Webサイトへの攻撃を防ぐクラウド型WAF(Webアプリケーションファイアウォール)と、AP設計ミスやコンテンツ配置ミスに起因しWAFでは対処できない脆弱性を手動診断で対策するハイブリッドソリューションをご提供します。
WAFは従来型のファイアウォールやIDS/IPS等では防ぐことができないWebアプリケーションを狙う不正アクセスや不正侵入、情報漏洩等を防御するソフトウェアまたはハードウェアです。OSI参照モデルのネットワーク層(レイヤ3)またはトランスポート層(レイヤ4)でIPやポートアクセスレベルの防御を行うファイアウォール、データリンク層(レイヤ2)からアプリケーション層(レイヤ7)でプラットフォームレベルの防御(ワーム、ウィルス等)を行うIDS/IPSに対し、WAFはアプリケーションへの入力内容を監視し、不正な動作(アクセス要求等)を遮断することでWebアプリケーションの脆弱性を突いた攻撃を防御します。
Firewall、IPS/IDSとWAFの機能比較
脆弱性 | Firewall | IPS/IDS | WAF |
---|---|---|---|
SQLインジェクション | × | △ | ○ |
クロスサイトスクリプティング | × | △ | ○ |
不完全な認証とセッション管理 | × | △ | ○ |
危険な直接的オブジェクト参照 | × | × | ○ |
クロスサイトリクエストフォージェリ(CSRF) | × | × | ○ |
セキュリティ設定の間違い | × | × | ○ |
安全ではない暗号保管 | × | × | ○ |
URLアクセス制限の不備 | × | × | ○ |
安全ではない通信 | × | ○ | ○ |
安全ではないリダイレクトとフォワード | × | × | ○ |
悪意のあるユーザからのWebサイトへの不正ログイン・DoS/DDoS攻撃・Web改ざん・情報漏洩等を防止いたします。
アルファネットが提供するクラウド型WAFサービスは、WAFを導入するだけではありません。事前に診断員による脆弱性診断を行い、その結果を踏まえたポリシー設定が可能となります。また、トライアルによる効果検証を行うことが出来、検出された脆弱性の対策確認後に本番導入が可能となります。更に半年に1回程度の定期的な脆弱性診断を行うことにより、日々出てくる新たな攻撃に対しての対策が可能となります。
・Webアプリケーション脆弱性診断
・結果報告
・検出された脆弱性を踏まえたWAFポリシー設定
・トライアル導入
・検出された脆弱性の対策が出来ているかの確認
・結果報告
・検証結果をもとにしたWAF導入設定
・定期的な脆弱性診断及びWAF設定アップデート
Webアプリケーション脆弱性診断は、診断項目数が異なる2つのメニュー(プレミアム、プレミアムプラス) をご用意しています。いずれのメニューも動的ページ※を対象に、当社セキュリティ監査センターより インターネット経由にて、既知の攻撃手法を用い実際にお客様のWebサイトに対し疑似攻撃を行います。 この擬似攻撃により、お客様のWebサイトのセキュリティ脆弱性を判定し、結果をレポーティング致します。
SQLインジェクションやXSSなど特に代表的な攻撃手法を用いた診断サービスです。 既知の大半の攻撃事例 を網羅します。
プレミアムでご提供するサービスに加え「セッション管理の不備」や、以前話題になった「ク ロスサイトリクエストフォージェリ」など、多数の脆弱性の有無を診断。Webアプリケーションセキュリティのスペシャリストが、実際の攻撃者と同じ目線で検証パターンをピックアップし、手作業による深度の深い検査をご提供致します。サイバー攻撃のビジネスインパクトが特に大きいお客様にお薦めしています。
※動的ページ
ネットショッピング、資料請求、QAのようなエントリーフォームに代表される.jsp、.aspx、.phpなどで作成された Webコンテンツの内容をWebアプリケーションで生成するページ。
プレミアム
診断項目 | 診断概要 |
---|---|
クロスサイトスクリプティング検査 | 不正な文字列と引数の入力に対するHTTPレスポンスの解析による脆弱性の検査 |
SQLインジェクション検査 | 不正な文字列と引数の入力データベースエラーに対するHTTPレスポンスの解析による脆弱性の検査 |
WebDAV接続 | Webサーバの不必要なファイル共有機能における情報漏洩検査 |
サンプルページ、 デフォルトページ | 不必要と判断できるサンプルページ、デフォルトページの公開放置の検査 |
プレミアムプラス
診断項目 | 診断概要 |
---|---|
クロスサイトスクリプティング検査 | 不正な文字列と引数の入力に対するHTTPレスポンスの解析による脆弱性の検査 |
SQLインジェクション検査 | 不正な文字列と引数の入力データベースエラーに対するHTTPレスポンスの解析による脆弱性の検査 |
WebDAV接続 | Webサーバの不必要なファイル共有機能における情報漏洩検査 |
サンプルページ、 デフォルトページ | 不必要と判断できるサンプルページ、デフォルトページの公開放置の検査 |
クロスサイトリクエストフォージェリ検査 | セッションの不備により不正な操作を行われてしまう脆弱性の検査 |
クロスサイトトレーシング | TRACEメソッドによるBasic認証クレデンシャル(ユーザ名とパスワード)盗用の検査 |
ディレクトリトラバーサル検査 | 閲覧が許可されないファイルに対するアクセス制御の検査 |
セッションハイジャック検査 | セッションIDを盗聴して悪用される攻撃に対する検査 |
セッションフィクセーション検査 | セッションIDの悪用による"なりすまし"攻撃に対する脆弱性の検査 |
デバッグモード・エラー出力内容検査 | デバッグ機能、スタックトレース等攻撃者に有用なメッセージ、機能の利用可否を検査 |
Cookieの検査 | Cookieに重要な情報が含まれていないかを検査 |
Hiddenフィールド検査 | 通常変更されるはずのないHiddenフィールドの値の不正改竄に対する脆弱性の検査 |
検索フォーム検査 | 検索フォームに不正な入力をされ情報が流出されてしまうことへの検査 |
OSコマンドインジェクション検査 | 不正な入力によりサーバ上でOSコマンドを実行されてしまう脆弱性の検査 |
LDAPインジェクション検査 | LDAPの検索条件に不正な文字列と引数を入力し不正なLDAPクエリーを発行させる脆弱性の検査 |
XPathインジェクション | XMLドキュメントの検索条件に不正な文字列と引数を入力し不正なXpathクエリーを発行させる脆弱性の検査 |
SSIインジェクション | SSIスクリプト部に不正な文字列と引数を入力し外部からOSのコマンドを実行したりファイルの閲覧をされてしまう脆弱性の検査 |
HTTPヘッダインジェクション | HTTPレスポンスヘッダの出力処理における脆弱性の検査 |
不正ログオン診断 | 不正ログオンに対する防止機能(ベーシック認証等)が組み込まれていることの検査 |