SaaS型Webアプリケーション ファイアーウォール 『Scutum』 ネットエージェント株式会社 1 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. アジェンダ Webアプリケーション脆弱性の脅威 WAFとその問題点 Scutumのご紹介 従来のWAFとScutumの比較 導入から運用までの流れ サービスの動き方 Scutumで対応できる脆弱性 Scutumの機能 管理画面のご紹介 Scutumの信頼性 ご提供価格 導入事例 2 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. 他社との協業(脆弱性診断) ネットエージェントは、研究開発部内に専門のセキュリティ研究チームを立ち上げ、専任研究員のはせがわようすけを 筆頭に、スマートフォンやHTML5など、技術革新が速いジャンルでのWebアプリケーションに関する技術研究を進めて います。その研究成果をWebアプリケーションセキュリティのスペシャリストである株式会社セキュアスカイ・テクノロ ジーのWebアプリケーション診断サービスに取り入れ、更に強力となったサービスをご提供させて頂いております。 またセキュリティスカイテクノロジーの開発したSaaS型WAF『Scutum』の販売代理店もしております。 研究チーム お客様 お客様が当調査を選ぶ理由 ツールを使って自社で調査 をしていたが、脆弱性を発 見できなかったので フィードバック 調査結果 研究成果 調査 セキュアスカイテクノロジーとネットエージェントの Wチェックにより、2社相当の結果をご提供しております Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. Webアプリケーション脆弱性の脅威① ■サイトに内在するWebアプリケーショ ンの脆弱性 SST診断における脆弱性検出率 右図は、これまで株式会社セキュアスカイ・ テクノロジー(SST)が実施した多数の Webアプリケーション診断の結果となります。 (100社300サイトのデータ) A:2% 約70%のWebサイトで危険度の高い 脆弱性を検出 E:33% Webアプリケーション開発は、常に時間との戦い でもあり、限られた開発スケジュールの中では、 脆弱性を完全に排除することは難しいのが 現状・・・。 B:7% C:27% D:37% 評価 基準 A 脆弱性が何も検出されなかった B 危険度Lowの脆弱性を検出 C 危険度Mediumの脆弱性を検出 D 危険度Highの脆弱性を検出 E 危険度Highの脆弱性を多数検出 脆弱性を残したまま、サイトをオープンしている ケースも多い 4 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. Webアプリケーション脆弱性の脅威② 【不正アクセスによる事件の増加】 Webサイトが不正アクセスを受けて、情報の漏洩やサイトが改ざんされる 事件が数多く発生しています。 1.13年8月 大手掲示板の有料サービスで不正アクセス。顧客情報が流出。 (クレジットカード情報含む) 2.13年9月 ニュースサイトで改ざんが発生。閲覧した場合ウィルス感染の恐れ 3. 13年10月 大手コンピュータソフトウェア会社で不正アクセス。顧客情報が流出。 (クレジットカード情報含む) 4. 13年10月 大手ゲームプラットフォーム会社で不正アクセス。 顧客情報が閲覧可能な状態に 5.13年10月 自動車販売会社のWebサイトで改ざんが発生。閲覧した場合ウィルス感染の恐れ 事故を起こせば、 サービスの停止・ユーザーへの補償・信用の毀損等、 ビジネスに重大な影響を及ぼすことは避けられません。 未然に防ぐには、 • Webサイトに対する脆弱性対策のコスト • 社内に専門知識を持った担当者 が必要 5 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. WAFとその問題点 ■WAFとは WAF(Web Application Firewall): WAF(Web Application Firewall)とは、文字通りWebサイト上のアプリケーションに特化し たファイアウォールです。Webアプリケーションに穴があっても防御で きることから、非常に便利なツールと言えるが、実際は、あまり普及していないのが現状です。 ■WAFは何故普及しなかったのか ・数百万~千万円以上の導入費用と保守費用 ・導入、運用に手間がかかる ・ホワイトリストでの防御は効果的だが、運用は難しい ・インフラ、Web開発、セキュリティと様々な知識を持ったセキュリ ティエンジニアが必要 6 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. Scutumのご紹介 ■SaaS型での提供により、お客様のシステムを変えず、SST社で全て運用 従来型WAFの課題を克服するために、Scutumではそのサービス形態をSaaS型としました。 セキュアスカイ・テクノロジー社(SST)が管理するScutumセンターを経由する形でWebアプリケーションファイアウォールの 機能を提供いたします。 お客様 SaaS型WAF 『Scutum』 ○お客様の通常の通信は 妨げません。 お客様側のシステムの 変更は不要です! 攻撃者 ×SQLインジェクション等の 個人情報搾取 ×情報流出 攻撃者 ×サイトの改ざん 運用、保守、シグネチャ更新は、 全てセキュアスカイ・テクノロジー社が行います 7 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. 従来のWAFとScutumの比較 Scutumのコンセプトはシンプル お客様の手間をかけず、高い効果を実現します。 従来の一般的なWAF (アプライアンス型/ソフトウェア型) Scutum (SaaS型) 防御モデル ホワイトリストとブラックリストの両方を利用するこ とができ、高いセキュリティ要求にも対応可能 ブラックリストを使ったシグネチャモデルのみを採用し、 サイトの構成変更にも柔軟に対応可能。 導入費用 機器購入費用、保守費用、設計・構築費用など高価な 初期費用が発生する。年毎に機器の保守費用、設定変 更時にメンテナンス費用がかかることが一般的 初期費用:¥98,000~ 月額:¥29,800~ の低価格で すぐに利用可能な複数台の冗長構成を用意 ※ 金額はいずれも消費税別 導入作業/ 期間 サイトに合せて細かいパラメータ設定が必要で、導入 までに半年ほど掛かる場合も。運用開始後もアプリ ケーションを変更する度にWAF設定の変更が必要とな ることが多い。 お客様の導入時作業はDNSの切替だけとなるため、即座 に導入が可能。 比較ポイント 導入、運用時とも、お客様サイトのシステム構成と WAFを理解したセキュリティ専門技術者が必要。 導入、運用ともScutumのセキュリティ技術者が全て実施 するため、お客様側ではWAFの専門技術者は不要。これ まで通りのサーバ運用でOK。 スケールアウト /スケールダウ ン 機器の買い替えが必要 契約変更により対応可能。 防御ログ確認 ブロックせずに防御ログに記録するだけのシグネチャ については、誤報も含め、お客様が閲覧する管理画面 に出力されるだけという形が一般的で、その分析や対 応の実施まで標準で提供しているケースは稀 ブロックせずに防御ログに記録するだけのシグネチャに ついても、Scutum技術者が標準運用の範囲内で内容やリ スクを分析し、必要に応じて対応を行う。 誤検知対応 お客様にて現象を確認し、運用ベンダーに問合せ、 URLやパラメータ単位でシグネチャを外す運用や該当 のシグネチャを外す等の運用となり、お客様判断が必 要となる。また、シグネチャ自体をOFFにする運用と なるため、防御効果が落ちる Scutum技術者がログを確認しているので、誤検知が発 生した場合、通常Scutumから連絡する形となる。また、 誤検知によるシグネチャ調整は、お客様個別のシグネ チャ自体を書き換える運用となるため、防御効果を極力 落とさない運用が可能。 セキュリティ 技術者 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. 8 導入から運用までの流れ お客様側で最低限必要な作業は、赤字部分のみです。 1 2 お客様側の流れ ネットエージェント・SST側での作業 ヒアリングシートのご記入 Scutumの設定 (3営業日) お試し利用(host テスト) お試し利用方法のご案内 管理画面利用方法のご案内 ・サイトのURL ・サイトのトラフィック情報 ※まずはお客様サイトのサービスに影響のない範囲で、 「Scutum」の利用を実感して頂きます。 3 SSL証明書/秘密鍵のご準備 ※証明書をご準備頂き、 管理画面よりアップロードして頂きます。 Scutumにお客様固有のSSL証明書を設定 (3営業日) 4 DNSの変更 DNS変更情報のご案内 5 ※正常通信の誤検知を避けるため、 まずはブロックしない運用でスタートします。 ※必要に応じてシグネチャを書き換えます。 6 防御開始 SST側にて24時間365日の運用窓口を提供 モニター運用の開始 正常通信の誤検知調整 9 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. サービスの動き方1 DNSの設定変更を実施することにより、「Scutum」経由での接続を実現しま す。 万が一「Scutum」に障害が発生してもすぐに冗長化されたScutumが立ち上が る仕組みになっています。 【Scutum導入前】 1)www.sample.comの場所を確認 【お客様DNS】 www.sample.com 10.1.2.3 【Webサイト】 2) 10.1.2.3と回答 お客様 3) 10.1.2.3にアクセス 10.1.2.3 www.sample.com 10 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. サービスの動き方2 DNSの設定変更を実施することにより、「Scutum」経由での接続を実現しま す。 万が一「Scutum」に障害が発生してもすぐに冗長化されたScutumが立ち上が る仕組みになっています。 【Scutum導入後】 1) www.sample.comの場所を確認 【お客様DNS】 www.sample.com cname:scutum.jp 【Scutum】 【Webサイト】 10.1.2.5 10.1.2.3 2) scutum.jpと回答 5)10.1.2.5にアクセス お客様 3)scutum.jpの場所を確認 【SST社DNS】 4)10.1.2.5と回答 www.sample.com scutm.jp 10.1.2.5 11 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. サービスの動き方3 DNSの設定変更を実施することにより、「Scutum」経由での接続を実現します。 万が一「Scutum」に障害が発生してもすぐに冗長化されたScutumが立ち上が る仕組みになっています。 【Scutum障害発生時】 3) www.sample.comの場所を確認 【お客様DNS】 www.sample.com cname:scutum.jp 1)障害発生!! 10.1.2.5 【Scutum】 【Webサイト】 10.1.2.6 10.1.2.3 4) scutum.jpと回答 7)10.1.2.6にアクセス お客様 5)scutum.jpの場所を確認 【SST社DNS】 6)10.1.2.6と回答 scutm.jp 10.1.2.6 www.sample.com 2)DNS切り替え 12 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. Scutumで対応できる脆弱性 ■防御できる攻撃 攻撃 区分 認証 クライアント側 での攻撃 クロスサイト スクリプティン グ 攻撃 名称 総当たり クロスサイトリ クエストフォー ジェリ コマンドの実行 情報公開 バッファ オーバーフロー 書式文字列攻撃 ディレクトリ インデクシング OSコマンド インジェクション LDAPインジェク ション 情報漏洩 SQLインジェク ション SSIインジェクショ ン パス トラバーサル Xpathインジェク ション リソースの位置を 推測 マルウェア 対策 ガンブラー (Gumblar)によ るウィルス拡散 その他 ・シグネチャ更新 ・新しい脆弱性にも随時シグネチャを更新して対応。 →パスワードリスト攻撃への抑制機能を搭載!(new!) Apache Struts の脆弱性をついた攻撃をブロック可能!(new!) ・開発者が日本人 ・開発者が日本人であることから、様々なトラブルへの迅速な対応 が可能なほか、マルチバイト特有の特性にも柔軟に対応 ・SQLインジェクションについて ・大きな被害をもたらすことが多く、発生頻度も高い、SQLインジェクションについては、専用の検査エンジンを搭載し、 特にきめ細やかな対策を実装。 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. 13 Scutumの機能 ■Scutumで標準的に提供する機能 基本的にお客様は何もしなくていいサービスとなっておりますが、赤色部分はお客様にて設定が 可能です。 項目 内容 1 防御機能 あらかじめ登録されている不正な通信パターンを検出した場合、該当通信を遮断する機能。 2 モニタリング機能 あらかじめ登録されている不正な通信パターンを検出した場合、該当通信を記録する機能。 (通信自体は遮断されません) 3 WAF機能 ON/OFF 設定 不正な通信を遮断するモードとモニタリングするモードとの変更を行なう。 4 防御ログ閲覧 防御/モニタリングしたログを一覧と詳細で確認することが可能。防御ログをダウンロードすることも 可能。 5 ソフトウェア更新 機能 Scutumの防御機能等を向上させるため、ソフトウェアを更新する機能 6 シグネチャ更新機能 防御効果の工場を図るため、不正な通信パターンを随時最新の状態に更新する機能 7 特定URL除外機能 防御機能が不必要なWebページを防御対象から除外する機能 8 レポート機能 下記の内容を管理画面(Webブラウザ上)で報告する機能。 ・統計機能(攻撃元、攻撃種別、アクション) ・攻撃元、攻撃種別の上位集計(過去30日間の攻撃元/攻撃種別のTOP5を表示) 9 IPアドレス拒否機能 特定のIPアドレスからの通信を拒否する機能 SSL通信機能 暗号化された通信においても解読し、防御する機能。 10 14 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. 管理画面のご紹介~ログ一覧表示 日時 :攻撃のあった日時を示します。 IPアドレス :攻撃元IPアドレスを示します。 URL :攻撃を受けたURLを示します。 分類 :攻撃種別を示します。 ブロック :ブロックをしたかモニタリングをしたかを示します。 ○が表示されていた場合がブロックしたものとなります。 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. 15 管理画面のご紹介~ログ詳細示 実際のhttpリクエスト の内容が表示されま す。 ※ブロックをしなかっ たログについては、レ スポンスの内容も表示 される形になります。 16 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. ■耐障害性 Scutumの信頼性① インフラ • サーバ、スイッチ、回線等、すべての要素を冗長化 インターネット回線 • 利用回線の使用率がピークで約50%を超えた段階で回線 の増強を実施 サービス監視 • ハードウェアの死活監視、ソフトウェアのリソース監視、 ネットワーク監視を24時間365日で実施 17 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. Scutumの信頼性② ■運用体制 サポート窓口 •24時間365日のサポート窓口を用意 ログ監視 •攻撃を検知し、影響が大きいと判断した場合はお客様に連絡 •誤報を極小化するために、検出ログを確認 新しい脆弱性に対応 •新しい脆弱性情報が公開された場合、Scutumで対応可能な 場合は即座に防御シグネチャを開発 18 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. ご提供価格 ■基本料金 ピーク時のトラフィッ クの目安 ■オプション料金 初期費用 ~500kbps 500kbps~5Mbps ¥98,000 5Mbps~10Mbps ¥59,800 (15,000pv/1日~ 100,000pv/1日) ¥128,000 10Mbps~50Mbps ¥148,000 50Mbps~ 100Mbps 100Mbps以上 適用可能ホスト数 (FQDN数) ¥29,800 (~2000pv/1日) (2,000pv/1日 ~15,000pv/1日) 月額費用 ¥198,000 ¥198,000 個別お見積 1 オプション内容 ご提供費用 SSL利用ホスト追加 1FQDN追加につき¥10,000/月 月次報告書 1FQDNにつき¥20,000/月 10 個別ご提案 ■留意事項 • • • • • 2FQDN以上でSSLを利用になる場合はオプション料金が必要です。 算定基準は、あくまで目安となります。実際のご利用状況によって異なることがございます。 金額は標準価格(税別)です。別途消費税が加算されます。 pv数はあくまで概算です。契約単位は、ピーク時の平均トラフィック単位となります。 ピーク時のトラフィックが契約時より上昇したことが確認できましたら、契約のアップグレードをお願いいた します。 19 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. 導入事例1【教育関連企業 1. 導入目的: 2. 環境: 3. アプライアンスのWAFを選ばなかった理由: 4. Scutumの導入を決めた理由: ECサイト】 eラーニング用の教材をECサイトで販売していたが、不正アクセスされた形跡を検知。不正アクセスに対抗できるソリューションを探していた。 Webサーバは全て、データセンターA社にホスティングしている。 しかし、最近担当者が変わってサービスレベルが低下したため、B社への乗り換えを検討している。 ① ② ③ ① ② 初期導入費用が高すぎる。 現在、クラウド環境上で新しいサービスを展開する企画が動いている。しかし、アプライアンスのWAFでは、クラウド環境には対応できない。 不正アクセスが多く発生していることから、アプライアンスでは、監視のために担当者を専任して張り付かせておく必要があるが、その担当者 のリソースを確保できない。 上記3点のアプライアンスのWAFの弱点を全てクリアーしている。 今後サービスレベルや価格に応じて、最もよりよいデータセンターを選定して、柔軟に移動できるようにしておきたい。Scutumであれば、こ うしたデータセンター間の移動を構築費をかけることなく、実施できる。 IDC A社 SaaS型WAF 『Scutum』 IDC B社 お客様 20 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. 導入事例2【小売業 ECサイト】 1. 導入目的: 店舗型販売がメインであったが、EC事業立ち上げに伴い、セキュリティ対策をどうすればいいか悩んでいた。 2. 環境: 新たにクラウド環境にECサイトを構築した。 3. アプライアンスのWAFを選ばなかった理由: ① 新たな立上げとなる為、初期費用を抑えたかった。アプライアンスでは、初期導入費用が高すぎる。 ② アプライアンスのWAFでは、クラウド環境には対応できない。 ③ EC事業の拡大に伴い、機器の買い替えが発生すると再度コストが発生してしまう。また、もしEC事業から撤退するなどがあった 場合については、購入した危機が無駄になる。 4. Scutumの導入を決めた理由: ① 上記3点のアプライアンスのWAFの弱点を全てクリアーしている。 ② Scutumでは、運用を全て任せられるというメリットも大きかった。 ③ EC事業の拡大、縮小に合わせ、契約変更だけで対応できることも魅力となった。 【アプライアンス型WAF】 SaaS型WAF 『Scutum』 お客様 【クラウド環境で展開したECサイト】 21 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. 導入事例3【芸能関連サイト、チケット販売サイト等】 1. 導入目的: 2. 環境: 3. アプライアンスのWAFを選ばなかった理由: 4. 現在、アプライアンスのWAFを導入しているが、運用費用が高いことと、クラウド移行を計画している為、サービス型WAFを探していた。 ハウジング環境にアプライアンスのWAFを導入していたものから、新たにクラウド環境にECサイトを構築しScutumを採用した。 ① ② ③ WAFを自社で運用することが困難であったため、運用サービスを別途契約していたが、高コストであった。 アプライアンスのWAFでは、クラウド環境に対応できなかった。(ハウジング環境から、クラウド環境に移行したことにより、コスト減と利便 性の向上も図れた。) 複数のクラウド環境を利用することを計画していたが、アプライアンスのWAFでは環境ごとに機器を購入する必要があった。 Scutumの導入を決めた理由: ① ② ③ サービス型のWAFで、調査をしたところ、一番実績があったこと(シェア70%以上)と、シグネチャの更新だけでなく誤検知対応などの運用も サービス費用に含まれていた。 コストメリットも大きく、ハウジングからクラウド環境への移行も含めると半額程度となった。 1つのクラウド環境に依存することなく、複数のクラウド環境であっても、FQDN単位で契約することが可能だった。 IDC SaaS型WAF 『Scutum』 【アプライアンス型WAF】 お客様 【複数のクラウド環境で展開したECサイト】 22 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved. お問い合わせ 【営業窓口主担当】 ネットエージェント株式会社 営業部 Tel:03-5625-1246(直通) Fax:03-5625-9008 Mail:[email protected] URL:http://forensic.netagent.co.jp/index.html 23 Copyright Ⓒ 2014 NetAgent Co,Ltd ALL Rights Reserved.
© Copyright 2026 Paperzz
