横浜のデータセンター・ハウジング - ネットフォレスト インターネットデータセンター

1Uハウジング・クラウド型WAF・脆弱性診断・データセンターのことならネットフォレスト

Service Menu サービスメニュー

Web アプリケーションファイアウォール(Scutum)

WAF とは

“WAF”(Web Application Firewall)とは、文字通り Web サイト上のアプリケーションに特化した「ファイアウォール」です。
ユーザから入力を受け付けたり、リクエストに応じて動的なページを生成したりする Web サイトを「不正な攻撃」から守ります。
Web アプリケーション自体にセキュリティ上の問題があっても、この「Scutum」で守ります。

従来の WAF ではイニシャルコストもランニングコストもかかり、また専門的な知識が必要なため、導入後も手間がかかりとても敷居の高い ものでした。Scutum は SaaS 型の WAF のため、「低コスト」で「運用もおまかせ」になり安心してご導入いただく事が出来ます。

クラウド型WAFサービスの概要

Scutum の「4つ」のポイント

1. かんたん導入

SaaS 型なので導入がかんたん!お客様側の設定は DNS の変更のみですので、システム変更の検討・設計・設定などの複雑な作業やサービスの一時停止など、一切必要ありません。通常1週間程度あれば稼働開始可能です。

2. おまかせ運用

従来の WAF だと、システムアップデートの度にチューニングが必要だったり、新しい脆弱性が見つかる度にシグネチャの更新が必要だったりと、専門エンジニア及び専門知識が必要でした。
Scutum なら、専門のセキュリティエンジニアが24時間365日フルサポートしますので、運用しますのでお客様側では専門エンジニアや専門知識は不要になります。
また、アップデートも自動的に行われるため、防御能力が常に進化します。

3. 明快な料金

初期費用と月額費用がピーク時のトラフィック毎に明確になっております。お客様のネットワーク利用状況に合わせて、最適の料金体系をご選択いただけます。
また、SaaS 型なので、キャンペーンサイトなど期間限定の利用にも低価格でご利用いただけます。

4. 安心の実績

当サービス開始以降、稼働率は「99.995%」を保っております。(2019年度実績)
2009年のサービス開始以来、ECサイトをはじめ、金融機関や公的機関、BtoBサービスなど業績や規模を問わず様々な企業で利用されており、国内クラウド型WAF市場シェア10年連続No.1です。
(2010年度より2019年度までの実績)

仕様

■主要機能一覧

防御機能 あらかじめ登録されている不正な通信パターンを検出した場合、該当通信を遮断する機能
モニタリング機能 あらかじめ登録されている不正な通信パターンを検出した場合、該当通信を記録する機能(通信自体は遮断されません)
ログ機能 Scutum にて検出された不正と思われる通信を記録し、閲覧できる機能
ソフトウェア更新機能 Scutum の防御機能などを向上させるため、ソフトウェアを更新する機能
シグネチャ更新機能 防御効果の向上を図る為、不正な通信パターンを随時最新の状態に更新する機能
特定 URL 除外機能 防御機能が不必要なWebページを防御対象から除外する機能
レポート機能 下記の内容を管理画面(ブラウザー利用)上で報告する機能
統計機能(攻撃元、攻撃種別、アクション)
攻撃元、攻撃種別の上位集計など
IP アドレス拒否機能 特定のIPアドレスからの通信を拒否する機能
特定のIPアドレスからの通信のみ許可する機能
SSL 通信機能 暗号化された通信においても解読し、防御する機能
パスワードリスト
攻撃抑制機能
同じIPアドレスからの同処理の通信回数を監視し、その通信がログインの処理かどうかを判別することにより、パスワードリスト攻撃(※)の検知と防御を行う機能

※パスワードリスト攻撃とは、悪意を持つ第三者が、何らかの手法によりあらかじめ入手してリスト化した ID・パスワードを利用してサイトにアクセスを試み、結果として利用者のアカウントで不正にログインされてしまう攻撃です。

■オプション機能一覧

SSL 利用ホスト追加 10Mbps以上のメニューでは、1契約で、10FQDNまで利用できますが、
2FQDN以上でSSLをご利用になる場合はこのオプションが必要です。
月次報告書 攻撃の傾向を月次でご報告します。

■防御できる主な攻撃

攻撃区分 攻撃名称
認証 総当り
パスワードリスト攻撃
クライアント側での攻撃 クロスサイトスクリプティング
CSRF(クロスサイトリクエストフォージェリ)※有償カスタマイズ
コマンドでの実行 SQLインジェクション
バッファオーバーフロー
OSコマンドインジェクション
XPathインジェクション
書式文字列攻撃
LDAPインジェクション
SSIインジェクション
リモートファイルインクルージョン
安全でないデシリアライゼーション(Java/PHP)
情報公開ディレクトリインデックシング※有償カスタマイズ
情報漏洩
パストラバーサル
リソースの位置を推測
XXEの脆弱性を狙った攻撃
特定ミドルウェア/フレームワーク等を狙った攻撃ShellShock攻撃
Apache Struts2の脆弱性を狙った攻撃(OGNLインジェクションなど)
POODLE攻撃
SSL BEAST攻撃
HTTPリクエストスマグリング
マルウェア拡散ドライブバイダウンロード攻撃(ガンプラーによるウイルス拡散など)
サービス運用妨害プラットフォームの脆弱性をついたDoS攻撃(ApacheKiller、hashDoSなど)
少数IPアドレスからのDoS攻撃(大量正常通信、Slowloris、SYN flood攻撃など)
[オプション対応]多数IPアドレスからのDDoS攻撃

■管理者機能一覧

  • 防御ログ
  • ログ統計機能(攻撃元、攻撃種別)
  • 各種設定をしたログ
  • WAF 防御 on/off
  • 除外 URL の設定
  • IPアドレスの拒否/許可の設定
  • 管理サイト用アカウント管理(パスワード変更)
  • 証明書、秘密鍵アップロード

■制限事項

  • Scutum で対応できるプロトコルは、http と https となります。
  • Scutum を導入することにより、ソース元 IP アドレスがすべて Scutum のものとなります。ソース元 IP アドレスを使用し、お客様のサイトに何らかの作業を実施している場合はご注意ください。

【ソース元 IP 使用例】

  • アクセス解析
  • ソース元 IP アドレスを利用した Web アプリケーションによる表示変更
  • ソース元 IP アドレスを利用したロードバランシング
  • 本来のアクセス元IPアドレスは、HTTPヘッダ内に以下のような形でお送りする形となりますので、必要に応じて設定変更が必要となる場合がございます。

X-Forwarded-For: xxx.xxx.xxx.xxx(ソース元IPアドレス)

  • ファイアウォールの設定でScutum以外からのアクセスを禁止することで、よりセキュアな環境が構築できます。しかし、現在は検索エンジンに登録された情報を利用した外部からの攻撃が大多数であることから、Scutum 側では、ファイアウォールの設定の有無は、お客様のご判断にお任せしております。

【ファイアウォールで制限をした場合のメリット】

  • ドメイン名でなくIPアドレスにてアクセスを実施した場合についても防御が可能となる。

【ファイアウォールで制限をした場合のデメリット】

  • 万が一のデータセンター障害時、DNSの変更と同時にお客様側でファイアウォールの変更を実施して頂く形になる。
  • SSL通信をご利用の場合、暗号化された通信をScutum 内で復号し、通信内容を確認します。その後、再度暗号化しお客様Web サーバへ送信する形になりますので、SSL 証明書のライセンス追加が必要になる場合がございます。

料金

■基本料金

(税別)

ピーク時トラフィックの目安 初期費用 月額費用 基本ホスト数 ホスト追加
~500kbps 98,000円 29,800円 1FQDN
※SSL/TLS利用可
不可
~5Mbps 59,800円
~10Mbps 128,000円
~50Mbps 198,000円 148,000円 1FQDN
※SSL/TLS利用可
ホスト追加
上限なし

※オプションの
ホスト追加費用に
従って無制限に
追加可能
~100Mbps 198,000円
~200Mbps 以上 298,000円
200Mbps 超 100Mbps毎に
100,000円加算
【オプション】ホスト追加費用 月額費用(1FQDNあたり)
ホスト追加(SSL/TLS利用含む) 5,000円

※SSL/TLS利用について、SNI非対応端末はデフォルトでは対応しておりません。別途お問い合わせください。

※ホスト追加/変更の際は、一度追加/変更するFQDN数に応じて下記の初期費用が必要です。

  • 1FQDNのみ追加/変更:98,000円
  • 2~10FQDNのみ追加/変更:198,000円
  • 11FQDN以上を追加/変更:198,000円に、10を超えるFQDN1件当たり19,800円を加えた金額

※ピーク時トラフィックは、プラン内で利用する全ホストの合計トラフィックです。
※プラン合計のトラフィック基準に関わらず、1ホスト当たりのピーク時トラフィック上限の目安は
 200Mbps~300Mbpsとなります。
※トラフィックが多い場合、事前にテストを実施し、想定されるトラフィックが出るかどうかご確認ください。
 (テスト環境は2週間無償で提供いたします。)

■オプション

(税別)

オプション内容 月額費用
月次報告書 1ホスト(1FQDN)追加につき 20,000円

■認証強化オプション

(税別)

オプション内容 費用
キャプチャ認証追加機能(※) 1サイトにつき
月額費用
500,000円
50,000円

※設置可能数は3ヶ所です。設置箇所の変更には別途費用が必要です。
 詳細はお問い合わせください。

■DDoS対策オプション

(税別)

Scutum DDoS対策オプション 個別お見積もり

※算定基準はあくまでも目安となります。
 実施のご利用状況により異なる場合が御座います。
 金額は税別で別途消費税が加算されますのでご了承ください。

よくあるご質問

Q見積をとるのに必要な情報は何ですか?
A

月間の5分単位のトラフィックレポートが必要です。
無い場合は、サイトのURLとページビュー (日単位、週単位、月単位) がわかれば算出できます。

Q契約単位はどのようになりますか?
A

FQDN(=ホスト)が単位となりますが、1契約で運用可能なFQDNの数はプランによって異なります。

QDNS変更前にScutumを検証する事は可能ですか?
A

PCのhostsファイルを変更する事により、PC1台から検証する事が可能となります。

QScutumを導入する事によるレスポンスの低下はありますか?
A

Hop数が増える事、不正な通信かどうかチェックする事からレスポンスは低下しますが、このレスポンス低下は体感できるレベルにならないよう構築しています。ただし、環境により差が出る可能性があるため、DNS変更前にhostsファイルを変更して事前にレスポンスの差異を確認されることを推奨します。

クラウド型WAFサービスのお問い合わせはこちら

Web アプリケーションファイアウォール(Scutum)詳細資料(チラシ)はここからダウンロードできます

チラシダウンロード