Managed WAF Version3¶

1 概要¶

1.1 概要¶

Managed WAF Version3 1 は、Smart Data Platform のテナント内で利用することができ、Webアプリケーションサーバーに対する不正アクセスや攻撃通信などのセキュリティ脅威を検知/防御する機能を提供します。
お客さまが所有するテナント内のロジカルネットワークに接続することができ、お客さまのポリシーで検査・制御することが可能です。
なお、本メニューはセキュリティマネージドサービスでご提供し、グローバルレベルのセキュリティ運用体制により、サイバー攻撃などのリスクを最小化します。
（以下、Managed WAF Version3 を本メニュー、機能を提供する設備をデバイスと記載します。）

本メニューは、リバースプロキシサーバーとして動作します。本デバイスが、クライアントからの通信を受信し通信を検査した後に、お客さまのWebアプリケーションサーバーへ送信します。

1: WAF…Web Application Firewall、Webアプリケーションファイアウォール

1.2 特長¶

本メニューは、以下の特長を持つメニューです。

1.2.1 セキュリティマネージドサービスによる安心・安全運用
グローバルレベルのセキュリティ運用体制を持つセキュリティオペレーションセンター（SOC）から、本メニューの運用監視を行います。

1.2.2. Webアプリケーションサーバーに対する脅威から複数機能により多層防御
脆弱性を突いた攻撃通信、不正アクセス、ウイルス感染など、様々なセキュリティ脅威からお客さまのWebアプリケーションサーバーを守る為に必要なセキュリティ機能をオールインワンで提供します。

● WAF機能（攻撃通信、不正アクセスの検知/防御）
● アンチウイルス機能（ウイルス感染の防止）
● IPレピュテーション機能（脅威として特定できているソースからの攻撃を検知）

1.2.3 セルフオペレーションによる即時提供・即時設定変更
お客さまは、Smart Data Platform ポータル の セキュリティコントロールパネル を操作いただくことで、即時に本メニューを利用することが可能です。また、設定変更も セキュリティコントロールパネル を操作いただくことで、即時に設定変更されます。
お客さまは資産を所有することなく、初期投資や最低利用期間なしで必要な時に利用することができ、お客さまのビジネス環境に合わせたセキュアな環境を構成することができます。

2 利用できる機能¶

2.1 機能一覧¶

本メニューは、以下の機能を提供します。

機能	説明
2.2.1. セキュリティ機能	Webアプリケーションサーバーに対する攻撃検知/防御、ウイルス感染からの防御機能、脅威の発生源情報（脅威として特定できている情報）による検知機能
2.2.2. ネットワーク機能	デバイスをロジカルネットワークに接続したり、通信をルーティングしたりする機能
2.2.3. その他機能	デバイスで取得したログをお客さま管理のsyslogサーバーに送信したり、デバイスに記録されるログのタイムゾーンを指定したりする機能
2.2.4. セキュリティインシデントレポート機能	デバイスのログを自動分析し、脅威と判定された場合にセキュリティインシデントレポートを生成する機能
2.2.5. コントロールパネル機能	Smart Data Platform ポータルのセキュリティコントロールパネルから申し込みやデバイスの設定を行う機能
2.2.6. ファームウェアアップデート機能	Managed FW/UTM/WAF Version3のファームウェアをアップデートする機能

2.2 各機能の説明¶

2.2.1. セキュリティ機能¶

セキュリティ機能は、以下の機能を提供します。

項目	説明
WAF機能	HTTP/HTTPS通信の攻撃通信の検知/防御機能
アンチウイルス機能	HTTP/HTTPS通信のアップロードファイルに対するウイルス検知/防御機能
IPレピュテーション機能	脅威の発生源情報（脅威として特定できている情報）による検知機能

● WAF機能

WAF機能の仕様は、以下の通りです。

項目	説明
シグネチャ機能	シグネチャベースでお客さまが指定したWeb通信を検査します。クロスサイトスクリプティング、SQLインジェクションなど様々なアプリケーションレイヤーの攻撃からWebアプリケーションサーバーを保護します。シグネチャによる検査にてブロックされることで、お客さまWebアプリケーションの正常通信に問題がある場合は、シグネチャ単位で、以下の設定変更が可能です。検知のみ（ブロックしない）無効（検査しない）
ボット検知機能	Webアプリケーションサーバーへ接続してくるボットを検査し、検知/防御します。検知した時のアクションは、以下から選択可能です。検知のみ（ブロックしない）ブロック
SQLインジェクション検知機能	SQLインジェクションについて構文ベースで検知/防御します。検知した時のアクションは、以下から選択可能です。検知のみ（ブロックしない）ブロック
Trust/Block IP制御機能	お客さまの指定するIPアドレスの通信を制御することが可能です。 Trust IP（無条件で許可するIPアドレス） Block IP（無条件でブロックするIPアドレス）
DoSプロテクション機能	単一IPアドレスからの接続数を制限し、お客さまWebアプリケーションサーバーへのDoS攻撃とみなされる接続から防御することが可能です。単一IPアドレスからの同時TCPコネクション数を制限します。閾値は、以下の範囲で指定可能です。 1〜65535 閾値に達した時のアクションは、以下から選択可能です。検知のみ（ブロックしない）ブロック
SSL復号機能	SSL通信を復号して、通信を検査することが可能です。
X-Forwarded-For機能	送信元IPアドレス情報をHTTPヘッダのX-Forwarded-Forに付加して、お客さまWebアプリケーションサーバーへ送信することが可能です。

注釈

シグネチャの更新は、自動的に実施されます。
Trust IPとBlock IPは重複したアドレスを設定することはできません。
SSL復号機能をご利用の場合は、お客さまにてサーバー証明書を準備してください。セキュリティコントロールパネルから設定/更新が可能です。
- PEM形式フォーマット、PKCS#12形式フォーマットのサーバー証明書が設定可能です。

● イニシャルチューニングレポート

ポリシーチューニングのアドバイスを弊社からレポートすることが可能です。

イニシャルチューニングレポートは、1デバイス 1回のみ、3ポリシーまでお客さまからの申請に基づき提供します。
検知件数の多い上位10件のシグネチャについてレポートします。
イニシャルチューニングを実施するには、4週間以上（目安）のログ取得が必要となります。
- 4週間以上、本デバイスをMonitor Modeで動作させ、実トラフィックまたは実トラフィックに近い通信を本デバイス経由で発生させた後に、イニシャルチューニングレポート申請を実施してください。
イニシャルチューニングレポート申請シートは「セキュリティコントロールパネル → Operation → リポジトリ → Shared」に掲載されています。必要事項を記載の上、Smart Data Platform チケットシステムで依頼してください。
イニシャルチューニングレポートのご提供は、4週間程度（目安）のお時間を頂きます。申請時の混雑状況やログ検知状況により、ご提示までの期間が前後することをご了承ください。

注釈

チューニングレポートに基づく、ポリシー設定変更（シグネチャID毎に、検知のみまたは無効化への設定変更が可能）は、お客さまがセキュリティコントロールパネルから操作してください。

● アンチウイルス機能

アンチウイルス機能の仕様は、以下の通りです。

項目	説明
アンチウイルス機能	HTTPのPOSTメソッドで送信されるデータに対してウイルス検知/防御することが可能です。攻撃者によるWebアプリケーションサーバーへのウイルスアップロードを防止します。 ※ 本機能は、ファイルアップロード制限機能の付加機能です。
ファイルアップロード制限機能	HTTPのPOSTメソッドで送信されるデータの最大サイズを制限することが可能です。最大サイズは、以下の範囲で指定可能です。 1024KB〜10240KB　（1MB〜10MB）上限値を超過した時のアクションは、以下から選択可能です。検知のみ（ブロックしない）ブロック
Web Shell検出機能	トロイの木馬などの Web Shellを検知/防御します。検知した時のアクションは、以下から選択可能です。検知のみ（ブロックしない）ブロック

項目

説明

アンチウイルス機能

HTTPのPOSTメソッドで送信されるデータに対してウイルス検知/防御することが可能です。攻撃者によるWebアプリケーションサーバーへのウイルスアップロードを防止します。

※ 本機能は、ファイルアップロード制限機能の付加機能です。

ファイルアップロード

制限機能

HTTPのPOSTメソッドで送信されるデータの最大サイズを制限することが可能です。最大サイズは、以下の範囲で指定可能です。

1024KB〜10240KB　（1MB〜10MB）

上限値を超過した時のアクションは、以下から選択可能です。

検知のみ（ブロックしない）
ブロック

Web Shell検出機能

トロイの木馬などの Web Shellを検知/防御します。検知した時のアクションは、以下から選択可能です。

検知のみ（ブロックしない）
ブロック

● IPレピュテーション機能

IPレピュテーション機能の仕様は、以下の通りです。

項目	説明
IPレピュテーション機能	脅威として特定できているソースからの攻撃を検知します。脅威の分類は、以下の通りです。 DDoS：DDoS 攻撃に加担していると特定されたソースフィッシング：フィッシング攻撃に加担している、あるいはフィッシング攻撃用にWebサイトをホスティングしていると特定されたソース匿名プロキシ：クライアントの本来のアイデンティティを偽装するために匿名のプロキシ経由で送信され、発信元が隠蔽されているトラフィック悪意のあるソース：有害なソフトウェアによる感染が判明しているホストスパマー：スパムを送信していることが判明しているホスト

項目

説明

IPレピュテーション機能

脅威として特定できているソースからの攻撃を検知します。脅威の分類は、以下の通りです。

DDoS：DDoS 攻撃に加担していると特定されたソース
フィッシング：フィッシング攻撃に加担している、あるいはフィッシング攻撃用にWebサイトをホスティングしていると特定されたソース
匿名プロキシ：クライアントの本来のアイデンティティを偽装するために匿名のプロキシ経由で送信され、発信元が隠蔽されているトラフィック
悪意のあるソース：有害なソフトウェアによる感染が判明しているホスト
スパマー：スパムを送信していることが判明しているホスト

注釈

検知アドレスをブロックしたい場合は、Trust/Block IP制御機能のBlock IPに登録してください。

● 参考：制御フロー

注釈

上の図は、DoSプロテクション機能およびファイルアップロード制限機能のアクションが、ブロックの場合を例示しています。アクションが検知のみの場合は、ブロックされずに次の処理へ移ります。
DoSプロテクション機能によるブロック時は、ブロック画面は表示されません。リセットパケットが送出されます。

2.2.2. ネットワーク機能¶

ネットワーク機能は、以下の機能を提供します。

項目	説明
インターフェイス	デバイスのインターフェイスを設定し、ロジカルネットワークに接続する機能。インターフェイス数は１です。
ルーティング	スタティックルートやデフォルトゲートウェイを設定し、通信をルーティングする機能。
ロードバランシング	複数デバイスに対する通信の振り分け（負荷分散）をする機能。

注釈

事前に接続するロジカルネットワークを作成してください。
デバイスは、ロジカルネットワーク（データプレーン）と接続します。ロジカルネットワーク（ストレージプレーン）とは接続しません。
デバイスのインターフェイスを設定/変更/削除する場合は、デバイスの再起動およびインターフェイスのMACアドレスが変更されますので、作業のタイミングにご留意ください。

● ロードバランシング

負荷分散設定機能として、以下の設定機能を提供します。

項目	説明
ヘルスチェック	負荷分散対象(リアルサーバー)の故障を定期的に監視し、故障している場合は負荷分散対象から自動的に切り離します。 L3(ICMP)、L4(TCP)、L7(HTTP/HTTPS)レベルでのヘルスチェック機能をご利用いただけます。ヘルスチェックの閾値として、間隔(秒)、リトライ回数、タイムアウト値が設定できます。
パーシステンス	負荷分散アルゴリズムはround-robinのみ選択できます。パーシステンス(セッション維持方式)は次の方法から選択することが可能です。 Source IP：同一の送信元IPアドレスからのリクエストは同一サーバーに振り分けます。 Persistence Cookie：Webアプリケーションサーバーが付与したCookie情報により振り分けるサーバーを固定します。 URL Parameter：初回リクエストと同じURLパラメータ値を持つ後続リクエストを同一サーバーに振り分けます。パーシステンスの値として、タイムアウト値が設定できます。

項目

説明

ヘルスチェック

負荷分散対象(リアルサーバー)の故障を定期的に監視し、故障している場合は負荷分散対象から自動的に切り離します。
L3(ICMP)、L4(TCP)、L7(HTTP/HTTPS)レベルでのヘルスチェック機能をご利用いただけます。
ヘルスチェックの閾値として、間隔(秒)、リトライ回数、タイムアウト値が設定できます。

パーシステンス

負荷分散アルゴリズムはround-robinのみ選択できます。
パーシステンス(セッション維持方式)は次の方法から選択することが可能です。
- Source IP：同一の送信元IPアドレスからのリクエストは同一サーバーに振り分けます。
- Persistence Cookie：Webアプリケーションサーバーが付与したCookie情報により振り分けるサーバーを固定します。
- URL Parameter：初回リクエストと同じURLパラメータ値を持つ後続リクエストを同一サーバーに振り分けます。
パーシステンスの値として、タイムアウト値が設定できます。

2.2.3. その他機能¶

その他機能は、以下の機能を提供します。

項目	説明
syslog送信	お客さま管理のsyslogサーバーにデバイスで取得したログを送信
タイムゾーン指定	デバイスに記録されるログのタイムスタンプを指定

注釈

設定可能なsyslog送信先は、1つです。
タイムゾーンを変更した場合、タイムゾーン変更前に記録されたログのタイムスタンプは書き換わりません。

2.2.4. セキュリティインシデントレポート機能¶

セキュリティインシデントレポート機能は、以下の機能を提供します。

項目	説明
レポート生成	デバイスのログを自動分析し、脅威と判定された場合にセキュリティインシデントレポート（Security Incident Report）が生成されます。
レポート掲載	セキュリティインシデントレポートが生成されると、Smart Data Platform ポータルのセキュリティコントロールパネルに掲載されます。
レポート通知	Smart Data Platform ポータルのセキュリティコントロールパネルから通知先メールアドレスを登録することによって、セキュリティインシデントレポートが掲載された際に、メールにてお知らせします。
レポート通知レベルの設定	インシデントレポートを作成する基準のSeverityを変更する機能。

● セキュリティインシデントレポート

セキュリティインシデントレポートには、以下の内容が記載されます。

項目	説明
Device	デバイス名
Signature	脅威の名前
Severity	脅威の重大度
Confidence	検知精度
Reference	自動的に付与するID
Date and Time	レポート対象の脅威のログを最初に検知した日時と最後に検知した日時
Description	脅威についての説明
Access Patterns	脅威のアクセス状況を描画
Details	脅威の詳細情報

注釈

セキュリティインシデントレポートは、英語表記です。
本メニューの他に、Managed Firewall Version3 や Managed UTM Version3 を同一テナントで利用されている場合は、各デバイスのログを相関分析したセキュリティインシデントレポートが生成されます。（各メニュー/デバイス毎にレポートが生成されるものではありません。）

2.2.5. コントロールパネル機能¶

コントロールパネル機能は、以下の操作が可能です。

詳細は、Smart Data Platform チュートリアルを参照してください。

項目	説明
オーダー	セキュリティメニューの申し込みが可能です。
オペレーション	作成されたデバイスの管理/設定などを行うことが可能です。

● オーダー/Order

オーダーから操作可能な項目は、以下の通りです。

項目	説明
デバイス追加	デバイスを新規に作成することが可能です。
変更	作成されたデバイスのプランを変更することが可能です。
デバイス削除	デバイスを削除することが可能です。

● オペレーション/Operation

オペレーションから操作可能な項目は、以下の通りです。

項目	説明
デバイスKPI	デバイスのリソース状況（CPU、メモリー）やトラフィック量が確認できます。
ドキュメント	イニシャルチューニングレポート申請シートがダウンロード可能です。
ネットワーク管理	デバイスのインターフェイスの設定が可能です。（ロジカルネットワークとの接続が可能です。）
デバイス管理	セキュリティ機能、ネットワーク機能のルーティング、その他の機能に関する設定が可能です。
ログ解析	条件を指定してログを検索、検索結果をCSVファイルでダウンロードできます。
Incident Reports	Security Incident Report/セキュリティインシデントレポートが掲載されます。
顧客プロファイル	Security Incident Report/セキュリティインシデントレポートのメール通知先を登録できます。

注釈

ログ解析にて閲覧/検索可能なログの期間は、以下の通りです。取得ログの完全性を保証するものではありません。
- Webアクセスログ（トラフィックログ）：7日
- セキュリティ機能で取得したログ（セキュリティ検知ログ）：90日
長期間のログを保存したい場合は、お客さま管理のsyslogサーバーへ送信してください。

2.2.6. ファームウェアアップデート機能¶

ファームウェアアップデート機能は、以下の機能を提供します。

項目	説明
GetFirmwareSatus	対象のデバイスのファームウェアがアップデート対象であるかを確認できます。
Firmware Update	対象のデバイスのファームウェアのアップデートを実行します。

3 メニュー¶

3.1 プラン¶

本メニューは、以下のプランを提供します。

プラン
2CPU-4GB
4CPU-6GB
8CPU-12GB

注釈

本メニューにおいて、負荷分散を実施したり、耐障害性を高めたりしたい場合は、本メニュー（デバイス）を複数台準備頂き、ロードバランサーなどと組み合わせて設計してください。

3.2 申し込み方法¶

Smart Data Platform をご契約いただいたお客さまは、本メニューを申し込むことが可能です。

申し込み種別、申し込み方法、納期は、以下の通りです。

申し込み種別	内容	申し込み方法	納期
デバイス追加	デバイスの作成	Smart Data Platform ポータルのセキュリティコントロールパネル経由で、お客さま自身の操作により申し込み	即時
変更	デバイスのプランの変更	同上	同上
デバイス削除	デバイスの削除	同上	同上

注釈

1回のオーダーで処理可能なデバイス数は1つです。複数のデバイスをオーダーされる場合は、1つのデバイスの処理が完了後に実施してください。
プラン変更は、全てのパターンで変更が可能です。
- 2CPU-4GB → 4CPU-6GB/8CPU-12GB ○
- 4CPU-6GB → 2CPU-4GB/8CPU-12GB ○
- 8CPU-12GB → 2CPU-4GB/4CPU-6GB ○
プラン変更時は、デバイスが再起動しますので、ご留意ください。
本メニューから他メニューへのメニュー変更はできません。
多数の申し込みにより、デバイスの作成やプラン変更の処理に時間を要する場合があります。
デバイスを作成する際に選択可能なゾーン/グループは、リージョン毎に異なります。詳細は、サービス説明書「リージョン/ゾーン/グループ」をご確認ください。

3.3 申し込み制限¶

本メニューの販売単位、上限数、下限数は、下記の通りです。

販売単位	上限数	下限数
1	制限なし	0

4 ご利用条件¶

4.1 ご利用条件¶

● ロジカルネットワークとの接続

本メニューは、全てのプランにおいて、ロジカルネットワークと1つのインターフェイスで接続し、トラフィックを送受信するワンアーム構成となります。

4.2 他サービスとの組み合わせ条件¶

本メニューは、他メニューとの組み合わせについて、特別に制限していません。

4.3 最低利用期間¶

本メニューは、最低利用期間はありません。

5 サービス提供の品質¶

5.1 サポート範囲¶

本メニューにて提供する機能および設備は、全てサポート範囲内です。
ただし、本メニューを用いた設計については、サポート対象外です。
また、証明書を利用される場合、証明書の取得および更新は、お客さまの責任において実施してください。

5.2 運用¶

本メニューは、Smart Data Platform に標準で定められた運用品質に準じます。

その他、本メニューはマネージドサービスとして、以下の運用を実施します。

項目	説明
セキュリティ更新管理	シグネチャのアップデート実施
セキュリティパッチ提供	脆弱性などが確認された場合、影響度に応じてセキュリティパッチを提供
製品ライフサイクル管理	バージョンアップ作業の実施
監視・保守	本デバイスにおける稼働監視および故障対応の実施

注釈

セキュリティパッチ提供は、セキュリティコントロールパネルから適用可能な状態にし、お知らせに掲載します。お客さま自身でセキュリティコントロールパネルから適用ください。（デバイスへの適用時、通信断が発生いたします。また、適用後はダウングレードできません。）
詳細な手順についてはチュートリアル「ファームウェアアップデート機能」をご確認ください。

5.3 SLA¶

本メニューのSLAは、Smart Data Platform に標準で定められたSLAに準じます。

6 制約事項¶

本メニューの制約事項は、以下の通りです。

本メニューで処理できる通信はHTTP/HTTPS通信のみとなります。FTPやSSHなどHTTP/HTTPS以外の通信は、処理できません。
RFCに準拠していないプロトコルを使用している場合やカプセル化された通信を使用している場合は、処理できません。
Webサーバーからのレスポンスがチャンク化されている場合は、Managed WAF通過時にContent-Lengthヘッダを持つ非チャンク形式に変換されてクライアントへ転送されます。
以下のIPアドレスは、インターフェイス、ルーティング、オブジェクト、リストに使用することができません。このIPアドレスを使用すると、正常に動作しない場合があります。
- 100.65.0.0/16
- 100.66.0.0/15
- 100.68.0.0/14
- 100.72.0.0/14
- 100.76.0.0/15
- 100.78.0.0/16
- 100.80.0.0/13
- 100.88.0.0/15
- 100.91.0.0/16
- 100.92.0.0/14
- 100.126.0.0/15
本メニューが接続されるロジカルネットワーク内のIPアドレス設計は、お客さまの責任において実施してください。本メニューに割り当てるIPアドレスなど、他で重複利用しないようにご注意ください。
ポリシーを作成する場合は、先にルールの設定・保存が完了した後に、実施してください。
デバイスに関連するメンテナンス作業等の際に通信断が発生します。事前周知の上、作業を実施しますが、作業日時の調整はできません。影響を最小限にしたい場合は、本メニュー（デバイス）を複数台準備頂き、ロードバランサーなどと組み合わせて設計してください。
本メニューが提供する各機能やログについて、完全性、正確性、お客さまへの利用目的への適合性を有していることについて保証するものではありません。
本メニューを構成する機器の開発元または販売元に、以下の情報を提供する場合があります。本メニューの構成品とお客さま環境との相性により起こり得る不具合、またはお客さまが弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。
- 本メニューの提供を通じて得られた設定情報
- 本メニューの制御などに関する情報
性能値については上限の目安がございます。(参考)Managed WAFの性能測定結果をご参照ください。

Managed WAF Version2