in httpd.conf.
説明
SiteGuard Lite のセットアップに失敗している可能性があります。
対処法
SiteGuard Lite のセットアップ(setup.sh)を再度実行してください。
解決できない場合は、ウェブ管理画面の[診断情報]から診断情報ファイルを取得し、サポートデス
ク宛にお問い合わせください。
メッセージ
(その他のメッセージ)
説明
通常は発生しない問題の可能性があります。
対処法
状況を確認しますので、Apache のエラーログをサポートデスク宛に送付してください。
また、ウェブ管理画面の[診断情報]から診断情報ファイルを取得し、サポートデスク宛に送付して
ください。
97
SiteGuard Lite/管理者用ガイド
ウェブ管理画面に、Apache のエラーログは表示されません。
9.5.2 管理サービスログ
本製品は、ウェブ管理画面用のサービスに Tomcat を使用しています。
Tomcat の動作に関するログは、logs/admin ディレクトリに保存されています。
通常、参照する必要はありません。
ウェブ管理画面に、Tomcat のログは表示されません。
98
SiteGuard Lite/管理者用ガイド
9.6 ログの分割(ローテート)
本製品のログファイルは、それぞれ 1 つのファイルに保存されます。
本製品による分割は行いませんので、分割を行う場合は logrotate コマンドを使用します。
サンプル用の設定ファイルを元に以下の手順で設定を行ってください。
1) 設定ファイルの設置
サンプル設定ファイル (/opt/jp-secure/siteguardlite/misc/logrotate.siteguardlite) を
/etc/logrotate.d にコピーしてください。
# cd /opt/jp-secure/siteguardlite/misc
# cp logrotate.siteguardlite /etc/logrotate.d/siteguardlite
2) 設定ファイルの編集
必要に応じてローテート間隔等を設定してください。
3) 動作確認
以下のコマンドを実行し、ローテートが行われることを確認してください。
# logrotate -f /etc/logrotate.d/siteguardlite
ローテートされたログは、ウェブ管理画面に表示されません。
99
SiteGuard Lite/管理者用ガイド
9.7 時刻表示変換ツール(logconv)
本製品のログファイルの時刻表示は、エポックタイムからの秒数で表示されていますが、logconv を使
用することで、年月日時分秒の表示を行頭に追加できます。
# /opt/jp-secure/siteguardlite/misc/logconv
変換結果は標準出力に表示されます。
--tail <num>オプションを指定するとログの最後からの指定行数のみ表示します。
logconv ツールは以下のように実行します。オプションは省略可能です。
# cd /opt/jp-secure/siteguardlite/misc
# ./logconv [オプション] [ログファイル名]
■オプション
--tail [num]
--tailsec [sec]
--cgi
--today
--noconv
-r
最後の [num] 行を出力します。
最後の [sec] 秒分を出力します。
CGI から呼び出す場合に利用します。
本日分のログを出力します。
時刻変換を行いません。
変換後のデータを変換前のデータに戻します。
ウェブ管理画面から各種ログを参照した場合は、logconv ツールで変換後の時刻が表示されます。
100
SiteGuard Lite/管理者用ガイド
10. 統計・レポート
10.1 ホーム画面
メインメニューの[ホーム]では、検出情報の統計と検査の有効/無効、ライセンス状態などを確認するこ
とができます。
10.1.1 統計
検出全体の種類別統計のほか、検出したシグネチャの TOP チャートなどをグラフで確認することがで
きます。
101
SiteGuard Lite/管理者用ガイド
■統計・グラフに関する説明
項 目
★クイックステータス
説 明
本日/今月の検出数、検査の有効/無効を表示します。
★シグネチャ分類チャート
シグネチャ検査で検出した情報を以下の分類で表示します。
•
SQL インジェクション
•
クロスサイトスクリプティング
•
ディレクトリトラバーサル
•
OS コマンドインジェクション
•
HTTP ヘッダ・インジェクション
•
その他の攻撃(上記のカテゴリ以外とカスタム・シグネチャ)
★シグネチャ TOP チャート
検出したシグネチャの TOP チャートを表示します。(シグネチャ名)
★種類別分類チャート
検出した情報を以下の分類で表示します。
•
トラステッド・シグネチャ
•
カスタム・シグネチャ
•
URL デコードエラー
•
パラメータ数の上限値
•
フィルタ
★接続元 IP アドレスチャート
検出情報の接続元 IP アドレスの TOP チャートを表示します。
★日別検出チャート
日別の検出数の推移を表示します。
★時間帯別チャート
検出した時間帯のチャートを表示します。
■アイコンに関する説明
アイコン
説 明
本製品による検査が”有効”であることを示しています。
(緑のチェックで表示されます。)
本製品による検査が”無効”であることを示しています。
評価ライセンスの場合、「★クイックステータス」に評価ライセンスの有効期間が表示されます。
各統計情報の[本日]、[今月]を選択することで、表示を切り替えることができます。
タイトルの変更や表示/非表示などを指定することができます。
「11.2.4 ホーム画面設定」を参照してください。
102
SiteGuard Lite/管理者用ガイド
10.1.2 統計の更新
統計の更新は、60 分間隔で行われます。(毎時 0 分)
更新スケジュールは、root ユーザの crontab に登録されています。
0 * * * * cd /opt/jp-secure/siteguardlite;./siteguardlite_statistics.sh
一度に更新できる検出情報は、最大 30,000 件までとなります。
統計の更新時に未集計の検出情報が 30,000 件以上あった場合、30,000 件までを集計します。
30,000 件を超えて集計できなかった検出情報は、次回の更新処理で集計されます。
すぐに更新する場合は、上記のコマンドを実行することで、統計を更新することができます。
103
SiteGuard Lite/管理者用ガイド
10.1.3 製品情報と検出・エラー情報
本製品とトラステッド・シグネチャのバージョン、ライセンス状態のほか、最新の検出・エラー情報を
確認することができます。
本製品、トラステッド・シグネチャの最新版がリリースされているときは、「★製品情報」に
を表示して、最新版がリリースされていることをお知らせします。
それぞれ、本製品のサポートページ、[トラステッド・シグネチャ]の画面にリンクされています。
評価ライセンスの場合、
は表示されません。
タイトルの変更や表示/非表示などを指定することができます。
「11.2.4 ホーム画面設定」を参照してください。
104
SiteGuard Lite/管理者用ガイド
10.2 レポート
ホーム画面の統計情報をレポートファイルとして出力することができます。
レポートの出力は、メインメニューの[レポート]で行います。
10.2.1 レポート出力
[レポート出力設定]でレポート対象月の選択とヘッダーを入力し、〔出力〕ボタンを押すと、レポート
が PDF ファイル(3 ページ)で出力されます。
ヘッダーは、フォントサイズ(極大, 大, 中, 小, 極小)を指定して、左右と中央に表示できます。
入力したヘッダーの情報は、〔出力〕ボタンを押したときに保存されます。
105
SiteGuard Lite/管理者用ガイド
レポートの出力形式をカスタマイズすることはできません。
レポートに出力される各チャートのタイトルや表示件数は変更可能です
([ホーム画面設定]の内容にしたがいます。)
「11.2.4 ホーム画面設定」を参照してください。
レポート出力で使用する統計データは、1 年間保持されます。(デフォルト)
データ保持期間を超過したデータは削除され、対象年月から選択できなくなります。
106
SiteGuard Lite/管理者用ガイド
11. 状態・管理
メインメニューには、製品情報の表示や管理パスワードの変更、バックアップ・リストアをするための
項目が用意されています。
本章では、これらの操作・設定方法について説明しています。
11.1 状態
[状態]
State
本製品やトラステッド・シグネチャのバージョン、Apache のバージョン、ハードウェア環境の情報
などを表示します。
107
SiteGuard Lite/管理者用ガイド
11.2 管理
[管理]
Manage
11.2.1 診断情報
[診断情報]
Diagnostic info
診断情報ファイル (diag.tar.gz) をダウンロードします。
本製品の設定情報のほか、本製品を導入したサーバーの設定情報・各種ログも含まれます。
"cd /opt/jp-secure/siteguardlite; make diag" コマンドで作成される
/opt/jp-secure/siteguardlite/diag.tar.gz をダウンロードします。
サポートデスクへお問い合わせの際は、なるべくこの診断情報ファイル (diag.tar.gz) を送付
してください。
108
SiteGuard Lite/管理者用ガイド
11.2.2 バックアップ・リストア
[バックアップ・リストア]
Backup and Restore
本製品の設定のバックアップとリストアを行います。
本製品を複数台のウェブサーバーで使用している環境で、設定の複製に活用することもできます。
〔バックアップ〕ボタンを押すと、本製品の設定をバックアップ(ダウンロード)します。
(バックアップファイルは、backup-hostname-YYYYMMDD-HHMMSS.tar.gz です。)
・本製品の各種設定をバックアップファイルに保存することができます。
・ウェブ管理画面で設定した設定情報がバックアップされますが、トラステッド・シグネチャの
自動更新設定(crontab に登録された更新スケジュール)は含まれません。
・バックアップにログファイルは含まれません。
〔バックアップファイルの選択〕で、バックアップファイルを選択してから〔リストア〕ボタンを
押すと、本製品の設定がバックアップファイルの内容でリストアされます。
・バックアップファイルの製品バージョンとリストア先の製品バージョンは、同一である必要が
あります。
・リストア時、apachectl graceful コマンドが実行されます。
109
SiteGuard Lite/管理者用ガイド
11.2.3 ライセンス情報
[ライセンス情報]
License
シリアルキー・サポート ID・パスワードの登録・確認を行います。
・[シリアルキー]は、conf/license.txt に保存されます。
・[サポート ID]と[パスワード]は、conf/dbupdate_waf.conf に保存されます。
(sig_download_user / sig_download_pass)
・[シリアルキー]が登録されていない場合(TRIAL VERSION)は、90 日間の評価環境になります。
90 日間の評価期間を過ぎると、本製品による検査が行われなくなります。
110
SiteGuard Lite/管理者用ガイド
11.2.4 ホーム画面設定
[ホーム画面設定]
Home Settings
ホーム画面に表示する項目の指定やタイトル、表示件数などを設定します。
ホーム画面に表示する各項目のタイトルは、[タイトル]で変更することができます。
各項目の表示と非表示は、[表示]で指定します。
また、ホーム画面に表示する統計情報について、本日と今月のどちらをデフォルト表示にするかの
設定と表示件数は、[表示対象]で指定します。
表示件数は、TOP 5, 10, 15, 20 のいずれかを指定できます。
111
SiteGuard Lite/管理者用ガイド
最新の検出・エラー情報では、以下の項目について、表示・非表示の指定ができます。
マークの表示対象にする期間を指定することもできます。
また、表示する件数、
[検出]:検出ログ(logs/http/detect.log)に出力された検出情報
[エラー]:エラーログ(logs/http/error.log)に出力されたエラー情報
[通知エラー]:エラーログ(logs/notify/error.log)に出力された通知に関するエラー情報
[シグネチャ更新エラー]:シグネチャ更新エラー(logs/dbupdate_waf_err.log)の情報
表示する件数は、最新 1, 3, 5, 10 ,20 ,30 件のいずれかを選択できます。
(シグネチャ更新エラーは、最新 1, 3, 5, 10 件)
マークの表示対象にする期間は、15 分, 30 分, 1 時間, 2 時間, 3 時間, 1 日のいずれかを指定でき
ます。(シグネチャ更新エラーは、15 分, 30 分, 1 時間, 2 時間, 3 時間, 1 日, 7 日)
112
SiteGuard Lite/管理者用ガイド
統計データを保持する期間を指定できます。
[データ保持期間]を超過したデータは削除され、レポート出力の対象年月に表示されなくなります。
保持する期間は、削除しない, 半年, 1 年のいずれかを指定できます。
変更内容を保存する場合は、〔保存〕ボタンを押してください。
〔キャンセル〕ボタンを押すと、保存されていない設定内容を破棄します。
113
SiteGuard Lite/管理者用ガイド
12. ウェブ管理画面のログインロック
本製品のウェブ管理画面は、ログインロックの機能が設定されています。
本章では、ログインロック時の解除方法について説明しています。
12.1 ログインロック
ウェブ管理画面へのログイン時、指定回数(デフォルト:3 回)のログインに失敗すると、ログインがロッ
クされて、ログインできなくなります。
12.2 ログインロックの解除方法
ログインロックを解除する場合は、以下のコマンドを実行し、ウェブ管理画面のサービスを再起動して
ください。
# cd /opt/jp-secure/siteguardlite; ./rc.siteguardlite_admin restart
ウェブ管理画面のサービス再起動により、ログインロックが解除されます。
ウェブサーバー(Apache)の動作に影響はありません。
114
SiteGuard Lite/管理者用ガイド
12.3 許容するログイン失敗回数の変更
指定回数(デフォルト:3 回)のログインに失敗すると、ログインがロックされます。
許容するログイン失敗回数を変更する場合は、設定ファイル(conf/siteguardlite.ini)の以下の値
を変更してください。
[admin]
account_lock_num=3
設定値を変更後、以下のコマンドを実行し、ウェブ管理画面のサービスを再起動してください。
# cd /opt/jp-secure/siteguardlite; ./rc.siteguardlite_admin restart
ウェブ管理画面のサービス再起動により、変更後のログイン失敗回数の設定が有効になります。
ウェブサーバー(Apache)の動作に影響はありません。
115
SiteGuard Lite/管理者用ガイド
13. コマンドラインでの操作
本章では、シグネチャの更新やサービスの起動・停止などをコマンドラインで実行する場合の操作方法
を説明しています。(通常、コマンドラインでの操作は必要ありません。)
13.1 シグネチャ更新コマンド
■動作概要
[シグネチャ更新設定]-[手動更新]、[自動更新]で実行されるコマンドです。
https://www.jp-secure.com/download/siteguardlite/updates_lite/latest-lite.zip に接続し、
トラステッド・シグネチャを最新版に更新します。(サポート ID とパスワードによる認証があります。)
トラステッド・シグネチャの更新には、以下の 3 つの処理があります。

ダウンロード:最新シグネチャファイルのダウンロード

更新:シグネチャファイルの更新(最新シグネチャと既存シグネチャのマージ、更新)

適用:最新シグネチャファイルの適用
■コマンド名
/opt/jp-secure/siteguardlite/dbupdate_waf
dbupdate_waf では、wget コマンドを実行してシグネチャファイルをダウンロードします。
ライセンスに関する設定は、以下のファイルで設定します。
設定項目
ファイル
設定値
シリアルキー
conf/license.txt
シリアルキー
サポート ID
conf/dbupdate_waf.conf
sig_download_user=サポート ID
パスワード
conf/dbupdate_waf.conf
sig_download_pass=パスワード
ダウンロード・更新・適用に関する設定は、以下のファイルで設定します。
設定項目
ファイル
設定値
ダウンロードのみ
conf/dbupdate_waf.conf
downloadonly=yes
ダウンロードと更新
conf/dbupdate_waf.conf
downloadonly=no
service_restart=no
ダウンロードと更新・適用
conf/dbupdate_waf.conf
downloadonly=no
service_restart=yes
適用までが行われると、最新シグネチャによる検査が有効になります。
適用時は、make reconfig コマンド(apachectl graceful)が実行されます。
116
SiteGuard Lite/管理者用ガイド
追加シグネチャに関する設定は、以下のファイルで設定します。
設定項目
推奨
ファイル
conf/dbupdate_waf.conf
設定値
use_dbsettings=yes
add_monitor=no
監視
conf/dbupdate_waf.conf
use_dbsettings=yes
add_monitor=yes
無効
conf/dbupdate_waf.conf
use_dbsettings=no
プロキシサーバに関する設定は、以下のファイルで設定します。
設定項目
プロキシサーバ
ファイル
conf/dbupdate.conf
設定値
use_proxy=yes
http_proxy_host=プロキシサーバ名
http_proxy_port=プロキシサーバのポート番号
プロキシ認証
conf/dbupdate.conf
use_proxyauth=yes
http_proxyauth_user=認証ユーザ名
http_proxyauth_pass=認証パスワード
■オプション
-v
更新結果をログファイル以外(標準出力および標準エラー出力)に表示します。
■コマンド例
シグネチャファイルを更新します。
# cd /opt/jp-secure/siteguardlite; ./dbupdate_waf
シグネチャファイルを更新し、更新状況を syslog に出力します。
# cd /opt/jp-secure/siteguardlite; ./dbupdate_waf -v 2>&1| logger -t dbupdate_waf -p local0.err
本製品を導入したサーバーからインターネットへの接続が行えない場合、インターネット接続が可
能な管理用 PC などを利用してシグネチャを更新することができます。
管理用 PC などからサポートページにログインして、最新のシグネチャファイル
(latest-lite.zip)を取得します。
その後、製品を導入したサーバーの任意のディレクトリにシグネチャファイルを配置して、以下の
ように dbupdate_waf コマンドを実行します。
例)/var/tmp に latest-lite.zip を配置した場合
# cd /opt/jp-secure/siteguardlite;./dbupdate_waf /var/tmp/latest-lite.zip
■終了コード
更新成功時は 0 を、失敗時は 0 以外を返します。
■ログファイル
更新結果は、以下のログファイルに記録されます。
/opt/jp-secure/siteguardlite/logs/dbupdate_waf.log シグネチャ更新結果の履歴
/opt/jp-secure/siteguardlite/logs/dbupdate_waf_err.log シグネチャ更新エラー情報
/opt/jp-secure/siteguardlite/logs/dbupdate_waf_last_result.txt wget の実行結果
117
SiteGuard Lite/管理者用ガイド
13.2 設定情報適用コマンド
■動作概要
編集・保存した設定内容を適用します。
ウェブ管理画面で〔適用〕ボタンを押したときと同様の動作になります。
■コマンド名
cd /opt/jp-secure/siteguardlite; make reconfig
■コマンド例
編集・保存した設定内容を適用します。
# cd /opt/jp-secure/siteguardlite; make reconfig
make reconfig により、apachectl graceful コマンドが実行されます。
13.3 統計コマンド
■動作概要
[ホーム]の統計、[レポート]の出力で使用する統計データを更新します。
■コマンド名
cd /opt/jp-secure/siteguardlite; siteguardlite_statistics.sh
■コマンド例
統計データを更新し、最新状態にします。
# cd /opt/jp-secure/siteguardlite; siteguardlite_statistics.sh
13.4 診断情報作成コマンド
■動作概要
診断情報ファイル (diag.tar.gz) を/opt/jp-secure/siteguardlite ディレクトリに作成しま
す。
診断情報ファイルには本製品の設定情報のほか、マシンの設定情報・各種ログ情報が含まれます。
サポートデスクへお問い合わせの際は、なるべくこの診断情報ファイル (diag.tar.gz) を送付し
てください。
■コマンド名
cd /opt/jp-secure/siteguardlite; make diag
■コマンド例
診断情報ファイルを作成します。
# cd /opt/jp-secure/siteguardlite; make diag
118
SiteGuard Lite/管理者用ガイド
13.5 サービス起動コマンド
■動作概要
ウェブ管理画面、通知サービスの起動・終了・再起動を行います。
また、マシンブート時の自動起動コマンドとして使用されます。
■コマンド名
cd /opt/jp-secure/siteguardlite; rc.siteguardlite_admin
cd /opt/jp-secure/siteguardlite; rc.siteguardlite_notify
ウェブ管理画面
通知サービス
■オプション
start
stop
restart
status
サービスの起動
サービスの終了
サービスの再起動
サービスの動作状況表示
■コマンド例
ウェブ管理画面のサービスを再起動します。
# cd /opt/jp-secure/siteguardlite; ./rc.siteguardlite_admin restart
このコマンドは、本書やガイドラインの手順に記載されている場合やサポートデスクへのお問い合
わせ・対応で必要な場合にのみ実行してください。
13.6 全サービス起動コマンド
全ての有効なサービス(admin, notify)の起動・終了・再起動を行います。
■コマンド名
cd /opt/jp-secure/siteguardlite; make start|stop|restart
■オプション
start
stop
restart
全サービスの起動
全サービスの終了
全サービスの再起動
■コマンド例
全てのサービス(admin, notify)を再起動します。
# cd /opt/jp-secure/siteguardlite; make restart
このコマンドは、本書やガイドラインの手順に記載されている場合やサポートデスクへのお問い合
わせ・対応で必要な場合にのみ実行してください。
119
SiteGuard Lite/管理者用ガイド
13.7 フィルタ情報クリアコマンド
■動作概要
フィルタ動作の対象となる接続元 IP アドレス(一定時間の間、接続を禁止する接続元 IP アドレス)の情
報をクリアします。
■コマンド名
cd /opt/jp-secure/siteguardlite; make clearfilterdb
■コマンド例
フィルタ情報をクリアします。
# cd /opt/jp-secure/siteguardlite; make clearfilterdb
フィルタ情報クリアのほか、Apache のサービス停止・起動が行われます。
13.8 ログインアカウント初期化コマンド
■動作概要
ウェブ管理画面にログインするためのアカウントを初期化します。
ログインアカウントの初期化を行うと、ユーザ ID とパスワードが「admin : admin」に初期化されます。
■コマンド名
cd /opt/jp-secure/siteguardlite; make resetadmin
■コマンド例
ログインアカウントを初期化します。
# cd /opt/jp-secure/siteguardlite; make resetadmin
アカウント初期化後、最初のログイン時に管理パスワードの設定画面が表示されます。
パスワードポリシー(英大文字、英小文字、数字を含んだ 8 文字以上のパスワード)にしたがって、新
しいパスワードを設定してください。
ログインがロックされている状態で初期化した場合、初期化後もロック状態になるため、ログイン
することはできません。
ウェブ管理画面のサービスを再起動し、アカウントのロックを解除してからログインしてください。
(cd /opt/jp-secure/siteguardlite; ./rc.siteguardlite_admin restart)
120
SiteGuard Lite/管理者用ガイド
14. Apache のディレクティブによる設定
本製品は、Apache の設定(httpd.conf,.htaccess)で、検査の無効化や監視モードの設定、トラステ
ッド・シグネチャの除外をすることができます。
バーチャルホストごとに検査の設定を変更する場合などに有効活用することができます。
各機能の説明のほか、
「14.11 Apache のディレクティブによる設定項目一覧」も参照してください。
14.1 検査の有効/無効
設定項目名
SiteGuard [on|off]
(デフォルト:on)
説明
off を指定すると、本製品による検査が無効になります。
設定箇所
httpd.conf
全体設定のほか、以下のディレクティブに設定することができます。
<VirtualHost>,<Directory>,<Location>,<LocationMatch>,<Files>,<FilesMatch>
設定例
設定後、[モジュール設定]の〔適用〕ボタン、または make reconfig コマンドで設定を適用し
てください。
---- httpd.conf ---<Directory "/var/www/html/siteguardlite_demo">
SiteGuard off
</Directory>
この設定により、siteguardlite_demo ディレクトリについて、本製品による検査が行われなくなり
ます。
“SiteGuard on”を指定することもできます。
ドキュメントルートを“SiteGuard off”にして、個々のディレクトリで“SiteGuard on”にする
(指定したディレクトリだけを検査する)といった設定が可能です。
121
SiteGuard Lite/管理者用ガイド
14.2 監視モード
設定項目名
SiteGuard_Monitor [on|off]
(デフォルト:off)
説明
on を指定すると、
「フィルタ」や「拒否」で検出された場合であっても、
「監視」の動作で処理さ
せることができます。
設定箇所
httpd.conf
全体設定のほか、以下のディレクティブに設定することができます。
<VirtualHost>,<Directory>,<Location>,<LocationMatch>,<Files>,<FilesMatch>
設定例
設定後、[モジュール設定]の〔適用〕ボタン、または make reconfig コマンドで設定を適用し
てください。
---- httpd.conf ---<Directory "/var/www/html/siteguardlite_demo">
SiteGuard_Monitor on
</Directory>
この設定により、siteguardlite_demo ディレクトリについては、本製品によって「拒否」で検出さ
れても「監視」で処理されるようになります。
“SiteGuard_Monitor off”を指定することもできます。
ドキュメントルートを“SiteGuard_Monitor on”にして、個々のディレクトリで
“SiteGuard_Monitor off”にする(全体では監視モードで動作をさせて、一部対象を「拒否」に
する)といった設定が可能です。)
14.3 トラステッド・シグネチャの除外
設定項目名
SiteGuard_ExcludeSig [シグネチャ ID|シグネチャ名|urldecode|all|clear]
シグネチャ ID とシグネチャ名は、カンマ区切りで複数指定が可能です。
(一行ずつ指定することも可能です。)
説明
指定したシグネチャ ID、またはシグネチャ名による検出を除外します。
urldecode を指定すると、URL デコードエラーによる検出を除外します。
all を指定した場合は、すべてのシグネチャと URL デコードエラーによる検出を除外します。
clear を指定することで、上位の設定を解除することができます。
122
SiteGuard Lite/管理者用ガイド
設定箇所
httpd.conf
以下のディレクティブに設定することができます。
<Directory>,<Location>,<LocationMatch>,<Files>,<FilesMatch>
設定例
設定後、[モジュール設定]の〔適用〕ボタン、または make reconfig コマンドで設定を適用し
てください。
---- httpd.conf ---<Directory "/var/www/html/siteguardlite_demo">
SiteGuard_ExcludeSig xss-tag-1,sqlinj-11
</Directory>
この設定により、siteguardlite_demo ディレクトリについて、xss-tag-1 と sqlinj-11 の検出
が除外されます。
---- httpd.conf ---<Directory "/var/www/html/siteguardlite_demo">
SiteGuard_ExcludeSig 00102001
SiteGuard_ExcludeSig 00201011
</Directory>
<Directory "/var/www/html/siteguardlite_demo/test">
SiteGuard_ExcludeSig clear
</Directory>
この設定により、siteguardlite_demo ディレクトリについて、シグネチャ ID「00102001」と
「00201011」の検出が除外されます。
ただし、siteguardlite_demo/test ディレクトリについては、除外設定を解除します。
親ディレクトリで指定したトラステッド・シグネチャの除外設定は、子ディレクトリに
引き継がれますが、子ディレクトリでも除外設定を行った場合、子ディレクトリは親デ
ィレクトリの設定を引き継ぎません。
例)
<親ディレクトリ>
SiteGuard_ExcludeSig xss-tag-1,sqlinj-11
</親ディレクトリ>
<子ディレクトリ>
SiteGuard_ExcludeSig traversal-1
</子ディレクトリ>
子ディレクトリでは、traversal-1 だけの検出が除外されます。
123
SiteGuard Lite/管理者用ガイド
14.4 トラステッド・シグネチャの除外(パラメータ指定)
設定項目名
SiteGuard_ExcludeSig_With_ParamName
[シグネチャ ID|シグネチャ名|urldecode|all|clear] [パラメータ名]
シグネチャ ID とシグネチャ名は、カンマ区切りで複数指定が可能です。
同一のパラメータ名について、複数シグネチャを除外する場合は、一行で記述してください。
説明
パラメータ指定で、特定のシグネチャ ID、またはシグネチャ名による検出を除外します。
urldecode を指定すると、URL デコードエラーによる検出を除外します。
all を指定した場合は、すべてのシグネチャと URL デコードエラーによる検出を除外します。
clear を指定することで、上位の設定を解除することができます。
設定箇所
httpd.conf
以下のディレクティブに設定することができます。
<Directory>,<Location>,<LocationMatch>,<Files>,<FilesMatch>
設定例
設定後、[モジュール設定]の〔適用〕ボタン、または make reconfig コマンドで設定を適用し
てください。
---- httpd.conf ---<Directory "/var/www/html/siteguardlite_demo">
SiteGuard_ExcludeSig_With_ParamName urldecode hoge
</Directory>
この設定により、siteguardlite_demo ディレクトリについて、パラメータの名前が hoge の場合に、
URL デコードエラーによる検出が除外されます。
---- httpd.conf ---<Directory "/var/www/html/siteguardlite_demo">
SiteGuard_ExcludeSig_With_ParamName 00102001,00201011 hoge
SiteGuard_ExcludeSig_With_ParamName 00201013 fuga
</Directory>
<Directory "/var/www/html/siteguardlite_demo/test">
SiteGuard_ExcludeSig_With_ParamName clear clear
</Directory>
この設定により、siteguardlite_demo ディレクトリについて、パラメータの名前が hoge の場合に、
シグネチャ ID「00102001」と「00201011」の検出が除外されます。
また、パラメータの名前が fuga の場合に、シグネチャ ID「00201013」の検出が除外されます。
ただし、siteguardlite_demo/test ディレクトリについては、除外設定を解除します。
124
SiteGuard Lite/管理者用ガイド
親ディレクトリで指定したトラステッド・シグネチャの除外設定は、子ディレクトリに
引き継がれますが、子ディレクトリでも除外設定を行った場合、子ディレクトリは親デ
ィレクトリの設定を引き継ぎません。
例)
<親ディレクトリ>
SiteGuard_ExcludeSig_With_ParamName xss-tag-1,sqlinj-11 hoge
</親ディレクトリ>
<子ディレクトリ>
SiteGuard_ExcludeSig_With_ParamName traversal-1 hoge
</子ディレクトリ>
子ディレクトリでは、traversal-1 だけの検出が除外されます。
検出箇所が PART_PARAM_VALUE(パラメータ変数の値)の場合に、パラメータ指定で
トラステッド・シグネチャの除外ができます。
URL や PART_PARAM_NAME(パラメータ変数の名前)など、他の検出箇所の場合は、
パラメータ指定で除外することはできません。
125
SiteGuard Lite/管理者用ガイド
14.5 接続元 IP アドレスによる検査の除外
設定項目名
SiteGuard_ExcludeSig ip(IP アドレス)
IP アドレスは単一指定となり、完全一致で比較します。
(複数の IP アドレスを指定する場合は、一行ずつ、複数行で指定します。)
説明
接続元 IP アドレス指定で、検査を除外します。
clear を指定することで、上位の設定を解除することができます。
REMOTE_ADDR で取得した接続元 IP アドレスに対して、設定が有効になります。
設定箇所
httpd.conf
以下のディレクティブに設定することができます。
<Directory>,<Location>,<LocationMatch>,<Files>,<FilesMatch>
設定例
設定後、[モジュール設定]の〔適用〕ボタン、または make reconfig コマンドで設定を適用し
てください。
---- httpd.conf ---<Directory "/var/www/html/siteguardlite_demo">
SiteGuard_ExcludeSig ip(192.168.1.1)
</Directory>
この設定により、siteguardlite_demo ディレクトリについて、接続元 IP アドレス「192.168.0.1」
からのアクセスは検査が除外されます。
---- httpd.conf ---<Directory "/var/www/html/siteguardlite_demo">
SiteGuard_ExcludeSig ip(192.168.1.1)
SiteGuard_ExcludeSig ip(192.168.1.101)
</Directory>
<Directory "/var/www/html/siteguardlite_demo/test">
SiteGuard_ExcludeSig clear
</Directory>
この設定により、siteguardlite_demo ディレクトリについて、接続元 IP アドレス「192.168.1.1」
と「192.168.1.101」からのアクセスは検査が除外されます。
ただし、siteguardlite_demo/test ディレクトリについては、除外設定を解除します。
126
SiteGuard Lite/管理者用ガイド
14.6 ユーザによる検査の有効/無効
.htaccess を使用した検査の有効/無効の設定です。
.htaccess を使用した各種設定を許可する場合は、設定ファイル(conf/siteguardlite.ini)で、
以下の設定項目を yes に変更してください。
---- siteguardlite 設定ファイル(conf/siteguardlite.ini) ---htaccess_exclude_sig=yes
設定後、[モジュール設定]の〔適用〕ボタン、または make reconfig コマンドで設定を適用してく
ださい。.htaccess による各種設定が有効になります。
.htaccess での設定方法は、以下のとおりです。
設定項目名
SiteGuard_User_Enabled [on|off]
説明
off を指定すると、本製品による検査が無効になります。
.htaccess による設定の場合、ウェブ管理画面の〔適用〕ボタンや make reconfig コマンド
を実行する必要はありません。
設定箇所
.htaccess
(httpd.conf の該当ディレクトリの AllowOverride の指定が、Limit, AuthConfig, All
のいずれかに設定されている必要があります。)
設定例
---- .htaccess ---<IfModule mod_siteguard.c>
SiteGuard_User_Enabled off
</IfModule>
この設定により、該当のディレクトリについて、本製品による検査が無効となります。
---- .htaccess ---<IfModule mod_siteguard.c>
<Files ~ "demo¥.cgi$">
SiteGuard_User_Enabled off
</Files>
</IfModule>
この設定により、該当のディレクトリの demo.cgi について、本製品による検査が無効となります。
127
SiteGuard Lite/管理者用ガイド
---- httpd.conf ---<Directory "/var/www/html">
SiteGuard off
</Directory>
---- .htaccess ---<IfModule mod_siteguard.c>
SiteGuard_User_Enabled on
</IfModule>
この設定により、該当のディレクトリについて、本製品による検査が有効となります。
(特定のディレクトリだけ検査を有効にする場合の設定例です。)
全体設定,<VirtualHost>で SiteGuard [on|off]を設定している場合、.htaccess の
SiteGuard User_Enabled [on|off]の設定は、無視されます。
(全体設定,<VirtualHost>で設定した SiteGuard [on|off]の設定を優先します。)
---- 親ディレクトリの.htaccess ---<IfModule mod_siteguard.c>
SiteGuard_User_Enabled off
</IfModule>
---- 子ディレクトリの.htaccess ---<IfModule mod_siteguard.c>
<Files ~ "form¥.php$">
SiteGuard_User_Enabled on
</Files>
</IfModule>
この設定により、親ディレクトリについて、本製品による検査が無効となり、子ディレクトリにも設定
が継承されます。
ただし、子ディレクトリの form.php では、本製品による検査が有効となります。
128
SiteGuard Lite/管理者用ガイド
14.7 ユーザによるトラステッド・シグネチャの除外
.htaccess を使用したトラステッド・シグネチャの除外設定です。
.htaccess を使用した各種設定を許可する場合は、設定ファイル(conf/siteguardlite.ini)で、
以下の設定項目を yes に変更してください。
---- siteguardlite 設定ファイル(conf/siteguardlite.ini) ---htaccess_exclude_sig=yes
設定後、[モジュール設定]の〔適用〕ボタン、または make reconfig コマンドで設定を適用してく
ださい。.htaccess による各種設定が有効になります。
.htaccess での設定方法は、以下のとおりです。
設定項目名
SiteGuard_User_ExcludeSig [シグネチャ ID|シグネチャ名|urldecode|all|clear]
シグネチャ ID とシグネチャ名は、カンマ区切りで複数指定が可能です。
(一行ずつ指定することも可能です。)
説明
指定したシグネチャ ID、またはシグネチャ名による検出を除外します。
urldecode を指定すると、URL デコードエラーによる検出を除外します。
all を指定した場合は、すべてのシグネチャと URL デコードエラーによる検出を除外します。
clear を指定することで、上位の設定を解除することができます。
.htaccess による設定の場合、ウェブ管理画面の〔適用〕ボタンや make reconfig コマンド
を実行する必要はありません。
設定箇所
.htaccess
(httpd.conf の該当ディレクトリの AllowOverride の指定が、Limit, AuthConfig, All
のいずれかに設定されている必要があります。)
設定例
---- .htaccess ---<IfModule mod_siteguard.c>
SiteGuard_User_ExcludeSig xss-tag-1,sqlinj-11
</IfModule>
この設定により、該当のディレクトリについて、xss-tag-1 と sqlinj-11 の検出が除外されます。
129
SiteGuard Lite/管理者用ガイド
---- .htaccess ---<IfModule mod_siteguard.c>
<Files ~ "demo¥.cgi$">
SiteGuard_User_ExcludeSig 00102001
SiteGuard_User_ExcludeSig 00201011
</Files>
</IfModule>
この設定により、該当ディレクトリの demo.cgi について、シグネチャ ID「00102001」と「00201011」
の検出が除外されます。
---- 親ディレクトリの.htaccess ---<IfModule mod_siteguard.c>
SiteGuard_User_ExcludeSig xss-tag-1,sqlinj-11
</IfModule>
---- 子ディレクトリの.htaccess ---<IfModule mod_siteguard.c>
SiteGuard_User_ExcludeSig clear
</IfModule>
この設定により、親ディレクトリについて、xss-tag-1 と sqlinj-11 の検出が除外されます。
ただし、子ディレクトリでは、親ディレクトリによるシグネチャの除外設定を解除します。
親ディレクトリで指定したトラステッド・シグネチャの除外設定は、子ディレクトリに
引き継がれますが、子ディレクトリでも除外設定を行った場合、子ディレクトリは親デ
ィレクトリの設定を引き継ぎません。
例)
---- 親ディレクトリの.htaccess ---SiteGuard_User_ExcludeSig xss-tag-1,sqlinj-11
---- 子ディレクトリの.htaccess ---SiteGuard_User_ExcludeSig traversal-1
子ディレクトリでは、traversal-1 だけの検出が除外されます。
130
SiteGuard Lite/管理者用ガイド
14.8 ユーザによるトラステッド・シグネチャの除外(パラメータ指定)
.htaccess を使用したトラステッド・シグネチャの除外設定です。(パラメータ指定)
.htaccess を使用した各種設定を許可する場合は、設定ファイル(conf/siteguardlite.ini)で、
以下の設定項目を yes に変更してください。
---- siteguardlite 設定ファイル(conf/siteguardlite.ini) ---htaccess_exclude_sig=yes
設定後、[モジュール設定]の〔適用〕ボタン、または make reconfig コマンドで設定を適用してく
ださい。.htaccess による各種設定が有効になります。
.htaccess での設定方法は、以下のとおりです。
設定項目名
SiteGuard_User_ExcludeSig_With_ParamName
[シグネチャ ID|シグネチャ名|urldecode|all|clear] [パラメータ名]
シグネチャ ID とシグネチャ名は、カンマ区切りで複数指定が可能です。
同一のパラメータ名について、複数シグネチャを除外する場合は、一行で記述してください。
説明
パラメータ指定で、特定のシグネチャ ID、またはシグネチャ名による検出を除外します。
urldecode を指定すると、URL デコードエラーによる検出を除外します。
all を指定した場合は、すべてのシグネチャと URL デコードエラーによる検出を除外します。
clear を指定することで、上位の設定を解除することができます。
.htaccess による設定では、ウェブ管理画面の〔適用〕ボタンや make reconfig コマンドを
実行する必要はありません。
設定箇所
.htaccess
(httpd.conf の該当ディレクトリの AllowOverride の指定が、Limit, AuthConfig, All
のいずれかに設定されている必要があります。)
設定例
---- .htaccess ----
<IfModule mod_siteguard.c>
SiteGuard_User_ExcludeSig_With_ParamName all hoge
</IfModule>
この設定により、該当のディレクトリについて、パラメータの名前が hoge の場合に、すべてのシグネ
チャと URL デコードエラーによる検出が除外されます。
131
SiteGuard Lite/管理者用ガイド
---- .htaccess ---<IfModule mod_siteguard.c>
<Files ~ "demo¥.cgi$">
SiteGuard_User_ExcludeSig_With_ParamName 00102001 hoge
SiteGuard_User_ExcludeSig_With_ParamName 00201011 fuga
</Files>
</IfModule>
この設定により、該当ディレクトリの demo.cgi について、パラメータの名前が hoge の場合に、シグ
ネチャ ID「00102001」の検出が除外されます。
また、パラメータの名前が fuga の場合に、シグネチャ ID「00201011」の検出が除外されます。
---- 親ディレクトリの.htaccess ---<IfModule mod_siteguard.c>
SiteGuard_User_ExcludeSig_With_ParamName xss-tag-1,sqlinj-11 hoge
SiteGuard_User_ExcludeSig_With_ParamName sqlinj-13 fuga
</IfModule>
---- 子ディレクトリの.htaccess ---<IfModule mod_siteguard.c>
SiteGuard_User_ExcludeSig_With_ParamName clear clear
</IfModule>
この設定により、親ディレクトリについて、パラメータの名前が hoge の場合に、xss-tag-1 と
sqlinj-11 の検出が除外されます。
また、パラメータの名前が fuga の場合に、sqlinj-13 の検出が除外されます。
ただし、子ディレクトリでは、親ディレクトリによるシグネチャの除外設定を解除します。
親ディレクトリで指定したトラステッド・シグネチャの除外設定は、子ディレクトリに引き継
がれますが、子ディレクトリでも除外設定を行った場合、子ディレクトリは親ディレクトリの
設定を引き継ぎません。
例)
---- 親ディレクトリの.htaccess ---SiteGuard_User_ExcludeSig_With_ParamName xss-tag-1,sqlinj-11 hoge
---- 子ディレクトリの.htaccess ---SiteGuard_User_ExcludeSig_With_ParamName traversal-1 hoge
子ディレクトリでは、traversal-1 だけの検出が除外されます。
検出箇所が PART_PARAM_VALUE(パラメータ変数の値)の場合に、パラメータ指定でトラス
テッド・シグネチャの除外ができます。
URL や PART_PARAM_NAME(パラメータ変数の名前)など、他の検出箇所の場合は、パラメ
ータ指定で除外することはできません。
132
SiteGuard Lite/管理者用ガイド
14.9 ユーザによる接続元 IP アドレスの検査除外
.htaccess を使用した検査の除外設定です。(接続元 IP アドレス指定)
.htaccess を使用した各種設定を許可する場合は、設定ファイル(conf/siteguardlite.ini)で、
以下の設定項目を yes に変更してください。
---- siteguardlite 設定ファイル(conf/siteguardlite.ini) ---htaccess_exclude_sig=yes
設定後、[モジュール設定]の〔適用〕ボタン、または make reconfig コマンドで設定を適用してく
ださい。.htaccess による各種設定が有効になります。
.htaccess での設定方法は、以下のとおりです。
設定項目名
SiteGuard_User_ExcludeSig ip(IP アドレス)
IP アドレスは単一指定となり、完全一致で比較します。
(複数の IP アドレスを指定する場合は、一行ずつ、複数行で指定します。)
説明
接続元 IP アドレス指定で、検査を除外します。
(指定した接続元 IP アドレスからのアクセスを安全とみなします。)
clear を指定することで、上位の設定を解除することができます。
.htaccess による設定では、ウェブ管理画面の〔適用〕ボタンや make reconfig コマンドを
実行する必要はありません。
REMOTE_ADDR で取得した接続元 IP アドレスに対して、設定が有効になります。
設定箇所
.htaccess
(httpd.conf の該当ディレクトリの AllowOverride の指定が、Limit, AuthConfig, All
のいずれかに設定されている必要があります。)
設定例
---- .htaccess ---<IfModule mod_siteguard.c>
SiteGuard_User_ExcludeSig ip(192.168.1.1)
</IfModule>
この設定により、該当のディレクトリについて、192.168.0.1 からのアクセスは検査が除外されます。
133
SiteGuard Lite/管理者用ガイド
---- .htaccess ---<IfModule mod_siteguard.c>
<Files ~ "demo¥.cgi$">
SiteGuard_User_ExcludeSig ip(192.168.1.1)
SiteGuard_User_ExcludeSig ip(192.168.1.101)
</Files>
</IfModule>
この設定により、該当ディレクトリの demo.cgi について、接続元 IP アドレス「192.168.1.1」と
「192.168.1.101」からのアクセスは検査が除外されます。
---- 親ディレクトリの.htaccess ---<IfModule mod_siteguard.c>
SiteGuard_User_ExcludeSig ip(192.168.1.1)
SiteGuard_User_ExcludeSig ip(192.168.1.101)
</IfModule>
---- 子ディレクトリの.htaccess ---<IfModule mod_siteguard.c>
SiteGuard_User_ExcludeSig clear
</IfModule>
この設定により、親ディレクトリについて、接続元 IP アドレス「192.168.1.1」と「192.168.1.101」
からのアクセスは検査が除外されます。
ただし、子ディレクトリでは、親ディレクトリによる接続元 IP アドレスの除外設定を解除します。
134
SiteGuard Lite/管理者用ガイド
14.10 検出ログ・フォームログ出力先の指定
設定項目名
SiteGuard_DetectLog [検出ログファイル名]
SiteGuard_FormLog [フォームログファイル名]
説明
検出ログ、フォームログを指定したファイルに出力します。
設定箇所
httpd.conf
全体設定のほか、以下のディレクティブに設定することができます。
<VirtualHost>,<Directory>,<Location>,<LocationMatch>,<Files>,<FilesMatch>
・全体設定または、<VirtualHost>に設定した場合、ログファイルは root で作成され、
ログファイルのオープン状態が維持されます。
・<Directory>,<Location>,<LocationMatch>,<Files>,<FilesMatch>に設定
した場合、ログファイルは Apache のユーザで作成され、ログファイル出力時にオープン/
クローズします。
(Apache のユーザ権限で、書き込み可能な出力先を指定する必要があります。)
設定例
設定後、[モジュール設定]の〔適用〕ボタン、または make reconfig コマンドで設定を適用し
てください。
---- httpd.conf ---<VirtualHost *:80>
ServerName virtual.jp-secure.com
...
SiteGuard_DetectLog /home/jp-secure/virtual/detect.log
</VirtualHost>
この設定により、virtual.jp-secure.com の検出ログが/home/jp-secure/virtual/detect.log
に出力されるようになります。
---- httpd.conf ---<Directory "/var/www/html/siteguardlite_demo">
SiteGuard_DetectLog /home/jp-secure/demo/detect.log
SiteGuard_FormLog /home/jp-secure/demo/form.log
</Directory>
この設定により、sitguardlite_demo ディレクトリの検出ログ、フォームログが
/home/jp-secure/demo/detect.log, form.log に出力されるようになります。
<Directory>,<Location>,<LocationMatch>,<Files>,<FilesMatch>に設定した場合
は、デフォルトのログ出力先(/opt/jp-secure/siteguardlite/logs/http)にもログファイル
が出力されます。
このとき、全体設定,<VirtualHost>でもログ出力先を指定している場合、同時に出力されるのは
デフォルトのログ出力先ではなく、全体設定,<VirtualHost>で指定した出力先になります。
135
SiteGuard Lite/管理者用ガイド
14.11 Apache のディレクティブによる設定項目一覧
httpd.conf, .htaccess に設定できる項目、設定箇所の一覧です。
各設定項目の使用方法、詳細については、14.1~14.10 を参照してください。
設定項目名
全体設定
Directory
説
VirtualHost
※
SiteGuard
○
○
×
検査の有効/無効の指定です。
SiteGuard_Monitor
○
○
×
監視モードの有効/無効の指定です。
SiteGuard_ExcludeSig
×
○
×
指定したシグネチャ、URL デコードエラーに
.htaccess
明
よる検出を除外します。また、接続元 IP アド
レスによる検査の除外が可能です。
SiteGuard_ExcludeSig
×
○
×
ドエラーによる検出を除外します。
_With_ParamName
SiteGuard_User_Enabl
パラメータ指定で、シグネチャ、URL デコー
×
×
○
ed
検査の有効/無効の指定です。
(.htaccess)
SiteGuard_User_Exclu
×
×
○
指定したシグネチャ、URL デコードエラーに
よる検出を除外します。また、接続元 IP アド
deSig
レスによる検査の除外が可能です。
(.htaccess)
SiteGuard_User_Exclu
×
×
○
パラメータ指定で、シグネチャ、URL デコー
ドエラーによる検出を除外します。
deSig_With_ParamName
(.htaccess)
SiteGuard_DetectLog
○
○
×
検出ログの出力先の指定です。
SiteGuard_FormLog
○
○
×
フォームログの出力先の指定です。
○:設定可 ×:設定不可
※<Directory>,<Location>,<LocationMatch>,<Files>,<FilesMatch>が該当します。
検査の有効/無効(SiteGuard [on|off])と監視モード(SiteGuard_Monitor [on|off])
は、全体設定,<VirtualHost>で設定した場合、Directory の設定を無視します。
検査の有効/無効ついては、SiteGuard User_Enabled [on|off]の設定も無視されます。
(全体設定,<VirtualHost>で設定した SiteGuard [on|off]の設定を優先します。)
136
SiteGuard Lite/管理者用ガイド
15. 製品動作仕様
15.1 動作仕様一覧
本製品の動作仕様は以下のとおりです。
ウェブ管理画面
日本語 / 英語
ウェブ管理画面
20 分
セッションタイムアウト
インストーラ
rpm, tar.gz
対応ネットワークプロトコル
IPv4(RFC791) / TCP(RFC793)
対応アプリケーションプロトコル
HTTP, HTTPS
対応モード
Apache 2.2, 2.4 モジュール
パラメータ検査の対象メソッド
GET/POST
パラメータの最大検査長
パラメータの名前:300 バイト
パラメータの値:5000 バイト
利用するセマフォ
3
その他
・本製品は、HTTP 要求のみ検査を行います。
(HTTP 応答の検査は行いません。)
・要求本文が 10000000 バイト(約 10MB)を超える HTTP 要求の場合、本製品
は一時ディレクトリ(/opt/jp-secure/siteguardlite/tmp)にファ
イル保存してから検査します。(設定値の変更が可能です。)
要求本文が 10000000 バイトに満たない場合は、メモリ上に展開して検査
します。
・処理できる要求本文の最大サイズは、2000000000 バイト(約 2GB)です。
15.2 サービス・プロセス一覧
本製品では、管理インターフェース(ウェブ管理画面)の利用や管理者への通知設定などで、以下のサー
ビス・プロセスが動作します。
tomcat(java)
ウェブ管理画面用のウェブアプリケーションサーバーです。
Tomcat は java 上で動作します。
プロセス数は1個で、スレッドは複数動作します。常駐サイズは約 200MB です。
siteguardlite_notify
管理者への各種通知メールの送信やアクセス頻度判定の管理などを行うプロセスです。
137
SiteGuard Lite/管理者用ガイド
16. パラメータの検査
本製品は、以下の仕様でパラメータ(名前、値)の検査をします。
16.1 クエリストリングの検査
URL 全体の"?"以降について、「=」をパラメータの名前と値の区切りとし、「&」を各パラメータの区
切りとして検査します。以下に例を示します。
http://hostname/cgi-bin/demo.cgi?query1=1234&query2=abcd
query1 : パラメータの名前
1234
: パラメータの値(query1 の値)
query2 : パラメータの名前
abcd
: パラメータの値(query2 の値)
16.2 Cookie の検査
Cookie の「=」をパラメータの名前と値の区切りとし、「;」を各パラメータの区切りとして検査します。
以下に例を示します。
POST /cgi-bin/demo.cgi HTTP/1.1
Host: hostname
Cookie: cookie1=1234; cookie2=abcd
<略>
cookie1 : パラメータの名前
1234
: パラメータの値(cookie1 の値)
cookie2 : パラメータの名前
abcd
: パラメータの値(cookie2 の値)
138
SiteGuard Lite/管理者用ガイド
16.3 要求本文の検査
要求本文の「=」をパラメータの名前と値の区切りとし、「&」を各パラメータの区切りとして検査し
ます。(Content-Type が multipart, json, xml の場合を除く)
以下に例を示します。
POST /cgi-bin/demo.cgi HTTP/1.1
Host: hostname
<略>
Content-Type: application/x-www-form-urlencoded
Content-Length: 21
body1=1234&body2=abcd
body1 : パラメータの名前
1234
: パラメータの値(body1 の値)
body2 : パラメータの名前
abcd
: パラメータの値(body2 の値)
16.4 multipart の検査
HTTP 要求の Content-Type が multipart の場合、”name”に対する変数と値を取得し、それぞれパラメータ
の名前、パラメータの値として検査します。以下に例を示します。
-----------------------------7daca1230a3c
Content-Disposition: form-data; name="body1"
1234
-----------------------------7daca1230a3c
Content-Disposition: form-data; name="body2"
abcd
-----------------------------7daca1230a3c
body1 : パラメータの名前
1234
: パラメータの値(body1 の値)
body2 : パラメータの名前
abcd
: パラメータの値(body2 の値)
ファイルのアップロードがある場合(Content-Disposition:filename 変数がある場合)、変数の
値は空文字列として扱い、ファイルの中身は検査しません。
139
SiteGuard Lite/管理者用ガイド
16.5 JSON の検査
HTTP 要求の Content-Type が json の場合、ダブルクォートで囲まれた文字列とコロンを判別して、キー
と値を取得し、それぞれパラメータの名前、パラメータの値として検査します。
以下に例を示します。
{
"data": {
"data1": "abcd",
"data2": "efgh"
},
"number": 1234
}
data
data1
abcd
data2
efgh
number
:
:
:
:
:
:
パラメータの名前
パラメータの名前
パラメータの値(data1 の値)
パラメータの名前
パラメータの値(data2 の値)
パラメータの名前
ダブルクォートで囲まれた文字列が検査対象となり、数値は検査の対象外となります。
また、検査する階層は 100 を上限とし、100 を超える階層については検査を行いません。
16.6 XML の検査
Content-Type が xml の場合、要素名/属性/値/内容を判別し、「要素名と属性」をパラメータの名前、「値
と内容」をパラメータの値として検査します。以下に例を示します。
<params>
<param>
<data1>1234</data1>
<data2>abcd</data2>
<name>siteguardlite</name>
</param>
</params>
params(要素名)
: パラメータの名前
param(要素名)
: パラメータの名前
data1(要素名)
: パラメータの名前
1234(内容)
: パラメータの値(data1 の値)
data2(要素名)
: パラメータの名前
abcd(内容)
: パラメータの値(data2 の値)
name(要素名)
: パラメータの名前
siteguardlite(内容) : パラメータの値(name の値)
140
SiteGuard Lite/管理者用ガイド
<params>
<param data1="1234" data2="abcd">siteguardlite</param>
</params>
params(要素名)
: パラメータの名前
param(要素名)
: パラメータの名前
data1(属性)
: パラメータの名前
1234(値)
: パラメータの値(data1 の値)
data2(属性)
: パラメータの名前
abcd(値)
: パラメータの値(data2 の値)
siteguardlite(内容) : パラメータの値(param の値)
<, >, /, =, ", ' を判別して、「要素名」「属性」「値」「内容」を抽出します。
XML 宣言(<?xml ?>)、文書型宣言(<!DOCTYPE)、コメント(<!-- -->)は検査の対象外となります。
また、検査する階層は 100 を上限とし、100 を超える階層については検査を行いません。
16.7 JSON/XML の親子関係
JSON, XML の場合、子は親の検査結果の影響を受けます。XML の場合をもとに、例を示します。
以下のように、パラメータの名前”param”を条件としたルールを作成した場合、検査結果が適用される
範囲は、
で囲まれた範囲となります。
<params>
<param>
<data1>1234</data1>
<data2>abcd</data2>
<name>siteguardlite</name>
</param>
</params>
param を「安全」とした場合、data1, data2, name も「安全」となります。
以下のようなケースで、パラメータの名前”data”を条件としたルールを作成した場合、検査結果が適用
される範囲は、
で囲まれた範囲となります。
<params>
<param1 data="1234">siteguard</param>
<param2 data="abcd">siteguardlite</param>
</params>
141
SiteGuard Lite/管理者用ガイド
このとき、1 番目の”data”だけを対象としたルールを作成したい場合、親のパラメータ名である
”param1”を含めた条件を作成することができます。
<params>
<param1 data="1234">siteguard</param>
<param2 data="abcd">siteguardlite</param>
</params>
パラメータの名前”param1”とパラメータの名前”data”を条件としたカスタム・シグネチャを作成する
ことで、1 番目の”data”だけを検査結果の適用範囲にすることができます。
JSON, XML の場合、親と子の指定にかぎり、検査対象の[パラメータの名前] を複数使用したカスタ
ム・シグネチャが有効となります。
142
SiteGuard Lite/管理者用ガイド
17. レポートオプション
17.1 ログ解析ツールの設定
有償オプションの「レポートオプション」を活用することで、詳細なログ解析を行うこともできます。
「レポートオプション」は、汎用ログ解析ツールの Sawmill 8 を使用します。
レポートする内容や表示項目をカスタマイズする場合に有効です。
(レポートの PDF 出力には対応していません。)
レポートオプションによる解析結果の例(Sawmill 8)
SiteGuard 価格情報「レポートオプション」(http://www.jp-secure.com/cont/products/common/price.html)
Sawmill 製品情報 (http://www.jtc-i.co.jp/product/sawmill/sawmill.html)
レポートオプションの設定方法(インストール、ログ解析設定)は、本製品のダウンロードページに掲載
されている「レポートオプション手順書」を参照してください。
SiteGuard シリーズ ダウンロードページ (http://www.jp-secure.com/cont/support/download_info.html)
143
SiteGuard Lite/管理者用ガイド
18. カスタム・シグネチャ(サンプル)
本製品に組み込まれているカスタム・シグネチャ(サンプル)についての説明です。
18.1 カスタム・シグネチャ(サンプル)の導入
18.1.1 新規インストール時
本製品の新規インストールの場合、カスタム・シグネチャのサンプル(3 個)が登録されています。
すべて”無効”で登録されていますので、必要に応じて条件を編集してご利用ください。
18.1.2 製品アップグレード時
製品アップグレード時は、既存の設定を引き継ぐため、カスタム・シグネチャのサンプルは追加さ
れません。
必要に応じて、以下の手順で追加してご利用ください。
# cd /opt/jp-secure/siteguardlite/conf/waf
# cat sig_custom_sample.txt >> sig_custom.txt
18.2 カスタム・シグネチャ(サンプル)の説明
1. sample-01 パラメータ名の指定で、特定のトラステッド・シグネチャを除外する
144
SiteGuard Lite/管理者用ガイド
■説明
パラメータの名前を指定して、特定のトラステッド・シグネチャによる検出を除外します。
誤検出が発生した場合に、該当のトラステッド・シグネチャを無効にすると、すべてのアクセスに
おいて、該当のトラステッド・シグネチャによる検査が行われなくなってしまうため、検出精度に
影響が生じる危険性があります。
「トラステッド・シグネチャを除外」の動作を有効活用することで、効率良く除外ルールを作成す
ることができます。
パラメータの名前とともに、URL やパスなどを指定することもできます。(AND 条件)
■編集のポイント
項目
編集内容
除外するトラステッド・シグネチャ名
除外したいトラステッド・シグネチャ名を指定します。
条件
URL、パス、パラメータの名前、パラメータの値など、除外
するための条件を可能なかぎり詳細に指定します。
2. sample-02 頻度判定で、パスワードアタックを行う接続元をフィルタする
■説明
/login.php へのアクセスを 1 秒間に 3 回以上行った接続元 IP アドレスに対して、60 秒間接続をフ
ィルタ(遮断)します。
機械的にログインを試行するブルートフォース攻撃などの影響を低減する効果があります。
■編集のポイント
項目
編集内容
頻度判定
正常なアクセスでは発生せず、機械的なアクセスと考えられ
る範囲で指定します。
フィルタ動作時の接続拒否時間
条件に一致した接続元 IP アドレスに対して、接続を禁止する
時間を指定します。
条件
URL やパスなどの条件を指定します。
145
SiteGuard Lite/管理者用ガイド
3. sample-03 管理者からのアクセスについて、検査を除外する
■説明
接続元 IP アドレスが 192.168.1.0/24 のネットワークに属している場合、パス名/admin/への接続を
安全なアクセスとみなします。
管理者によるウェブページの編集作業などで、誤検出を回避するために有効です。
■編集のポイント
項目
条件
編集内容
URL、パス、接続元 IP アドレスなど、管理者によるアクセス
を特定する条件を指定します。
146
SiteGuard Lite/管理者用ガイド
19. よくあるご質問(カスタム・シグネチャ)
カスタム・シグネチャ作成時の「よくあるご質問」と対応に関する説明です。
質問 1.
特定のパス名を条件にして、url-php-rfi の検出を除外するカスタム・シグネチャを作成しました
が、検出を除外することができません。
回答
パス名ではなく、URL を条件にしたカスタム・シグネチャで検出を除外してください。
検出ログの例:
DETECT-STAT:WAF:RULE_SIG/PART_URL//OFFICIAL/90104002/url-php-rfi
PART_URL で検出しているシグネチャを除外する場合は、検査対象の URL を条件にしてください。
質問 2.
SiteGuard Lite を導入したウェブサーバーの前段には、リバースプロキシが配置されています。
このような環境で、特定のクライアント IP からの接続を安全とみなすカスタム・シグネチャを作成
することは可能でしょうか。
回答
可能です。
前段のプロキシが追加している X-Forwarded-For ヘッダの値(クライアント IP)を条件に、カスタム・
シグネチャを作成してください。
147
SiteGuard Lite/管理者用ガイド
20. 著作権
本製品は、以下のソフトウェアを使用または、含んでいます。
各ソフトウェアのライセンス情報はパッケージの doc/以下にあります。
詳細は Original Package の URL を参照してください。
Perl-Compatible Regular Expressions
Original Package: http://www.pcre.org/
libaes
Original Package: http://sourceforge.net/projects/libaes/
Apache Tomcat
Original Package: http://tomcat.apache.org/
Apache Portable Runtime Project
Original Package: http://apr.apache.org/
Apache Myfaces(Myfaces API/Myfaces Impl)
Original Package: http://myfaces.apache.org/core22/
Dependencies Package(Apache Geronimo-Atinject): http://geronimo.apache.org/
Dependencies Package(Apache Commons Digester): http://jakarta.apache.org/commons/digester/
JBoss Weld Servlet
Original Package: http://weld.cdi-spec.org
CDI API
Original Package: http://cdi-spec.org
Dependencies Package: http://code.google.com/p/atinject/
PrimeFaces
Original Package: http://www.primefaces.org
PrimeFaces Extensions
Original Package: http://primefaces-extensions.github.io/
Dependencies Package(Google Gson): http://code.google.com/p/google-gson/
Dependencies Package(Apache Commons-Lang): http://commons.apache.org/lang/
PrimeFaces Theme(Smoothness)
Original Package: http://www.primefaces.org/themes
148
SiteGuard Lite/管理者用ガイド
Apache PDFBox(PDFBox/FontBox)
Original Package: https://pdfbox.apache.org/
Dependencies Package(Apache Commons-Logging): http://commons.apache.org/proper/commons-logging/
JFreeChart(JFreeChart/JCommon)
Original Package: http://www.jfree.org/jfreechart/
Apache Log4J
Original Package: http://logging.apache.org/log4j/1.2/
SLF4J
Original Package: http://www.slf4j.org
JSON PATCH
Original Package: https://github.com/fge/json-patch
Dependencies Package(Jackson-CoreUtils): https://github.com/fge/jackson-coreutils
Dependencies Package(Jackson-DataBind/Jackson Annotations/Jackson Core):
http://wiki.fasterxml.com/JacksonHome
Dependencies Package(Google Guava): https://github.com/google/guava
Dependencies Package(Findbugs Jsr305): http://findbugs.sourceforge.net/findbugs2.html#jsr305
Dependencies Package(Msg simple): https://github.com/fge/msg-simple
Dependencies Package(Btf): https://github.com/fge/btf
Lombok
Original Package: https://projectlombok.org
Apache Commons IO
Original Package: http://commons.apache.org/proper/commons-io/
Apache Commons BeanUtils
Original Package: http://commons.apache.org/proper/commons-beanutils/
Dependencies Package(Apache Commons Collections):
http://commons.apache.org/proper/commons-collections/
Hibernate Validator
Original Package: http://hibernate.org/validator/
Dependencies Package(JBoss Logging): http://www.jboss.org
Dependencies Package(Classmate): https://github.com/FasterXML/java-classmate
Dependencies Package(Javax Validation API): http://beanvalidation.org
Cloning
Original Package: https://code.google.com/archive/p/cloning/
Dependencies Package(objenesis): http://objenesis.org/index.html
URL Rewrite
Original Package: http://www.tuckey.org/urlrewrite/
149
SiteGuard Lite/管理者用ガイド
MD5
RFC1321: http://www.ietf.org/rfc/rfc1321.txt
150
SiteGuard Lite/管理者用ガイド
21. お問い合わせ
本製品についてのお問い合わせ方法・お問い合わせ先は、以下のとおりです。
21.1 ウェブによる情報提供
本製品に関する情報は、以下のページで提供しています。
http://www.jp-secure.com/
21.2 購入に関するお問い合わせ
本製品の購入・ライセンス変更等に関しては、販売代理店または株式会社ジェイピー・セキュアまでお
問い合わせください。
21.3 電子メールによるサポート
本製品に関して、マニュアルやウェブページ(http://www.jp-secure.com/)で解決できない問題がある場
合は、サポートデスクまでお問い合わせください。
■お問い合わせの際に必要な情報
サポートに関するお問い合わせ時には、以下の情報をご提供ください。
• 本製品のバージョン番号、および利用している Linux/FreeBSD、Apache のバージョン
• 発生した問題の詳細な内容
• 診断情報 (diag.tar.gz)
以下のどちらかの方法で取得できます。
- ウェブ管理画面のメニューから[診断情報]を選択し、診断情報 (diag.tar.gz) をダウンロード
する。
- "cd /opt/jp-secure/siteguardlite; make diag" コマンドで作成される
/opt/jp-secure/siteguardlite/diag.tar.gz
21.4 電話によるサポート
本製品に関して電話でのサポートを受ける場合、以下の準備をしておくと迅速な対応が可能です。
• 説明をメモする準備をします。
• 問題が発生している場合は、事象を再現できる状態にしておきます。
サポートデスクの連絡先は、ご購入時に発行される「契約内容確認書」に記載されています。
151