クラウド型WAFサービス(SCSS-WAF)
クラウド型WAFサービス
悪意のあるユーザによるWEBサイトへの不正ログイン・Webハッキング・Web改ざん・情報漏洩等を防止!!
クラウド型WAF:SCSS-WAF機能詳細
どんな攻撃が防げるのか?
Open Web Application Security Project(OWASP)という、安全なWebアプリケーションやWebサービスを実現するためのツール開発やドキュメントの作成を行っているプロジェクトが、3年に一度、Webアプリケーションの脆弱性をランキングしております。
その最新の情報である、「OWASP Top 10 – 2010 The Ten Most Critical Web Application Security Risks」によるランキングは下記の内容です。
- インジェクション(SQLインジェクション、OSインジェクション等)
- クロスサイトスクリプティング
- 不完全な認証とセッション管理
- 危険な直接的オブジェクト参照
- クロスサイト リクエスト フォージェリ (CSRF)
- セキュリティ設定の間違い
- 安全ではない暗号保管
- URLアクセス制限の不備
- 安全ではない通信
- 安全ではないリダイレクトとフォワード
このOWASPはPCI-DSS(Payment Card Industry Data Standard)においても重要な位置付けで、PCI-DSS要件6.6が求めるWAF機能については、このOWASPのトップ10に入ってくる脆弱性については最低でも防御できる必要がある。との記載があるほどです。
SCSS-WAFは実装されている26のルールによってOWASPのトップ10であげられているような脆弱性に対し、確実に防御することが可能となります。
まず、SCSS-WAFが実装するルールについて、どのような攻撃が防げるのかについては下記表を参照してください。また、これらのルールがどのようにOWASPに対応しているのかについてはその次の表にまとめました。
【クラウド型WAF:SCSS-WAFのルールと防御内容】
番号 | ルール名 | 詳細 |
---|---|---|
1 | Buffer Overflow | アプリケーションが予想以上のデータ値を送信し、予想外の誤動作をおこさせる。または、悪意のあるコマンドを実行させることができる攻撃を防ぐためのルールです。 |
2 | CookiePoisoning | Cookieを改ざんすることで特定アカウントに対するアクセス権限を取得したり、Cookieを盗むことでID、暗号、認証なしでユーザーアカウントを取得することが可能となることを防ぐためのルールです。 |
3 | Cross Site Scripting | 悪意のあるスクリプトコードをウェブページ、ウェブ掲示板、メール等に含ませることでユーザー側で悪意のあるスクリプトを実行させる攻撃を防ぐためのルールです。 |
4 | Directory Listing | ユーザーから送信されたリクエストに対し、ウェブサーバ上でそのコンテンツが存在しないとき、ウェブサーバはディレクトリ及びファイルのリストを表示することがあります。このようにフォルダやファイルのリスト表示をさせないようにするためのルールです。 |
5 | Error Handling | 何らかの原因によってウェブアプリケーションでエラーが発生した場合を想定し、ウェブアプリケーションのエラー表示を吸収して利用者へその内容を表示させないようにするためのルールです。 |
6 | Extension Filtering | 悪意のあるユーザーは、情報取得のためにウェブサーバ内部のファイルに対し、外部から直接実行または表示させようとします。このようなリクエストを検知するためのルールです。 |
7 | File Upload | 悪意のあるユーザーがウェブサーバに攻撃ツールをアップロードすることに対して検知をするためのルールです。 |
8 | Include Injection | ウェブサーバへのリクエストを行う際、ファイル名を変数として使用することでコンテンツソースに悪意のあるファイルをincludeして付け加えるようにすることを防ぐためのルールです。 |
9 | Input Content Filtering | 入力した文字列をフィルタリングすることで、掲示板等への書き込みに対し、他のユーザーを不快にさせないようにするためのルールです。 |
10 | Invalid HTTP | HTTPスタンダードではないリクエスト及びレスポンス、存在していないウェブサイトへのリクエスト等の異常トラフィックを検知するためのルールです。 |
11 | Invalid URL | RFCに定義されていないURIは、ウェブサーバ、及びウェブアプリケーションのエラーを引き起こします。このようなリクエストを防ぐためのルールです。 |
12 | IP Filtering | ウェブサーバへのアクセスを行うクライアントIPに対してフィルタリングを実施し、特定の国や地域からの接続を許可及び拒否するためのルールです。 |
13 | Parameter Tampering | ウェブアプリケーションがユーザーの入力値を適切に検証しない場合、エラーが発生するか、またはウェブアプリケーションのセキュリティメカニズムを迂回してしまうことがあります。このようなことを防ぐための検知ルールです。 |
14 | Privacy File Filtering | ウェブサイトに対して文書ファイルをアップロードするとき、その文書に個人情報が含まれていかどうかを検知するためのルールです。 |
15 | Privacy Input Filtering | 掲示板などに書き込む際、その内容に個人情報が含まれているかどうかを確認し、ウェブサーバに送信されたとしても個人情報の漏えいを防ぐためのルールです。 |
16 | Privacy Output Filtering | クレジット番号などの個人情報の漏えいを遮断するためのルールです。 |
17 | Request Header Filtering | ユーザーの設定により、HTTP Request Header Fieldを限定させ、ブラウザを制限したり、または悪意のあるクライアントからのアクセスを遮断させるためのルールです。 |
18 | Request Method Filtering | HTTPリクエストで不要、または攻撃として利用される恐れのあるMethodをフィルタリングさせるためのルールです。 |
19 | Response Header Filtering | ウェブサーバからのレスポンスの中で、サーバOSの情報やウェブサーバの情報など、ユーザーに必要以上の情報を表示させないようにするためのルールです。 |
20 | SQL Injection | ウェブアプリケーションに強引にSQL文をインサートし、内部データベースのデータ漏えい及び改ざんを防ぐためのルールです。 |
21 | Stealth Commanding | ウェブアプリケーションがHTTPリクエストにより情報を表示するときに、攻撃者が悪意のあるコマンドをこの情報に含ませることができます。これによって悪意のあるコードが実行されることを防ぐためのルールです。 |
22 | Suspicious Access | ワームやハッキングスクリプト、セキュリティスキャンツールなどの自動化された攻撃ツールからのアクセスをコントロールするためのルールです。 |
23 | Unicode Directory Travarsal | 開発者が予想できなかったディレクトリ及びファイルを指定し、その内容を確認することによって、管理者のIDやパスワード、DBMSサーバへのアクセスに使用される情報、ソースファイル等の機密情報が漏えいするのを防ぐためのルールです。 |
24 | URI Access Control | 管理者のみが使用できるページに対するアクセスを制限させるためのルールです。 |
25 | Website Defacement | ウェブページの改ざんを検知し、利用者に迷惑をかけないようにするためのルールです。 |
26 | User Defined | ユーザーの環境に合わせた条件を任意に追加することができるパターン登録型のルールです。 |