7.8. Webセキュリティ(WAF)

 Webセキュリティ(WAF)は、Enterprise Cloud上の仮想サーバーの中で、Webアプリケーションサーバーに対する不正アクセスや攻撃通信などのセキュリティ脅威を検知/防御するサービスです。
../../_images/image264.png
 本サービスは、リバースプロキシサーバーとして動作します。Webセキュリティ(WAF)が、クライアントからの通信を受信し通信を検査した後に、お客さまWebサーバーへ送信します。

7.8.1. 利用できる機能

 Webセキュリティ(WAF)では以下の機能を利用できます。
機能 概要
WAF機能 HTTP/HTTPS通信の攻撃通信の検知/防御機能
IP reputation機能 脅威の発生源情報による防御機能

注釈

  • 検知状況は、弊社が必要と判断した場合に、Emailなどで通知されます。セキュリティWebポータルで通知先のEmailアドレスが設定可能です。(初期状態では、Emailアドレスが登録されていない為、希望される方は設定して下さい。)
ルーティング設定
※ 本項では統合ネットワークアプライアンスをINAと表記します。
../../_images/image266.png
  • Web通信を検査するには、vファイアウォール/INAで、検査対象のWebサーバーへの通信をWebセキュリティ(WAF)のバーチャルサーバー宛に通信するように設定して下さい。
  • Webセキュリティ(WAF)からWebサーバーへの通信設定は、セキュリティポータル上で、Webセキュリティ(WAF)のリアルサーバーの設定を実施して下さい。
  • Webセキュリティ(WAF)の監視のため、vファイアウォール/INAとWebセキュリティ(WAF)を直接接続するための追加サーバーセグメントが必要です。
プランと解析処理量
プラン トラフィック処理能力 構成
Entry 最大 50 Mbps 上り/下りの合計値、ベストエフォートです。
Compact 最大200 Mbps
Large 最大400 Mbps

重要

  • Webセキュリティ(WAF)のプランは、お申込み時に指定いただきます。開通後、Entry、Compact、Large間でプランを変更することはできません。

7.8.2. WAF

 WAF機能は、お客様が指定したWeb通信を検査し、不正アクセスや攻撃通信を検知/防御する機能です。
 検査対象通信は以下のとおりです。
項目 内容
プロトコル HTTP/HTTPS

 詳細な機能な以下の通りです。
項目 内容
WAF機能
シグネチャベースでお客様が指定したWeb通信を検査します。
クロスサイトスクリプティング、SQLインジェクション、バッファオーバーフローなど様々なアプリケーションレイヤーの攻撃からWebサーバーを保護する。
Trust/Black IP制御機能
お客様の指定するIPアドレスの通信を制御することが可能です。
Trust IP(無条件で許可するIPアドレス)とBlack IP(無条件でブロックするIPアドレス)の指定が可能です。設定可能な登録数はTrust IPとBlack IPの合計で100個までです。
復号化機能 SSL通信を復号化して、通信を検査することが可能です。
X-Forwarded-For機能
送信元IPアドレス情報の転送が可能です。
X-Forwarded-Forアドレス情報をWebサーバー(リアルサーバー)に転送可能です。

注釈

  • 復号化機能をご利用の場合は、お客様にて証明書を準備ください。証明書の取得、更新管理はお客様の責任にて実施してください。セキュリティポータルから設定/更新が可能です。
  • PEM形式フォーマット、PKCS#12形式フォーマットのサーバー証明書が設定可能です。
イニシャルチューニングレポート
 ポリシー設定(シグネチャID毎に検知のみ/無効化への設定変更が可能)はお客様がセキュリティポータルから設定変更が可能ですが、ポリシーチューニングのアドバイスを弊社からレポートすることが可能です。
 イニシャルチューニングレポートは、1回のみのご利用となります。イニシャルチューニングレポート申請シートはセキュリティポータル上に掲載されており、必要事項を記載の上、セキュリティチケットによりご依頼下さい。

7.8.3. IP reputation

 IP reputation機能は、脅威として特定できているソースからの攻撃をブロックします。
 詳細は以下の通りです。
項目 内容
IP reputation機能
脅威の発生源情報により、該当ホストからの接続制御機能です。
脅威の分類は以下の通り。
  • DDoS:DDoS 攻撃に加担していると特定されたソース
  • フィッシング:フィッシング攻撃に加担している、あるいはフィッシング攻撃用にWebサイトをホスティングしていると特定されたソース
  • 匿名プロキシ:クライアントの本来のアイデンティティを偽装するために匿名のプロキシ経由で送信され、発信元が隠蔽されているトラフィック
  • 悪意のあるソース:有害なソフトウェアによる感染が判明しているホスト
  • スパマー:スパムを送信していることが判明しているホスト

重要

  • IP reputation機能は標準機能として動作し、機能のON/OFFはできません。

7.8.4. 注意事項

海外データセンター利用時の注意事項

  • 海外データセンター(日本以外のデータセンター)をご利用になる場合は、モニタリングで使用するため1サービスのご利用につきグローバルIPアドレスが1つ必要となります。複数サービスご利用時には、サービス数に応じたグローバルIPアドレスが必要となります。
  • また本サービスを利用する際に必要となるvFW/統合ネットワークアプライアンスに設定するNATルール(弊社が設定)は、お客様にて変更しないでください。
利用するIPアドレス

  • 本サービスを接続するサーバーセグメントにおいて、サーバーセグメントのデフォルトゲートウェイとして設定されたIPアドレスは、本サービスに割り当てることはできません。
制約事項

  • 本サービスには、vファイアウォールまたは統合ネットワークアプライアンスのご利用が必須となります。
  • 本サービスのバーチャルサーバーに割り当てるIPアドレスは、カスタマーポータルでReserved IPアドレスとして登録してください。
  • 本サービスが接続されるサーバーセグメント内におけるIPアドレス設計は、お客様の責任において実施してください。IPアドレス設計上の問題で何らかの障害が発生しても、弊社は責任を持ちません。
  • 本サービスで処理できる通信はWeb通信のみとなります。FTPやSSHなど、HTTP以外の通信は処理できません。
  • RFCに準拠していないプロトコルを使用している場合やカプセル化を使用している場合は、本サービスで処理することができません。
  • 本サービスで動作するアプライアンスはシングル構成となりますが、基盤設備は冗長構成がとられており、障害時はバックアップ用の基盤上で再起動され、5分から10分程度で切り替わります。
  • 本サービス専用のコンピュートリソースプールが必要です(プールは弊社がWebセキュリティ(WAF)のお申込み受付時に作成致します)。また、既存のコンピュートリソースプール上に本サービスを構築することはできません。
  • 本サービスが稼働するコンピュートリソースプール上に、お客様にて仮想サーバーを構築することはできません。
  • 本サービス専用のコンピュートリソースプールを拡張、または、縮小することはできません。
  • 本サービスが稼働する仮想サーバーのリソース割り当て変更は、カスタマーポータルから操作することはできません(弊社管理の仮想サーバーとして、弊社のみオペレーション可能となります。)
  • Webセキュリティ(WAF)が動作する仮想サーバーは、プライベートカタログ、バックアップサービス、VM セキュリティを利用することはできません。
  • Webセキュリティ(WAF)が提供する各機能について、完全性、正確性、お客様への利用目的への適合性を有していることについて保証するものではありません。また、Webセキュリティ(WAF)機能を構成する機器の開発元または販売元より提供される不正/攻撃通信の検知アルゴリズムの妥当性を保証するものではありません。
  • Webセキュリティ(WAF)機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。
    • Webセキュリティ(WAF)の提供を通じて得られた設定情報
    • Webセキュリティ(WAF)の制御などに関する情報
  • Webセキュリティ(WAF)機能とお客様環境との相性により起こり得る不具合、またはお客様が弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。
  • メンテナンス作業時は、作業内容により、お客様通信へ影響が発生する場合があります。お客様通信に影響が発生する作業の場合は、事前連絡した上で実施します。ただし、本サービスを提供する上で緊急を要すると弊社が判断した作業の場合は、その限りではありません。