メーカー概要

「BIG-IP Application Security Manager」機能詳細

Webアプリケーションのセキュリティ対策を実現するネットワークファイアウォール

社内のネットワークと、インターネット等の社外ネットワークとの境界に設置するネットワークファイアウォール製品は、ネットワーク間の通信を管理者が設定したセキュリティポリシーに従って通信の制御を行います。ネットワークファイアウォール製品は、通信の送信元と送信先を見てパケットフィルタリング処理を高速に行うことができますが、許可されている送信元、送信先、サービスポート番号の通信の場合、内容を確認せずに通信を許可してしまいます。

このため、提供しているサービスにセキュリティホールが存在したり、侵入や情報漏えい等を目的とした悪意ある通信を完全に防いだりすることができず、また現在はWebアプリケーションを狙った複雑かつ高度な攻撃が増えてきています。

多くのWebサイトが危険にさらされ、不正アクセスによる個人情報の漏えいや、Webページが改ざんされるといったニュースが頻繁に報道されていますが、これらのうちの多くはWebアプリケーションにあるセキュリティホールにより被害にあっており、Webアプリケーションのセキュリティ対策が急務になってきています。

Webアプリケーションをセキュアに保つため、開発時にセキュアプログラミングを実施することで安全なサイトが構築できますが、開発者の技術レベルを均一化し常にセキュリティの高いサイトを維持することは容易ではありません。また未知の攻撃に対して事前に防御できるようにプログラミングするのも非常に困難であることが想像できます。

そのため、HTTPリクエストの中身を確認/検査を行い攻撃か通常のリクエストかを判断可能なWebアプリケーションを保護するWebアプリケーションファイアウォールが必要となります。人の手で行う対策にコストや時間がかかるのに対して、Webアプリケーションファイアウォールは、短期間に十分なセキュリティを持つWebサイト構築に有効な手段と言えます。

「BIG-IP Application Security Manager(ASM)」

■SSL化されたサイトにおいても安定した防御が可能

全てのトラフィックをインターセプトし、データを精査することで不正なアクセスを取りこぼしません。
WAF専用機にはないSSLを終端できるBIG-IPだからこそ、安全なサイトの提供が可能になります。

■自動スキャナおよびボットからの保護強化

組織の貴重なIP情報を保護し、既知の脆弱性を探るために、スキャンを行うボットからWebサイトを保護し、Webスクレイピングなどのビジネス課題を解決します。企業の収益に影響を及ぼすデータ抽出や悪用を防止し、リスクを削減します。

■L7 DoS攻撃とブルートフォースアタックの防御

正確なトリガーと自動制御によりL7 DoS攻撃をブロックし、アプリケーションのパフォーマンスを改善します。この機能は、検知要素と、3種類の防御手法を次々に適用するという綿密な手段とテクニックに基づいています。さらに、失敗の多いログイン要求を絞り込むことによって、ブルートフォースアタックを容易に検知、その危険を軽減します。

また、サーバー応答を監視し、ブルートフォースアタックに関連した複数のログイン失敗を検知した場合、要求元のブラウザを低速化します。高い割合でログイン・プロセスに失敗し続けているIPからのログイン要求を絞り込むこともできます。

「BIG-IP Application Security Manager(ASM)」説明画面キャプチャ

「BIG-IP Application Security Manager(ASM)」導入のメリット
■データガード

Webアプリケーションからクライアントへ渡る個人情報や機密情報などをマスクすることにより、クライアントのWebページへの表示を防ぎます。さらに、エラーページとアプリケーションエラー情報を隠し、攻撃の手がかりとなるようなインフラ情報をハッカーに与えません。

■導入・設定コストを削減するセキュリティポリシー

あらかじめ定義されたアプリケーション・セキュリティポリシーを組み込んでおり、難しい設定なしで、Outlook Web Access、Lotus Domino Mail Server、Oracle E-Business Financials、Microsoft Office SharePointなどの一般的なアプリケーションを保護します。さらに、すぐに使用できる導入ポリシーを内蔵し、導入後すぐにアプリケーションを保護します。

■シグネチャーのステージング機能

シグネチャーを試験的に適用することで、適用後に誤検知が発生しないかどうかを確認します。そのため、シグネチャーのアップデート時に発生し得る誤検知への対応コストを削減します。

シグネチャーのステージング機能説明画面キャプチャ

■アプリケーションの可視化とレポーティング

優れたレポート機能を標準で搭載しています。不正アクセスの検知や遮断した内容と理由、URL単位のパフォーマンス劣化が容易に判断できるレポートを提供することで、セキュリティインシデントへの迅速な対応や運用管理にかかる負荷の軽減を実現します。

■セキュリティ基準への適用

高度なアプリケーション保護機能やレポート機能などにより、PCI DSSなどのセキュリティ基準への準拠を支援します。

 

ネットワーク

ファイアウォール

IPS  ASM
既知のWebワーム 限定的
未知のWebワーム × 限定的
既知のWeb脆弱性 限定的 一部
未知のWeb脆弱性 × 限定的
Webサーバーファイルへの不正アクセス 限定的 ×
強制ブラウズ × ×
ファイル/ディレクトリ列挙 × 限定的
バッファ・オーバーフロー 限定的 限定的
クロスサイト・スクリプティング 限定的 限定的
SQL/OSインジェクション × 限定的
Cookieポイズニング × ×
隠しフィールドの改ざん × ×
パラメータ改ざん × ×
レイヤー7 DoS攻撃 × ×
ブルートフォース・ログイン攻撃 × ×
アプリケーション・セキュリティとアクセラレーション × ×