スライド 1

Transcription

1 信頼の純国産ソフトウェア型 WAF SiteGuard シリーズ 製品概要 株式会社ジェイピー セキュア

2 ウェブサイトに対する脅威 情報セキュリティ 10 大脅威 2017( 組織 ) 出典 : 情報処理推進機構 (IPA) 1 位 標的型攻撃による情報流出 2 位 ランサムウェアによる被害 3 位 ウェブサービスからの個人情報の窃取 4 位 サービス妨害攻撃によるサービスの停止 5 位 内部不正による情報漏えいとそれに伴う業務停止 6 位 ウェブサイトの改ざん 7 位 ウェブサービスへの不正ログイン 8 位 IoT 機器の脆弱性の顕在化 9 位 攻撃のビジネス化 ( アンダーグラウンドサービス ) 10 位 インターネットバンキングやクレジットカード情報の不正利用 2

3 狙われるアプリケーションの脆弱性 インターネットからの攻撃により発生した重要インシデントの内訳 出典 : 株式会社ラック JSOC INSIGHT vol.16 WordPress RSET API 3 件 HeartBleed 4 件コマンド実行 4 件ファイルアップロード (HTTP) 6 件 DNS Amp 7 件 その他 26 件 SQL インジェクション 33 件 Apache Struts 31 件 ファイル参照 15 件 クロスサイトスクリプティング 16 件 IIS 6.0 WebDAV (CVE ) 19 件 3

4 難しい 脆弱性ゼロ 脆弱性関連情報の修正完了件数の年ごとの推移 出典 : 情報処理推進機構 (IPA) ソフトウェア等の脆弱性関連情報に関する届出状況 今四半期に修正を完了したウェブサイトのうち 35% が当該ページを削除 (65% が改修 ) 28% が修正に 90 日以上を要した 4

5 ウェブアプリケーションを守る WAF ウェブアプリケーションの脆弱性を悪用した攻撃から ウェブサイトを保護するソリューション ウェブアプリ Web Application Firewall ( ウェブアプリケーションファイアウォール ) ウェブサーバー OS ネットワーク 不正アクセス WAF WEB 被害の防止 脆弱性対策の一元化 攻撃の可視化 コストダウン 5

6 WAF の活用が有効なケース 脆弱性を修正できない 脆弱性の存在を把握しながらも運用上の理由からアプリケーションを修正できない場合が あります 脆弱性の修正と WAF を併用することで現実的かつ効果的な対策が可能です 保険的対策をしたい 情報流出等の事故が起きてしまうと 直接 間接的に莫大なコストが発生します 事前対 策として WAF を利用することで 万が一のリスクを低減することができます いますぐ攻撃を防ぎたい ウェブサイトが実害を被ると対策完了までサービスの再開は困難です ダウンタイムは機 会損失に直結します 緊急対応的な WAF の活用は迅速なサイト復旧の助けとなります 6

7 国産ソフトウェア WAF SiteGuard シリーズ ネットワーク構成を変えずに導入したい ( サイトガードライト ) 管理するサーバーを増やしたくない ホスト型 ( モジュール動作 ) できるだけシンプルに導入したい ( サイトガード ) ゲートウェイ型 ( プロキシ動作 ) ウェブサーバーと独立した構成としたい 複数のウェブサーバーを集約して守りたい 細かなカスタマイズをしたい 7

8 国内利用サイト数 No.1 の信頼性 検知精度が高いこと シンプルで判り易く手軽に導入できることがポイントになりました 質問に対するメーカーからの回答が的確で 私たちにも理解しやすかったのも好印象でした WAF の導入でレスポンスが低下し 閲覧者がストレスを感じることは避けたいと思っていましたが そうした心配は杞憂に終わりました ( 某自治体様 ) 導入からテストまでいろいろと対応していただきました 案外 そういうベンダってないんですよ そのベンダがわかってることは 当然即答で返ってくる そうでない場合の対応は ものすごく時間がかかったり 結果わからなかったり SiteGuard に関しては 非常にクイックな対応をしていただけました ( 某システムインテグレータ様 ) WAF にはアプライアンス製品が多いと思いますが あまりこだわりはありませんでした シグネチャ型の WAF 製品であるということが大きなポイントですね 処理能力に関しても ソフトウェアということもあり ハードウェア増強や並列で分散させればどうにでもなると思っていたので あまり気にはしてなかったですね ( 某サービス事業者様 ) 特殊な操作や設定なく導入できる点がポイントでした また ウェブ管理画面があり わかりやく簡単に設定できました そこに加えコスト面も理由の一つ SiteGuard Lite であれば 他社のアプライアンス製品に劣らない機能と操作性があり なおかつコストを低く抑えられました ( 某ホスティング事業者様 ) 8

9 トラステッド シグネチャ検査 パターンマッチング方式により攻撃を効率的に検出 攻撃パターンを定義したデータベース ( トラステッド シグネチャ ) を標準搭載 SQLインジェクションやクロスサイトスクリプティングなど代表的な攻撃の多くに対応 攻撃検出時は設定 ( 拒否 監視 フィルタ 安全 ) に従い通信を処理 トラステッド シグネチャの自動更新により常に最新の脅威に対応 ( 手動更新も可 ) パターンマッチにより検出 : sajfjiekakakjfkanvankakaksw-a kdkafk aksgks8s8sajka kdndankda10rihhu9237geeabb : javascript: alert(document.cookie) : javascript: alert(document.cookie) WAF WEB 実際のシグネチャデータは暗号化されています 画面は SiteGuard Lite のもの 9

10 専門家が認める防御性能 デフォルト設定で最高評価 日経 SYSTEMS 検証ラボ WAF で Web アプリの脆弱性を守れるか 大項目小項目 F 社 C 社 I 社 B 社 JPS 文字列 情報窃取 (4 パターン ) 検知漏れの有無 文字列 改竄 (3 パターン ) 数値 情報窃取 (2 パターン ) 数値 改竄 (2 パターン ) 最新の高度な攻撃 (2 パターン 過剰検知の有無 (2 パターン ) 攻撃ツールによる検証 HDSI Pangolin 10

11 新しい脅威への対応スピード ( 一部対応事例 ) 主な注意喚起 概要 SiteGuardの対応 2017 年 9 月 6 日 Apache Struts2の脆弱性 (S2-052) 2017 年 9 月 6 日 2017 年 7 月 10 日 Apache Struts2の脆弱性 (S2-048) 2017 年 7 月 8 日 2017 年 3 月 8 日 Apache Struts2の脆弱性 (S2-045) 2017 年 3 月 7 日 2017 年 2 月 6 日 WordPressの脆弱性 (REST API) 2017 年 2 月 6 日 2016 年 7 月 19 日 httpoxyの脆弱性 (CVE 等 ) 2016 年 7 月 20 日 2016 年 6 月 20 日 Apache Struts2の脆弱性 (S2-037) 2016 年 6 月 20 日 2015 年 4 月 15 日 HTTP.sysの脆弱性 2015 年 4 月 16 日 2014 年 9 月 25 日 bashの脆弱性 (ShellShock) 2014 年 9 月 25 日 2014 年 4 月 17 日 Apache Struts2の脆弱性 (CVE 等 ) 2014 年 4 月 17 日 2013 年 7 月 19 日 Apache Struts2の脆弱性 (S2-016) 2013 年 7 月 19 日 2011 年 8 月 31 日 Apacheの脆弱性 (Apache Killer) 2011 年 8 月 26 日 主な注意喚起とは対象の脆弱性に関して JPCERT/CC や情報処理推進機構 (IPA) 等の外部機関が公表する注意喚起情報を指しています SiteGuard シリーズの対応には新規シグネチャのリリースまたは既存シグネチャでの対応に関する情報提供を含みます 11

12 パラメータ数制限 管理機機能一覧 項目 SiteGuard Lite SiteGuard モジュール導入構成トラステッド シグネチャ検査 ( メーカー標準ブラックリスト ) カスタム シグネチャ検査 ( ブラック ホワイトリスト 頻度判定 ) プロキシ防御セッション管理 (URL 遷移検査 フォーム変数検査 CSRF 防御 ) ー 機Cookie 保護 ( シグネチャ検査 暗号化 secure 属性設定 ) 1 能応答ヘッダフィールド追加 削除ー URL デコードエラー検出 能マルチインスタンスー 設定配信 ー 攻撃検出時の動作設定 ( ブロック モニタリング フィルタ ) クライアントへ警告ページ送信 ( 全文日本語編集可 ) 管理者へメール通知 ( 全文日本語編集可 ) ウェブ管理インタフェース ( 日本語 英語対応 ) トラステッド シグネチャ更新設定 ( 自動 手動 ) ロギング (syslog ローカル) 2 ログ解析レポート オプション 1 暗号化および secure 属性設定は SiteGuard のみ実装 2 syslog 対応は Apache/Nginx 版のみ実装 12

13 カスタム シグネチャ検査 お客様独自の検出ポリシーを細かな条件設定で柔軟に定義 特定のサイト ページ パラメータに対するシグネチャ検査の除外設定が可能 検出時の動作によりブラックリスト ホワイトリストとして利用可能 活用例 1 活用例 2 活用例 3 活用例 4 活用例 5 不正なホスト (Host: ヘッダ ) 宛のアクセスを禁止する不正なパラメータ値のアクセスを禁止する指定したページ宛の連続したアクセス ( 高頻度 ) を禁止する指定したパラメータについて 一部シグネチャの検出を除外する指定した接続元 IPアドレスからのアクセスを安全とみなす 検査可能な項目 URL パス名 パラメータの名前 パラメータの値 接続元 IPアドレス 接続先 IPアドレス 応答メッセージ本文 要求メソッド 要求ヘッダ 応答コード 応答ヘッダ 送信ファイル名 応答メッセージ本文 応答コード 応答ヘッダは SiteGuard のみ可 検査文字列は正規表現で柔軟に記述可 画面は SiteGuard Lite のもの 13

14 防御可能な脅威と対応する機能 (1/2) 脅威対応する機能 SGL SG 1 ウェブアプリケーションの脆弱性を狙う攻撃 SQL インジェクショントラステッド シグネチャ検査 クロスサイトスクリプティングトラステッド シグネチャ検査 OS コマンドインジェクショントラステッド シグネチャ検査 ディレクトリトラバーサルトラステッド シグネチャ検査 改行コードインジェクション (HTTP ヘッダ メールヘッダ ) トラステッド シグネチャ検査 SSI インジェクショントラステッド シグネチャ検査 フォーマットストリング ( 書式文字列 ) トラステッド シグネチャ検査 PHP リモートファイルインクルードトラステッド シグネチャ検査 バッファオーバーフロートラステッド シグネチャ検査 不正な URL エンコード URL デコードエラー検出 クロスサイトリクエストフォージェリセッション管理 (CSRF 防御 ) パラメータ改ざん セッション管理 ( フォーム変数検査 ) カスタム シグネチャ検査 Xpath インジェクショントラステッド シグネチャ検査 LDAP インジェクショントラステッド シグネチャ検査 Cookie 改ざん Cookie 保護 ( 暗号化 ) クリックジャッキング応答ヘッダフィールド追加 Referer ヘッダ検査 ( カスタム シグネチャ検査 ) による限定的な対策 SGL:SiteGuard Lite SG:SiteGuard 14

15 防御可能な脅威と対応する機能 (2/2) SGL:SiteGuard Lite SG:SiteGuard 脅威 対応する機能 SGL SG 2 不正ログインの試みブルートフォース ( ログインアタック等 ) カスタム シグネチャ検査 3 システム情報や意図しないファイルの公開フォースブラウジング セッション管理 (URL 遷移検査 ) ディレクトリインデックシング トラステッド シグネチャ検査 意図しないファイルの公開 トラステッド シグネチャ検査 サーバー情報漏えい 応答ヘッダフィールド削除 4 特定ミドルウェアやOS 等の脆弱性 Slow HTTP DoS(Slowloris 等 ) タイムアウト機能 Apache Killer トラステッド シグネチャ検査 hashdos パラメータ数制限 ShellShock トラステッド シグネチャ検査 Apache Strutsの深刻な脆弱性 トラステッド シグネチャ検査 その他 特定のミドルウェアや OS 等の脆弱性を悪用する緊急度の高い攻撃にはトラステッド シグネチャ検査にて対応 15

16 クイックスタート ソフトウェアパッケージ及びスクリプト実行による簡単インストール 設定管理はウェブ管理インタフェースベース ライセンス登録後 検査機能の有効のみで防御開始も可能 画面は SiteGuard Lite のもの 16

17 テスト / 本番運用の容易な切り替え ~ 監視 URL 監視 ( 攻撃を検出しても遮断しない ) 対象としたいURLを登録 対象は正規表現で柔軟に記述可能 個別のシグネチャ設定を変更することなく 監視 / 拒否の切り替えを効率的に実施 複数サイトでの段階導入など リスクを抑えた本番運用への移行を実現 画面は SiteGuard Lite のもの 17

18 検出メール通知 編集画面 通知メールサンプル 件名 Notification of ATTACK DETECTION(MONITOR:0, BLOCK:83, FILTER:0) 本文 =============================================== Notification of ATTACK DETECTION (SiteGuard) =============================================== An attack was detected. This message is to inform the administrator about a attack. This notification, we are currently carried out in 1440-minute intervals. Action Summary: BLOCK Detection Summary: BLOCK RULE_SIG/OFFICIAL/reqform-header-noua... 2 BLOCK RULE_SIG/OFFICIAL/url-traversal Details (Max 100): =============================================== ================== SERVICE_TYPE: http STATUS: WAF DETECTION_NAME: RULE_SIG/PART_REQHEAD//OFFICIAL/ /reqform-header-noua DETECT_STR: MATCHED_STR: ACTION: BLOCK CLIENT_HOST: xxx.xxx.xxx.xxx CLIENT_ADDR: xxx.xxx.xxx.xxx SERVER_HOST: SERVER_ADDR: xxx.xxx.xxx.xxx METHOD: GET URL: CONTENT_TYPE: CONTENT_LENGTH: 0 TIME: TIME_STR: :52:46 (+0900) 18 画面は SiteGuard Lite のもの 画面はSiteGuard Liteのもの

19 設定配信 (SiteGuard Lite のみ実装 ) 1 台が親サーバーとなり設定内容を他のサーバーへプッシュ配信 複数サーバー環境で トラステッド シグネチャ カスタム シグネチャ 監視 URL 等の設定を効率的に同期可能 19

20 レポート機能 (SiteGuard Lite のみ実装 ) 攻撃を分析して 内容をグラフィカルに表現 管理画面上でダッシュボードとして表示 および PDF 形式で外部出力可能 20

21 ウェブ管理インタフェース 検出メッセージの編集 サンプル ログ参照 シグネチャ更新設定 バックアップ リストア 診断情報 画面は SiteGuard Lite のもの 21

22 運用イメージ 運用負荷を抑えて攻撃をシャットアウト SiteGuard の場合のイメージ ( 設置構成を除き SiteGuard Lite も同様 ) 22

23 安心の国産メーカーサポート スピード 自社開発製品のため すべてのご質問は弊社内でクローズいたします 結果 迅速にご回答することができます 技術レベル 開発チームに近い立場で製品を熟知したエンジニアがご回答いたします 開発者が直接ご質問にお答えすることもあります 柔軟性 ご契約状況を確認できれば お問い合わせされる方に制限はありません 内容についても できる限り柔軟に対応いたします コミュニケーション 当然のことながら日本人による日本語対応です 迅速な課題解決に向けて 正確な状況確認と明確なご回答に努めています ご購入ルートによっては販売パートナーが一次サポート窓口になることがあります 23

24 推奨動作環境 SiteGuard Lite SiteGuard 対応 OS Apache 版 Red Hat Enterprise Linux 5 / 6 / 7 CentOS 5 / 6 / 7 Ubuntu 14 / 16 Amazon Linux FreeBSD 10 / 11 x86 x64 に対応 Apache 2.2 / 2.4 に対応 Nginx 版 Red Hat Enterprise Linux 6 / 7 CentOS 6 / 7 Ubuntu 14 / 16 x86 x64 に対応 Nginx 1.10 / 1.11 / 1.12 / 1.13 に対応 IIS 版 Microsoft Windows Server 2008(x86, x64) Microsoft Windows Server 2008 R2 / 2012 / 2012 R2 / 2016 (x64) 各 OS 標準の IIS( ) に対応 Red Hat Enterprise Linux 5 / 6 / 7 CentOS 5 / 6 / 7 Amazon Linux x86 x64 に対応 CPU Intel Pentium 互換 CPU 2 コア以上を推奨 Intel Pentium 互換 CPU 4 コア以上を推奨 メモリ 2GB 以上を推奨 4GB 以上を推奨 HDD 空きが 5GB 以上 ( ログの保存期間等による ) 空きが 20GB 以上 ( ログの保存期間等による ) NIC TCP/IP 接続 100BaseT 以上 TCP/IP 接続 100BaseT 以上 備考仮想環境での動作可仮想環境での動作可 24

25 標準価格 ホスト型 WAF SiteGuard Lite ライセンス数 新規 更新 1 252, ,000 2~5 216, ,000 6~10 192,000 96,000 11~25 186,000 93,000 26~50 180,000 90,000 51~ ,000 84,000 プロキシライセンス OPEN OPEN ゲートウェイ型 WAF SiteGuard ライセンス数 新規 更新 1 1,780, ,000 金額は 1 ライセンスあたりの単価です 新規 ( 更新 ) 価格には初年度 ( 次年度以降 )1 年間の製品使用権とサポートサービスが含まれます ライセンス数はインストールする OS( 仮想環境 OS 含む ) 単位でカウントします SiteGuard Lite をプロキシ構成 で利用する場合は SiteGuard Lite プロキシライセンス のご契約が必要です 価格については別途お問い合わせください 保護対象のウェブサーバー自身にインストールするのでなく 前段のプロキシ (Apache プロキシ 等 ) にインストールして利用する構成 SiteGuard Lite( プロキシライセンス除く ) のボリュームディスカウントは Apache/Nginx/IIS 版を問わず同一契約の合計ライセンス数に適用されます アカデミック価格適用対象の場合 ( SiteGuard Lite プロキシライセンス 除く ) は新規価格が 50%OFF( 更新価格は通常と同じ ) となります [ 適用対象 ] 高等教育機関 各種大学校 初等中等教育機関 教育委員会 教育関連施設 ( 教育センター / 教育研究所 / 美術館 / 博物館 / 公民館 / 図書館等 ) 公共職業能力開発施設および職業訓練法人 大学共同利用機関 サポートサービスの内容は下記です 1) テクニカルサポート ( 電話 ) 2) 最新のトラステッド シグネチャデータのご提供 3) 最新のソフトウェアパッケージのご提供 ソフトウェアおよびマニュアル類は専用サポートサイトよりダウンロードいただきます 大規模ライセンスや クラウド ホスティング事業者様などでサービス利用を検討の際は別途お問い合わせください 25

26 実績 官公庁や金融機関をはじめ規模 業種問わず幅広い導入実績 シリーズ累計 100 万サイト超を保護 一般法人様 ( 業種別 ) サービスプロバイダ様 等 不動産 2% 建設 1% 運輸 2% 医療 福祉 1% 教育 4% 通信 メディア 5% 卸 小売 8% 金融 保険 9% 製造 11% 公共 12% サービス 25% IT 20% 26