All Rights Reserved, Copyright(C) Sanwa Comtec 2010

WAFWAFWAFWAF（（（（WebWebWebWeb ApplicationApplicationApplicationApplication Firewall)Firewall)Firewall)Firewall)

WAPPLESWAPPLESWAPPLESWAPPLES（（（（ワップルワップルワップルワップル））））のごのごのごのご紹介紹介紹介紹介

三和コムテック株式会社

2010年6月

All Rights Reserved, Copyright(C) Sanqa Comtec 2010

Web Application Firewall (WAFWeb Application Firewall (WAFWeb Application Firewall (WAFWeb Application Firewall (WAFとはとはとはとは？？？？))))

� ウェブアプリケーションファイヤーウォール（WAF）は、アプリケーションを外部攻撃から守るセ

キュリティ ソリューションです。

� ネットワークネットワークネットワークネットワーク ファイアウォールファイアウォールファイアウォールファイアウォールならびにならびにならびにならびに IPS/IDS IPS/IDS IPS/IDS IPS/IDS はははは通常通常通常通常 Layer Layer Layer Layer 4444、、、、ネットワークネットワークネットワークネットワーク・・・・ セッションセッションセッションセッション

レイヤレイヤレイヤレイヤまでしかまでしかまでしかまでしか保護保護保護保護せずせずせずせず、、、、通常通常通常通常 Layer 7Layer 7Layer 7Layer 7、、、、アプリケーションアプリケーションアプリケーションアプリケーション レイヤレイヤレイヤレイヤまではまではまではまでは保護保護保護保護しないしないしないしない。。。。

アプリケーションセキュリティアプリケーションセキュリティアプリケーションセキュリティアプリケーションセキュリティ

Web Application Firewall (WAF)Web Application Firewall (WAF)Web Application Firewall (WAF)Web Application Firewall (WAF)

システムセキュリティシステムセキュリティシステムセキュリティシステムセキュリティ（（（（クライアントサーバセキュリティクライアントサーバセキュリティクライアントサーバセキュリティクライアントサーバセキュリティ））））

IPS, IDS, AntiIPS, IDS, AntiIPS, IDS, AntiIPS, IDS, Anti----virus softwarevirus softwarevirus softwarevirus software

ネットワークセキュリティネットワークセキュリティネットワークセキュリティネットワークセキュリティ

Network FirewallNetwork FirewallNetwork FirewallNetwork Firewall

N E T W O R K SN E T W O R K SN E T W O R K SN E T W O R K S

S Y S T E M SS Y S T E M SS Y S T E M SS Y S T E M S

A P P L I C A T I O N SA P P L I C A T I O N SA P P L I C A T I O N SA P P L I C A T I O N S

IT IT IT IT アーキテクチャーアーキテクチャーアーキテクチャーアーキテクチャー IT IT IT IT セキュリティセキュリティセキュリティセキュリティ

All Rights Reserved, Copyright(C) Sanqa Comtec 2010

WebWebWebWebアプリケーションアプリケーションアプリケーションアプリケーション セキュリティセキュリティセキュリティセキュリティがなぜがなぜがなぜがなぜ重要重要重要重要かかかか？？？？

Physical

Data Link

Network (IP)

Transport (TCP)

Session

Presentation

Application

Physical

Data Link

Network (IP)

Transport (TCP)

Session

Presentation

Application

Firewall/IPS/IDS WAF Web Server/Web Application

Physical

Data Link

Network (IP)

Transport (TCP)

Session

Presentation

Application

� サービスサービスサービスサービスをををを提供提供提供提供することをすることをすることをすることを主主主主としてとしてとしてとして作作作作られられられられ、、、、ダイナミックダイナミックダイナミックダイナミックにににに動動動動くくくくウェブアプリケーションウェブアプリケーションウェブアプリケーションウェブアプリケーション、、、、ウェブサーバウェブサーバウェブサーバウェブサーバののののセキュリティセキュリティセキュリティセキュリティ

ををををリアルタイムリアルタイムリアルタイムリアルタイムでででで監視監視監視監視、、、、攻撃防御攻撃防御攻撃防御攻撃防御することすることすることすること

� ネットワークセキュリティネットワークセキュリティネットワークセキュリティネットワークセキュリティ製品製品製品製品（（（（Network FirewallNetwork FirewallNetwork FirewallNetwork Firewall）、）、）、）、システムセキュリティシステムセキュリティシステムセキュリティシステムセキュリティ製品製品製品製品(IPS, IDS, Anti(IPS, IDS, Anti(IPS, IDS, Anti(IPS, IDS, Anti----Virus)Virus)Virus)Virus)ではではではでは、、、、

アプリケーションアプリケーションアプリケーションアプリケーションへのへのへのへの攻撃攻撃攻撃攻撃はははは防御防御防御防御できないできないできないできない。。。。

All Rights Reserved, Copyright(C) Sanqa Comtec 2010

ウェブアプリケーションファイアウォールウェブアプリケーションファイアウォールウェブアプリケーションファイアウォールウェブアプリケーションファイアウォール導入導入導入導入ののののメリットメリットメリットメリット

� ウェブアプリケーション、ウェブサーバーへの攻撃（SQLインジェクションな

ど）を保護

� 攻撃による情報漏えいを防ぐ

� コードレビューと比べてコストが安い

� ウェブアプリケーション、ウェブサーバに対してダイナミックパッチのように

動作するので、早いROIを提供

� コンプライアンス（PCI-DSSなど）に対応

� セキュリティチームと開発チームの間で効率的にセキュリティの確保を

しつつ、ウェブサービスの向上に集中できる

All Rights Reserved, Copyright(C) Sanqa Comtec 2010

ペンタセキュリティシステムズペンタセキュリティシステムズペンタセキュリティシステムズペンタセキュリティシステムズWAFWAFWAFWAFのののの優位性優位性優位性優位性

� 弊社独自弊社独自弊社独自弊社独自のののの攻撃検知技術攻撃検知技術攻撃検知技術攻撃検知技術であるであるであるである、、、、インテリジェントエンジンインテリジェントエンジンインテリジェントエンジンインテリジェントエンジンをををを搭載搭載搭載搭載

� ブラックリストブラックリストブラックリストブラックリスト・・・・ホワイトリストホワイトリストホワイトリストホワイトリスト登録登録登録登録にたよらないにたよらないにたよらないにたよらない防御技術防御技術防御技術防御技術

� 誤検知誤検知誤検知誤検知、、、、過剰検知過剰検知過剰検知過剰検知のののの最小化最小化最小化最小化

� ブラックリストブラックリストブラックリストブラックリスト・・・・ホワイトリストホワイトリストホワイトリストホワイトリストのののの登録登録登録登録にににに時間時間時間時間がかからないためがかからないためがかからないためがかからないため容易容易容易容易にににに導入導入導入導入ができができができができ、、、、

導入導入導入導入とととと同時同時同時同時にににに高高高高いいいいセキュリティセキュリティセキュリティセキュリティをををを確保確保確保確保

� 管理者管理者管理者管理者にかかるにかかるにかかるにかかる負担負担負担負担のののの軽減軽減軽減軽減とととと人的人的人的人的（（（（うっかりうっかりうっかりうっかり））））ミスミスミスミスをををを防防防防ぐぐぐぐ

� 定義更新定義更新定義更新定義更新にたよらないにたよらないにたよらないにたよらない攻撃検知技術攻撃検知技術攻撃検知技術攻撃検知技術

� 定義の増加によるパフォーマンスパフォーマンスパフォーマンスパフォーマンスのののの低下低下低下低下をををを起起起起こさないこさないこさないこさない

� 定義の更新に費用がかからないためトータルコストトータルコストトータルコストトータルコストのののの削減削減削減削減につながる

� コモンクライテリアコモンクライテリアコモンクライテリアコモンクライテリアEAL4EAL4EAL4EAL4をををを取得取得取得取得

� PCI-DSS 要綱6.6に対応

All Rights Reserved, Copyright(C) Sanqa Comtec 2010

WAPPLESWAPPLESWAPPLESWAPPLESのののの主要機能主要機能主要機能主要機能

� 多様多様多様多様ななななウェブセキュリティウェブセキュリティウェブセキュリティウェブセキュリティ機能機能機能機能をををを提供提供提供提供

� ウェブウェブウェブウェブ攻撃攻撃攻撃攻撃をををを検知検知検知検知、、、、遮断遮断遮断遮断

� アクセスコントロールアクセスコントロールアクセスコントロールアクセスコントロール

� 攻撃攻撃攻撃攻撃にににに対対対対しししし多様多様多様多様なななな対応対応対応対応をををを提供提供提供提供

� 個人情報流出防止及個人情報流出防止及個人情報流出防止及個人情報流出防止及びびびびコンテンツコンテンツコンテンツコンテンツ保護保護保護保護

� マスキングマスキングマスキングマスキング処理処理処理処理によりによりによりによりクレジットカードクレジットカードクレジットカードクレジットカード番号防止番号防止番号防止番号防止

� 不適切単語不適切単語不適切単語不適切単語のののの自動変換機能自動変換機能自動変換機能自動変換機能をををを搭載搭載搭載搭載

� 便利便利便利便利なななな強力強力強力強力なななな管理管理管理管理ツールツールツールツールをををを提供提供提供提供

� 各種情報各種情報各種情報各種情報をををを22222222種類種類種類種類ののののチャートチャートチャートチャートでででで表示表示表示表示

� 設定設定設定設定ウィザードウィザードウィザードウィザードによりによりによりにより容易容易容易容易ににににセキュリティポリシーセキュリティポリシーセキュリティポリシーセキュリティポリシーをををを設定設定設定設定

� 多様多様多様多様ななななウェブウェブウェブウェブ環境環境環境環境ををををサポートサポートサポートサポート

� 暗号化通信暗号化通信暗号化通信暗号化通信（（（（SSLSSLSSLSSL））））のののの内容内容内容内容をををを検査検査検査検査

� 冗長化構成冗長化構成冗長化構成冗長化構成ををををサポートサポートサポートサポート（（（（アクティブアクティブアクティブアクティブ‐‐‐‐アクティブアクティブアクティブアクティブ、、、、アクティブスタンバイアクティブスタンバイアクティブスタンバイアクティブスタンバイ））））

� 安定安定安定安定したしたしたしたサービスサービスサービスサービス提供提供提供提供のためにのためにのためにのためにトラブルトラブルトラブルトラブル対応機能対応機能対応機能対応機能をををを提供提供提供提供

� 自己診断機能自己診断機能自己診断機能自己診断機能（（（（WatchdogWatchdogWatchdogWatchdog））））

� バイパスモードバイパスモードバイパスモードバイパスモード

� 監査機能監査機能監査機能監査機能

All Rights Reserved, Copyright(C) Sanqa Comtec 2010

WWWWAPPLESAPPLESAPPLESAPPLES（（（（インテリジェントインテリジェントインテリジェントインテリジェント型型型型WAF)WAF)WAF)WAF)のののの特徴特徴特徴特徴 まとめまとめまとめまとめ

�Webサイトへの攻撃・改ざん・個人情報流出を防止

�ポリシー設定が容易（推奨ポリシーの提供、簡単な画面操

作）

�従来の「パターンマッチング」方式ではなく「ロジック分析」方

式による誤検知率低下

�コストパフォーマンス（安価で高いスループットを実現）

�SSL対応が可能

�PCI認証(6.6-2)やコモン・クライテリアEAL4を取得

�サービス中断を生じさせない可用性（バイパスモード）

All Rights Reserved, Copyright(C) Sanqa Comtec 2010

定義更新に別途費用がかかる場合がある。定義更新に費用がかからないのでトータルコストの

削減。

コストコストコストコスト

パターンマッチングのため、対象ファイル数とシグ

ネチャ数が増加すると劇的にパフォーマンスの低

下。利用期間が増えればその分パフォーマンス劣

化。

シグニチャの定義増加によるパフォーマンス劣化を

起こさない。利用期間が増えても検知処理速度を維

持できます。

パフォーマンスパフォーマンスパフォーマンスパフォーマンス

設定やチューニングが難しく、誤検知や設定漏れ

が起こりやすい。

簡単な画面操作。エンドユーザ様での運用・管理が

可能。

操作性操作性操作性操作性

認定を受けていない場合もあるPCI-DSS対応WAFとしてQSAから認定受理。またコ

モンクライテリアEAL4に合格。

コンプライアンスコンプライアンスコンプライアンスコンプライアンス

グラフなどを提供していない場合もあるグラフやチャート表示により視覚的に管理することが

可能。

管理面管理面管理面管理面

ブラックリスト・ホワイトリスト方式

ブラックリスト・ホワイトリストの登録に時間がかか

り、管理者の負担が大きく、人的ミスが発生する可

能性がある。

ロジック分析

第3世代のインテリジェント・エンジンを搭載。ワール

ドワイドでの特許申請中。導入・設定が容易。誤検

知・過剰検知の最小化する。

検知方式検知方式検知方式検知方式

他社他社他社他社WAFWAPPLES

WAPPLESWAPPLESWAPPLESWAPPLESとととと他社製他社製他社製他社製WAFWAFWAFWAFとのとのとのとの比較表比較表比較表比較表

All Rights Reserved, Copyright(C) Sanqa Comtec 2010

ロジックロジックロジックロジック分析検知分析検知分析検知分析検知 vs. vs. vs. vs. シグネチャシグネチャシグネチャシグネチャ検知検知検知検知

ロジックロジックロジックロジック分析検知分析検知分析検知分析検知 シグネチャシグネチャシグネチャシグネチャ検知検知検知検知

脆弱性を検知する25のルールによりクライアントから

のリクエストを効率的に検査する。

ロジック分析による検知のため検知処理速度を維持

既知の攻撃を検知するシグネチャによりクライ

アントリクエストをフルスキャン検査する。

シグネチャの増加に伴い検知処理速度が低下

亜種、新種の攻撃に対応するシグネチャ増加する。

検知性能が低下し、誤検知が増加する。

シグネチャに頼らないロジックエンジンによる

検知のため検知性能の低下は少ない。

現在現在

未来未来

シグネチャシグネチャシグネチャシグネチャDBDBDBDB攻撃検知攻撃検知攻撃検知攻撃検知ルールルールルールルール

攻撃検知攻撃検知攻撃検知攻撃検知ルールルールルールルール

シグネチャシグネチャシグネチャシグネチャDBDBDBDB

All Rights Reserved, Copyright(C) Sanqa Comtec 2010

WAPPLESWAPPLESWAPPLESWAPPLES----100type2, WAPPLES100type2, WAPPLES100type2, WAPPLES100type2, WAPPLES----1000type21000type21000type21000type2

ClassificationClassificationClassificationClassification WAPPLESWAPPLESWAPPLESWAPPLES----100 type 2100 type 2100 type 2100 type 2 WAPPLESWAPPLESWAPPLESWAPPLES----1000 1000 1000 1000 type 2type 2type 2type 2

アプライアンスアプライアンスアプライアンスアプライアンス 1U1U1U1U Rack typeRack typeRack typeRack type 2U2U2U2U Rack typeRack typeRack typeRack type

CPUCPUCPUCPU

Single Intel 2.4 GHSingle Intel 2.4 GHSingle Intel 2.4 GHSingle Intel 2.4 GH

Quad CoreQuad CoreQuad CoreQuad Core

Dual Intel Xeon 2.33 GHzDual Intel Xeon 2.33 GHzDual Intel Xeon 2.33 GHzDual Intel Xeon 2.33 GHz

Quad CoreQuad CoreQuad CoreQuad Core

MemoryMemoryMemoryMemory ４４４４ GBGBGBGB 8888 GBGBGBGB

HDDHDDHDDHDD 505050500GB0GB0GB0GB 500500500500GBGBGBGB

ThroughputThroughputThroughputThroughput 500 Mbps Max.500 Mbps Max.500 Mbps Max.500 Mbps Max. 2222 GbpsGbpsGbpsGbps Max.Max.Max.Max.

NIC (NIC (NIC (NIC (モジュールモジュールモジュールモジュール式構成式構成式構成式構成))))

8 x 10/100/1000 8 x 10/100/1000 8 x 10/100/1000 8 x 10/100/1000 BaseTXBaseTXBaseTXBaseTX

(1 for management)(1 for management)(1 for management)(1 for management)

8 x 10/100/1000 8 x 10/100/1000 8 x 10/100/1000 8 x 10/100/1000 BaseTXBaseTXBaseTXBaseTX

2 x 1000 2 x 1000 2 x 1000 2 x 1000 BaseSFPBaseSFPBaseSFPBaseSFP

2 x 1000 2 x 1000 2 x 1000 2 x 1000 BaseTXBaseTXBaseTXBaseTX

(1 for management)(1 for management)(1 for management)(1 for management)

OpticalOpticalOpticalOptical Bypass (optional)Bypass (optional)Bypass (optional)Bypass (optional)

デザインデザインデザインデザイン

All Rights Reserved, Copyright(C) Sanqa Comtec 2010

WAPPLESWAPPLESWAPPLESWAPPLES基本基本基本基本導入導入導入導入プロセスプロセスプロセスプロセス

導入導入導入導入プロセスプロセスプロセスプロセス

（2週間～1ヶ月）

導入導入導入導入プロセスプロセスプロセスプロセス

（2週間～1ヶ月）

運用運用運用運用プロセスプロセスプロセスプロセス

（1～3か月サイクル）

運用運用運用運用プロセスプロセスプロセスプロセス

（1～3か月サイクル）

本番環境事前調査・導入プラン作成

管理者トレーニング（3日間）

本番環境への導入（1日）

検知ログ収集・ポリシー再検討

（1～3週間）

セキュリティポリシーの設定

本番環境事前調査・導入プラン作成

管理者トレーニング（3日間）

本番環境への導入（1日）

検知ログ収集・ポリシー再検討

（1～3週間）

セキュリティポリシーの設定

運用プラン作成

検知ログを基にポリシー再検討

セキュリティポリシーの設定

運用・攻撃分析レポート

ソフトウェア更新

All Rights Reserved, Copyright(C) Sanwa Comtec 2010http://http://http://http://www.sct.co.jpwww.sct.co.jpwww.sct.co.jpwww.sct.co.jp////

お問い合わせは、弊社営業部

までsales@sct.co.jp

ありがとうございましたありがとうございましたありがとうございましたありがとうございました