WH

ITE PA

PER

:

powered by Symantec

White Paper

WAF(Web Application Firewall)導入ガイドWAF の選定から導入・運用まで

White Paper : WAF(Web Application Firewall) 導入ガイド

2

Copyright ©2014 Symantec Corporation. All rights reserved.　Symantec と Symantec ロゴは、Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の登録商標または商標です。

合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行っています。ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、（明示、黙示、または法律によるものを問わず）いかなる種類の保証も行いません。合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれる誤り、省略、または記述によって引き起こされたいかなる（直接または間接の）損失または損害についても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサイトセキュリティは、本書に記述されている製品またはサービスの適用または使用から生じたいかなる責任も負わず、特に本書に記述されている製品またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します。本書は、本書の読者に対し、本書の内容に従って作成された機器または製品の作成、使用、または販売を行うライセンスを与えるものではありません。最後に、本書に記述されているすべての知的所有権に関連するすべての権利と特権は、特許、商標、またはサービス ･ マークの所有者に属するものであり、それ以外の者は、特許、商標、またはサービス ･ マークの所有者による明示的な許可、承認、またはライセンスなしにはそのような権利を行使することができません。

合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を持ちます。

White Paper : WAF(Web Application Firewall) 導入ガイド

3

CONTENTS

はじめに 4

1 WAF の選定 4

1.1. WAF の提供形態 4

1.2. WAF 選定のポイント 4

2 WAF の導入 9

2.1. 導入の流れ 9

2.2. 事前準備 9

2.3. トライアル 9

2.4. モニター・チューニング 10

3 WAF の運用 11

3.1. 運用のポイント 11

3.2. 運用の注意点 11

4 WAF による脆弱性対策の効果 12

4.1. WAF の効果 12

4.2. シマンテックの取り組み 12

White Paper : WAF(Web Application Firewall) 導入ガイド

4

はじめに

ウェブサイトに対する攻撃が増えつつある一方、ウェブサイトの脆弱性対策は対応が遅れています。脆弱性診断を行うベンダーの発表※ 1 では、過半数のウェブサイトに脆弱性があることが指摘されていますが、それらの脆弱性への対策はハードウェア・OS・ソフトウェア・ミドルウェア等のセキュリティパッチの適用が必要です。

しかし、セキュリティパッチの適用は、運用中のシステムへの影響の確認のために遅れる事を耳にします。また、システム開発の契約によってはパッチを当てると動作保証外になることもあり、脆弱性が放置されることもしばしばです。さらに、ウェブアプリケーションで脆弱性が見つかった場合、アプリケーション の改修が必要になります。そうなると開発期間もコストも都度必要になります。

そこで、システム自体にパッチを当てたり、改修をしなくても対策が行えるウェブ・アプリケーション・ファイアウォール（以下「WAF」）が注目を浴びるようになっています。WAF をシステムの前面に配置して、脆弱性を狙った攻撃が行われた場合に WAF 側で守る手法です。

WAF を導入すると新たな脆弱性が見つかる度に対策をする必要がなくなる一方、WAF の導入・運用について注意、考慮すべきことがあります。この資料は WAF の導入・運用の手引きとしてまとめました。ウェブサイトの脆弱性対策の一助になれば幸いです。

1 WAF の選定

1.1. WAF の提供形態

WAF には、大別して３パターンの製品があります。お客様の環境に適した製品・サービスを選定ください。

▪▪ アプライアンス型製品

- ハードウェアの WAF 専用の機器を導入

▪▪ ソフトウェア型製品

- ウェブサーバに WAF のソフトウェアをインストール- 専用サーバに WAF のソフトウェアをインストール

▪▪ サービス型製品

- サービスとしてクラウドなどで提供されている WAF を利用

1.2. WAF 選定のポイント

WAF 導入の際には、自社のシステム要件や業務条件に適した製品・サービスを選択する必要があります。導入を検討する際の検討ポイントを 6 項目にまとめました。

１） ネットワーク構成の変更

ネットワーク上に新たに機器・サービスを設置・導入する必要がある為、WAF を導入した場合のネットワーク構成やネットワーク各種機器の設定を検討する必要があります。

提供形態 検討事項

アプライアンス型 • ネットワーク上のどこに設置するかを検討ください。設置場所や設定によりネットワーク上での見え方や動作が変わります。

• 機器ベンダー、サービスプロバイダー、ネットワーク管理部署との調整を行ってください。

ソフトウェア型 • ウェブサーバにインストールする場合、ネットワーク構成を検討する必要はありませんが、インストールした際のサーバの負荷などの影響を確認ください。

• 専用機を用意する場合は、アプライアンスと同様にネットワーク上での設置方法や設定方法を考慮ください。

• 同じ機器にインストールされているOSやアプリケーション、サービスに影響がないか確認ください。

サービス型 • 基本的にネットワーク構成を変更する必要はありませんが、DNSを変更してください。

※ 1： 脆弱性診断を行っているセキュアスカイテクノロジーによると、同社が診断を行った約 70％のウェブサイトで重大な脆弱性が発見されている。 https://www.symantec.com/ja/jp/page.jsp?id=waf-vulnerabilities-risks

White Paper : WAF(Web Application Firewall) 導入ガイド

5

インターネット ファイアウォール ウェブサーバ

WAF導入前の構成例

インターネット ファイアウォール ウェブサーバ

プロキシ型のWAF導入例

WAF

インターネット ファイアウォール ウェブサーバ

ブリッジ型のWAF導入例

WAF

▪▪ ソース元 IP を利用したアクセス制限

WAF のサービス形態に関わらず、お客様のシステムで IP アドレスによるアクセス制限を掛けている場合は、WAF を経由してもクライアントのソース元 IP アドレスを認識できるようにする必要があります。（WAF 側で、ソース元 IP アドレスのアクセス制限を掛ける方法もありますが、ベンダー側で別途費用が発生することもあります。また、ソース元 IP アドレスが変わらないブリッジ ( アクセス透過 ) 型の仕組みを用意している製品もあります。ブリッジ型の利用には制限が伴う場合があるので製品のベンダーへお問い合わせ下さい。）なお、GoogleAnalytics のようなビーコン型の解析ツールはソース元 IP アドレスを利用していないので、WAF 導入による影響はありません。

プロキシ型の WAF の場合、本来のアクセス元 IP アドレスは、HTTP ヘッダ内に以下のような形で埋め込んで送るのが一般的です。その場合、ウェブサーバソフトウェアの設定を変更して対応ください（右枠内の「【ヒント】　ウェブサーバソフトウェア設定方法について － ネットワーク動作編 －」もご参照ください）。

X-Forwarded-For: xxx.xxx.xxx.xxx（ソース元IP）

▪▪ ソース元IPアドレスを利用したロードバランシング

ロードバランサーによってはソース元 IP アドレスを利用して最後の桁が偶数、奇数でロードバランシングをしていることがあります。その場合、ソース元 IP アドレスが WAF からの接続に変更されると、ロードバランサーが機能しなくなります。この場合にも、前項同様、ソース元 IP アドレスを認識できるように変更するか、ロードバランシングの方法をラウンドロビンに変更する必要があります。

【ヒント】ウェブサーバソフトウェア設定方法について※ 2

－ ネットワーク動作編 －ウェブサイトでソース元 IP アドレスを利用してアクセス制限を掛けていたり、ロードバランシングをしていることがあります。一般的に普及している Apache と IIS について、x-forfarded-for への設定変更方法をまとめます。

・Apache の場合

Apache 定義ファイルの変更が必要となります。設定方法としては、以下があります。

=========SetEnvIf X-Forwarded-For "許可したいIPアドレスを正規表現を利用して指定"is_x-f-f=1 SetEnvIf Remote_Addr “WAFのIPアドレスを正規表現を利用して指定"is_allowip SetEnvIf is_allowip "^$" !is_x-f-f order deny,allowdeny from allallow from env=is_x-f-f=========

・IIS の場合

Microsoft 社や F5 社が x-forwarded-for 用の dll を提供して い ます。「x-forwarded-for microsoft」 や「ISAPI Filter」で検索してご利用ください。

※ 2： ここではシマンテック クラウド型で通常提案している方法を例に挙げています。ウェブサーバソフトウェア側の変更や WAF 毎に対応法に違いがあることがあります。詳細はウェブサーバソフトウェアや WAF のベンダーにお問い合わせください。

White Paper : WAF(Web Application Firewall) 導入ガイド

6

２） ウェブアプリケーションへの影響確認と調整

ソース元 IP アドレスを利用しウェブアプリケーションなどで以下のような処理や表示を行っている場合はご注意ください。本来のソース元 IP アドレスは、WAF により前項同様、HTTP ヘッダ内のX-Forwarded-For に追記することが一般的です。

▪▪ アクセス解析▪▪ ソース元 IP アドレスを利用したウェブアプリケーション (IP ジオロケーションなど )

本来のアクセス元 IP アドレスは、前項同様、HTTP ヘッダ内のX-Forwarded-For に追記されることが一般的です。

【ヒント】ウェブサーバソフトウェア設定方法について※ 2

－ ログ・アプリ動作編 －ウェブサーバへのアクセスログやそのログを利用して解析を行うアプリケーションがある場合、ログの取得方法を変更します。一般的に普及している Apache と IIS についてx-forwarded-for への設定変更方法をまとめます。

・Apache の場合

設定ファイルのログフォーマットのホスト IP を指定する %hを、%{X-Forwarded-For}i に変更します。

– ( 修正前 )

LogFormat "%h %l %u %t \"%r\" %>s %b" common

– ( 修正後 )

# LogFormat "%h %l %u %t \"%r\" %>s %b" commonLogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b" common

・IIS の場合

Microsoft 社や F5 社が x-forwarded-for 用の dll を提供しています。「x-forwarded-for microsoft」や「ISAPI Filter」で検索してご利用ください。

３） 正常通信の誤検知とシグネチャ調整

▪▪ WAF は通信を機械的に検査するが故に、間違って正常通信を遮断しないよう確認する必要があります。この作業を自社で実施するか、導入ベンダーに依頼するかを検討ください。

▪▪ 誤検知が発生した場合、セキュリティレベルを保つため、シグネチャの調整を行うことが必要です。この調整への対応がベンダー、サービスプロバイダーによって違うので確認ください。

▪▪ シグネチャの調整の作業は、WAF の導入時は当然のことながら、シグネチャの新規追加時にも行う必要があります。（シマンテック クラウド型 WAF の場合、この作業はクラウド側で行いますのでお客様の作業はありません。）

４） ブラックリストの利用 / ホワイトリストの作成

▪▪ 一般的に WAF は、ホワイトリストとブラックリストという２つの防御手法があります。ホワイトリストの作成を実施する場合、ウェブの入力項目毎にどのような設定を実施するか検討する必要があります。

▪▪ ブラックリストを利用する際には、ベンダーから提供されるシグニチャを利用することになりますが、そのシグニチャで誤検知が発生した場合の対策方法についてはベンダーに確認してください。（具体的な対応方法は、「3.2 運用の注意点」に後述します。）

防御手法 概要 メリット デメリット

ホワイトリスト

事前に定義したも の 以 外 は ブロックする

定義したものしか 通 さ な い ため、防御効果は高い

・ フ リ ー 入 力 部 分 等、定義できない箇所がある・導入、サイト更新時にチューニングが必要

ブラックリスト

登録したものをブロックする

個別のチューニングが必要無い為、導入が容易

・未知の攻撃に対応できないケースがある

White Paper : WAF(Web Application Firewall) 導入ガイド

7

▪▪ ホワイトリストでの設定を実施する場合、一度設定を行ったウェブサイトに追加開発が発生する度に、WAF の設定も調整する必要があります。追加開発毎に一からシグネチャを見直す必要が出てくるケースもありますので、実際に運用する際は、開発環境にも WAF を導入し、ホワイトリストの修正と動作確認をしてください。

提供形態 検討事項

アプライアンス型 管理画面からホワイトリストを設定できます。（ウェブサイトでの入力をブロックされるべき内容とウェブアプリケーションの攻撃手法に関して、正しい理解が必要です。）設定を依頼する場合は、別途ベンダーやサービスプロバイダに有償で依頼することが一般的です。

ソフトウェア型 同上

サービス型 基本サービスメニューでは、提供していないことがあります。（シマンテック クラウド型 WAF の場合、ご依頼に応じて有償で設定をします。）

５） ウェブサイトのトラフィック増大に伴った WAF の選択ウェブサイトへの流入が増えた（または増えることが見込まれる）場合、それに合わせ、WAF 自体の処理能力も向上させる事が必須となります。このような場合、スムーズに処理能力を向上させる方法及び、その際のコストをあらかじめ把握しておく必要があります。（投資が無駄になるので、スケールダウンの考慮も必要となります。）

提供形態 検討事項

アプライアンス型 WAF の処理能力が足りなくなった場合、追加で購入するか、処理能力の高い機器に置き換える必要があります。追加購入・設置費用とリードタイムなどを確認ください。

ソフトウェア型 WAF が導入されているサーバのスペックをあげるか、冗長化などの対策が必要です。対策のための費用とリードタイムを考慮ください。

サービス型 上位サービスに契約を切り替える必要があります。サービスプロバイダにサービス変更のフローとリードタイムを確認ください。シマンテック クラウド型 WAF の場合、停止時間を発生させず、上位サービスに切り替えることができます。

６） コストについてWAF に限らず、商品を購入するにあたり、コストは重要なポイントとなります。以下の観点でコスト比較をすることをお勧めします。

▪▪ WAF のコスト

アプライアンス型の場合、機器自体の初期購入コストが必要です。（リースなどの方法が提供されている場合もあります。）冗長化をすると台数分費用がかかります。ソフトウェア型の場合、ソフトウェアのライセンスとソフトウェアをインストールするサーバのコストなどがあげられます。サービス型では、WAF を購入、保有する行為は行わないので運用コストでカバーされます。

▪▪ 設置先のコスト

アプライアンス型の場合、純粋に追加ハードウェアが設置されるロケーション ( データセンタやサーバルーム ) のコスト ( ラックスペース、電源 ) を考慮ください。

▪▪ WAF 導入のコスト

WAF 導入時に、お客様環境に導入するために、初期設定を行う費用です。WAF のインストールや設定、保守要員へのトレーニングなどがこの費用に当たりますが、各ベンダー、プロバイダー毎に提供範囲が違いますので確認ください。

▪▪ WAF 保守のコスト（機器保守費用、シグネチャ更新費用等）

WAF の機器の保守には、アプライアンスやサーバの物理的な保守費用だけでなく、OS や WAF のセキュリティパッチの保守作業なども含まれます。さらにシグニチャを随時更新する必要があるので、その更新費用も含まれているかどうか確認してください。自社で保守を行う場合、この費用を抑えることが可能ですが、保守を行うために十分なサポートが得られるか WAF のサービスプロバイダに確認ください。

▪▪ 運用コスト

WAF を運用していく中で、誤検知が起こっていないかの確認や、攻撃のログの確認を行う必要があります。また、新たなシグネチャを更新した際などに、誤検知が発生した場合は、セキュリティレベルを極力下げずに、どのような対応を取るかを判断・実施することも重要です。この作業を自社内で実施する事が困難な場合、ベンダーに運用内容やコストを確認する必要が発生します。

White Paper : WAF(Web Application Firewall) 導入ガイド

8

▪▪ システム変更費用

WAF 導入に当たって、設置・導入費用の目安です。詳しい費用については各ベンダーにお問い合わせ下さい。アプライアンス型、ソフトウェア型では基本的に初期導入のコストに含まれることが一般的ですが、別途、ネットワークやアプリケーションへの改修などが必要な場合は別に見積もってください。

（参考データ）WAF 導入費用の目安

一般的に掛かる費用を提供形態ごとにまとめました（自社調べ、2012 年 6 月現在）。WAF の製品や案件の規模により、費用は変化しますので、詳細はサービスプロバイダにお問い合わせください。

また、シマンテック クラウド型 WAF の価格についてはウェブページでご確認ください。

https://www.symantec.com/ja/jp/page.jsp?id=waf-pricelist

提供形態 WAF ライセンス 設置先 導入初期 保守 運用 システム変更

アプライアンス型 100 万円 ～ 1 千万円程度

データセンター 費用等

100 万円 ～ 500 万円程度

年間 50 万円 ～ 200 万円程度

月額 20 万円 ～ 100 万円程度

導入コストに含まれる

ソフトウェア型 100 万円 ～ 1 千万円程度

ウェブサーバに導入する場合不要

100 万円 ～ 500 万円程度

年間 50 万円 ～ 200 万円程度

月額 20 万円 ～ 100 万円程度

導入コストに含まれる

サービス型 （シマンテック クラウド型 WAF の場合）

運用コストに 含まれる

運用コストに 含まれる

98,000 円 ～ 198,000 円

運用コストに含まれる 月額 29,800 円～198,000 円

DNS・プロキシロード バランサ設定変更のコスト

White Paper : WAF(Web Application Firewall) 導入ガイド

9

2 WAF の導入

本章では、WAF の導入プロセスと注意点をサービス型の提供形態であるシマンテック クラウド型 WAF を例に説明します。

2.1. 導入の流れ

導入時は事前準備を十分に行い、メーカー・ベンダーや社内関係部署と調整をおこなってくだい。その後、検証サイトでのトライアル、発注、チューニング、本番導入と進めてください。

事前準備 トライアルモニター結果の確認

防御開始 運用サポート

検証利用開始 本サービス利用開始

2.2. 事前準備

見積もりと準備WAF の選定が終わったら、シマンテック クラウド型 WAF ではヒアリングシートの記入をお願いしています。ヒアリングシートでは、WAF を設定するために必要なウェブサイトの FQDN（Fully Qualified Domain Name） や IP アドレス、ウェブサイトの帯域、管理サイトを設定するための管理者情報をご連絡いただき、それに対して検証用サイトの提供とお見積もりを提出しています。

【ヒント】シマンテック クラウド型 WAF のトライアルヒヤリングシートの情報を基に、シマンテック クラウド型 WAFの設定を行い、以下をご案内します。PC の「Hosts ファイル」を変更して、WAF を経由したテストを行ってください。

▪▪ 管理画面用アカウント

▪▪ Hosts ファイルを変更してのテスト方法

※ テストサイトの準備は、ヒアリングシートの回収後、3 営業日で終了いたします。

※ テスト時に、SSL サーバ証明書をインストールしていない場合、ブラウザのエラーメッセージが出ます。Hosts 型のトライアルの場合は、Hosts ファイルを書き換えた方だけに表示されるエラーですので、無視してください。DNS 型のトライアルをご希望の方は、信頼された SSL サーバ証明書を導入することでブラウザのエラーメッセージを回避できます。

2.3. トライアル

検証用トライアルを行うには、アプライアンス型、ソフトウェア型の場合、テストサイトを本番サイト以外に準備するのが一般的です。シマンテック クラウド型 WAF の場合、インターネットの経路を変更することで利用できるため、現在運用中のウェブサイトに対してサービスを阻害することなくテストすることが可能です。

トライアルで確認するポイントを以下にまとめました。

（1）ウェブサイトへの影響

▪▪「1.2. WAF 選定のポイント」でも説明したとおり、WAFをウェブサーバの前面に設置する為ソース元 IP アドレスが全てシマンテック クラウド型 WAF の IP アドレスとなってしまいます。その為、ソース元 IP アドレスを認識する設定変更が必要になる場合があります。

（2）ウェブレスポンスの確認

▪▪ WAF を導入することにより、Hop 数が増えること、不正な通信かチェックをすることから、レスポンスは低下しますが、シマンテック クラウド型 WAF では、このレスポンスの低下は体感できるレベルにならないよう工夫されています。しかし、ネットワーク環境や導入製品・サービスにより差が出る可能性もありますので、事前にレスポンスをご確認ください。特に、5MB 以上のデータのアップロード、ダウンロードやストリーミングの処理がある場合、体感速度が遅くなることがあります。それらの通信は別のサーバを経由させるなどすると負荷を軽減できます。

（3）誤検知について

▪▪ WAF のブラックリストは、正常通信の誤検知が発生しないように各社工夫がされていますが、海外のシグニチャだとブラックリストでも誤検知が発生することがあります。まずはブロックはせず、ログだけをとる設定でスタートし、正常通信を確認した上で WAF を導入ください。シグニチャの調整が出来ない場合は、シグニチャをオフにする運用になってしまいますので、その場合のセキュリティ対策をどうするかを考えておくことが必要です。

White Paper : WAF(Web Application Firewall) 導入ガイド

10

2.4. モニター・チューニング

シマンテック クラウド型 WAF の場合、サービス費用にこのモニターとチューニングの作業費用も含まれており、以下のフローにて対応致します。つまり、導入の確認は一通りのウェブサイトの動作を行っていただければ済みます。

お客様より誤検知の連絡を受ける

誤検知が発生するURLのみブロック機能をOFFにする

誤検知が発生しないようシグネチャを調整する

誤検知が発生していたURLのブロックをONにする

運用会社にて誤検知を確認する

青枠、緑枠部分は全て、当社側の作業となります。緑枠については、WAF の管理画面よりお客様にて実施して頂くことも可能です。

アプライアンス型、ソフトウェア型の WAF の場合、正常通信の誤検知が発生した場合、誰が確認して、誰がチューニングを行うのかを確認しておく必要があります。まずは WAF を入れた状態で、ウェブサイトの一通りの操作を行ってください。その際に、ブロックされる動作がないか、動作が遅くなることがないかを確認ください。

もし、動作で気になる点がある場合には、WAF を解除して再度動作確認し、WAF のベンダーやサービスプロバイダーと導入前の調整を行ってください。ウェブサイトのボリュームにより、このモニターとチューニングの作業量が変化します。またウェブサイトの特性により、時期に依存して入出力されるデータに違いがある（月次処理を行うウェブサイトなどの）場合、すべての処理をテストしてみる必要があるため、ウェブサイトのすべての機能を利用した検証をお勧めします。

ウェブサイトの正常動作が確認できたら WAF をオンにしてサイトの防御を開始します。防御に際して次章に挙げる運用に関して確認を行ってください。

White Paper : WAF(Web Application Firewall) 導入ガイド

11

3 WAF の運用

3.1. 運用のポイント

WAF は導入後にどのように運用をしていくのかが非常に重要です。特に新たな脆弱性は、OS、ハードウェア、ミドルウェア、ウェブサーバ、ウェブアプリケーションのどこで見つかるか分かりませんし、それら新たな脆弱性が見つかった際にシグニチャをすばやく導入していく必要があります。また、WAF やシグニチャが導入されたことで、導入サイトのウェブサービスの表示を妨げたり、ウェブ利用者の入力を意図せずにブロックする場合には、シグネチャの調整やウェブアプリの回収など脆弱性への対応方法を決める必要があります。

3.2. 運用の注意点

WAF の運用を行うにあたり、以下のポイントを考慮し、実施してください。

（1）防御ログの確認

▪▪ WAF には、防御を実施すると正常通信の誤検知がある攻撃手法（一部のクロスサイトスクリプティングなど）に関して、防御せずログを取得する対処方法があります。また、ブロックした攻撃はログに残します。収集されたログについては、実際に攻撃であったのか、どのような影響があったのかを確認する方法や担当を決めてください。特に特定の IP アドレスからの攻撃が頻発していたり、特定の攻撃手法を頻繁に狙われた履歴があれば、IP アドレス制御、シグネチャの追加、ウェブアプリケーションの改修など対策を検討ください。

提供形態 検討事項

アプライアンス型 管理画面からログを確認することができるが、攻撃手法に対する対策の必要性を判断するには専門知識が必要となります。随時その内容を確認するためには、別途ベンダーにご相談ください。

ソフトウェア型 アプライアンス型と同等となります。

サービス型 管理画面からログを確認することができるが、専門知識が必要となります。シマンテック クラウド型 WAF の場合、サービスの範囲内でログに誤報が無いかを専門家がチェック、削除を行います。またログの内容が不明であった場合の問合せ対応もサービス費用に含まれています。

（2）誤検知のシグネチャ調整

▪▪ 正常通信の誤検知が発生した場合、単純に該当するシグネチャを OFF にすると防御効果が落ちます。シグネチャの調整の可否をベンダーやサービスプロバイダと確認ください。

提供形態 検討事項

アプライアンス型 管理コンソールで管理者が対応するのが一般的です。ベンダーに依頼をする場合、別途費用がかかります。またメーカーにもよりますが、シグネチャ自体を調整することはできないケースがあります。その際、WAF の管理画面から、誤検知が発生したシグネチャを OFF にする運用にすると、セキュリティレベルが下がるのでご注意ください。

ソフトウェア型 アプライアンス型と同等となります。

サービス型 管理コンソールで管理者が対応するのが一般的です。（シマンテック クラウド型 WAF の場合は、運用会社で行います。また、その費用はサービス料金に含まれています。シグネチャの調整方法は、単にシグネチャを OFF にするのではなく、シグネチャ自体をお客様サイトの特性に応じて修正し、セキュリティレベルを下げないような運用をしています。）

（3）冗長化構成

▪▪ WAF を導入することにより、ウェブサイトの通信が WAFを経由しますので、WAF のメンテナンスや障害により、ウェブサイトが閲覧できなくなる可能性もあります。ウェブサイトによってはメンテナンス時間を確保できない場合は、WAF の冗長化を検討ください。また、トラブル発生時の原因を切り分けの担当や WAF のメンテナンス担当を明確に決めておく必要があります。

提供形態 検討事項

アプライアンス型 機器を複数台購入する必要があります。

ソフトウェア型 ウェブサーバにインストールしていれば、ウェブサーバを複数台とし、WAF専用のサーバにインストールしていれば、アプライアンス型と同等となります。

サービス型 サービス提供会社の内容によります。シマンテック クラウド型 WAF では標準サービスで冗長化された構成を提供します。

White Paper : WAF(Web Application Firewall) 導入ガイド

12

（4）切り離し手順

▪▪ WAF は不正と思われる通信を遮断する機能を持っております。可能性としては低いですが、この機能の誤動作により、ウェブサイトが利用できなくなることもあります。このような場合に備え、WAF を切り離す手順も確立しておく必要があります。

提供形態 検討事項

アプライアンス型 ネットワーク構成によりますが、配線の切り替えにより実施するのが一般的です。冗長構成を組んでいる場合は、副システムの正常通信の確認とシグニチャの同期を確認ください。

ソフトウェア型 ウェブサーバにインストールしている場合、設定によりWAFの機能を停止することができますが、ウェブアプリやOSなどの問題との切り分けが困難となるケースがあります。WAF専用のサーバにインストールしていれば、アプライアンス型と同等の対応が必要になります。

サービス型 DNSの変更により、お客様自身で切り離すことが可能です。

4 WAF による脆弱性対策の効果

4.1. WAF の効果

ウェブサイトの脆弱性を狙った攻撃への対策としてこのホワイトペーパーでは WAF の導入から運用までをご説明しました。ウェブサイトの脆弱性を突いた攻撃を受けた場合に大量の情報の漏洩を引き起こす SQL インジェクションやコマンドインジェクションなどのアプリケーションへの攻撃の対策を行っておくことは非常に重要で、その為にも WAF による対策は重要といえます。しかしながら、企業が運用しているシステムは、ウェブサイトだけではありません。E メールや社内向けシステムもあります。そしてそれらのシステムを狙った攻撃手法もあります。実在する有名企業や金融機関を騙る

「フィッシングサイト」やターゲット企業のシステムを様々な攻撃手法を駆使して執拗に狙うAPT 攻撃など新たな攻撃には枚挙に暇がありません。つまり、WAF を導入しただけでは、情報漏えい対策が完璧になったとは言い切れません。

4.2. シマンテックの取り組み

そこでシマンテックでは、広く普及している SSL サーバ証明書を利用中のサーバに脆弱性の診断を定期的に行う「脆弱性アセスメント」やサーバがマルウェアに感染した場合に顧客にいち早く通知する「マルウェアスキャン」を無償で実装しました。また、運用しているサーバがマルウェアに感染していなければ、Google、Yahoo!、Bing、goo など主要な検索エンジンの検索結果にて、リンクの横に「ノートン ™ セキュアドシール」が表示されます。ウェブサイトの利用者が安全にウェブサイトを利用できる環境を推進しています。

脆弱性アセスメント｢脆弱性アセスメント」は、企業が公開しているウェブサイトの脆弱性を週次で自動スキャンし、ウェブサイトの脆弱性を素早く特定します。脆弱性アセスメントは、シマンテックが販売する SSL サーバ証明書（EV SSL証明書とグローバルサーバID） に無料オプションで付与されるサービスです。

マルウェアスキャンシマンテック SSL サーバ証明書にバンドルされているマルウェアスキャンはウェブサイトを毎日チェックし、悪意のあるソフトウェア

（マルウェア）を検知し、管理者に通知します。それによって検索エンジンにブラックリスト扱いされるのを防ぎ、かつ、ウェブサイト訪問者のコンピュータが感染するリスクを軽減します。マルウェアスキャンは、シマンテック SSL サーバ証明書およびシマンテック セーフサイトに無料オプションで付与されるサービスです。

White Paper : WAF(Web Application Firewall) 導入ガイド

13

合同会社シマンテック・ウェブサイトセキュリティhttps://www.jp.websecurity.symantec.com/〒104-0028　 東京都港区赤坂1-11-44赤坂インターシティTel : 0120-707-637E-mail : websales_jp@symantec.com

Copyright ©2014 Symantec Corporation. All rights reserved.シマンテック（Symantec）、ノートン（Norton）、およびチェックマークロゴ（the Checkmark Logo）は米国シマンテック・コーポレーション（Symantec Corporation）またはその関連会社の米国またはその他の国における登録商標、または、商標です。その他の名称もそれぞれの所有者による商標である可能性があります。製品の仕様と価格は、都合により予告なしに変更することがあります。本カタログの記載内容は、2014年4月現在のものです。

シールインサーチシマンテック SSL サーバ証明書にバンドルされているシールインサーチも、シマンテックSSLサーバ証明書およびシマンテック セーフサイトに無料オプションで付与されるサービスです。実在性を確認され、上記の「マルウェアスキャン」によりマルウェアに感染していないことを確認されたサイトは、検索結果のリンクの横にノートンセキュアドシールが表示されます。

これらの機能※ 3 を SSL サーバ証明書に無償で提供することで、ウェブサイトの運用者が追加予算を取ることなく脆弱性への対策を進めることができます。無償診断を行って発見された問題点を、更に詳しく調べたい場合はセキュリティの専門家が有償で提供する脆弱性診断も用意しております。このようにウェブサイトのセキュリティを強化するソリューションをシマンテックでは提供していきます。

※ 3：2012 年 6 月時点