クラウドWAFで「守れること」「守れないこと」と選び方のコツ
導入が容易で、万一の場合も対処するまでの猶予時間の確保が期待できるクラウドWAFだが、万能薬ではない。「守れないこと」を理解して製品選定を行おう。 導入や運用に手間が掛からないクラウドWAFは、小規模なサイトでも手軽に利用できるが、万能薬ではない。本稿ではクラウドWAFで「守れること」「守れないこと」を整理し、「選び方のコツ」を紹介する。 WAFで守れること、守れないこと WAF(Web Application Firewall)とは、Webアプリケーションの脆弱(ぜいじゃく)性を悪用した攻撃を検知し、その攻撃からシステムを防御するためのものだ。これまで、セキュリティ対策としては、ファイアウォールやIPS(侵入防止システム:Intrusion Prevention System)、IDS(侵入検知システム:Intrusion Detection System)を導入してきた企業も多いだろう
SSLの脆弱性を悪用した「SSL BEAST攻撃」への対応(Scutum技術関連情報)| クラウド型WAFサービス Scutum【スキュータム】
SSLの脆弱性を悪用した「SSL BEAST攻撃」に対応 WAF 『Scutum』は、SSLの脆弱性を悪用した「SSL BEAST攻撃」への対応を完了しております。 2011.11.29 「SSL BEAST攻撃」について 2011年9月にアルゼンチンで開かれたカンファレンスにおいて、セキュリティ研究家によりSSLの脆弱性を悪用した「SSL BEAST攻撃」 のデモが行われ、その危険性が報告されました。 2011年10月の時点では、本脆弱性に対する実際の攻撃例等はまだ報告されていませんが、今後この脆弱性が応用された場合大きな被害が生じる可能性があることをSSTでは懸念しております。 Scutum の対応 WAF 「Scutum」 ではすでに対応を完了し、「SSL BEAST攻撃」を検知し防御する機能を標準サービスとして搭載しております。Scutumをご利用いただいているWEBサイトでは、本
導入事例からIT製品・サービスを探す|キーマンズネット
基幹系システム ERP 会計システム 電子帳票システム ワークフロー 勤怠管理システム もっと見る 情報共有システム・コミュニケーションツール グループウェア Web会議 テレビ会議/ビデオ会議 ファイル共有 文書管理 もっと見る 情報システム SFA CRM コールセンター/CTI BPM PLM もっと見る メール 電子メール メールセキュリティ メールアーカイブ その他メール関連 もっと見る エンドポイントセキュリティ アンチウイルス 暗号化 認証 ID管理 メールセキュリティ もっと見る ネットワークセキュリティ ファイアウォール WAF IPS UTM セキュリティ診断 もっと見る 運用管理 統合運用管理 IT資産管理 サーバー管理 ネットワーク管理 統合ログ管理 もっと見る バックアップ バックアップツール バックアップサービス テープバックアップ その他バックアップ関連 もっ
脆弱性を悪用する攻撃を防ぐWAF - IT、IT製品の情報なら【キーマンズネット】
情報セキュリティ技術ラボラトリー所属。情報セキュリティ早期警戒パートナーシップに基づく脆弱性関連情報の分析業務の他「WebApplication Firewall 読本」の執筆など普及啓発活動に従事。 セキュリティ情報局にご登録頂いた方限定で「脆弱性を悪用する攻撃を防ぐWAF」の続きがご覧いただけます。 「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。
WAF
WAF(web application firewall)とは,Webサーバー上にアプリケーションを作り込んでデータを更新したり最新の状況を表示したりするタイプのサイトを,不正な攻撃から守るための装置やソフトウエアのこと。こうしたサイトにはオンライン・バンキング・やショッピング・サイトなどがある。 オンライン・バンキングやショッピング・サイトなどのWebアプリは,ユーザーからの要求に合わせてWebページを生成し,それを送信する。Webアプリを狙う悪者(クラッカ)は,ユーザーの立場でとんでもない要求をして,ぜい弱性のあるWebアプリを勝手に操作しようとする。 データベースを利用するオンライン・バンキングやショッピング・サイトのWebアプリにぜい弱性があると,ユーザーからの要求がデータベース管理システムにそのまま伝わってしまう。そば屋に例えると,メニューにない注文や,普通では考えられない量の注
WAFとは 「Webアプリケーションファイヤーウォール」 ワフ: - IT用語辞典バイナリ
WAF フルスペル: Web Application Firewall 読み方: ワフ 別名: Webアプリケーションファイヤーウォール WAFとは、外部ネットワークからの不正アクセスを防ぐためのソフトウェア(あるいはハードウェア)であるファイアーウォールの中でも、Webアプリケーションのやり取りを把握・管理することによって不正侵入を防御することのできるファイアウォールのことである。 WAFの特徴としては、従来のファイヤーウォールがネットワークレベルで管理していたことに対して、WAFはアプリケーションのレベルで管理を行う、といった点を挙げることができる。WAFでは、プログラムに渡される入力内容などを直接に検査することによって、不正と見なされたアクセス要求を遮断するという仕組みが採用されている。クライアントの操作するWebブラウザとWebサーバを仲介するかたちで存在し、ブラウザとの直接的なや
WAFはどのように脆弱性を防御するのか
本連載の1回目および2回目では、Webアプリケーションの脆弱性について例を挙げて説明した。第1回にも書いたとおりWebアプリケーションの脆弱性を防御することができるのは、セキュアプログラミングとWebアプリケーションファイアウォール(WAF)である。 セキュアプログラミングが、アプリケーションプログラム自体の対策方法であるのに対して、WAFはアプリケーションからは独立した外付けの対策である。これら2つは排他的な関係にあるわけではなく、WAFはセキュアプログラミングを補完するものであるといえる。 プログラム自体をセキュアに作成していくことは、どのWebアプリケーションにおいても必要である。しかし、現実的にはWebアプリケーションのすべての脆弱性をセキュアプログラミングだけで防ぎきれるものではない。そこで必要となってくるのがWAFであり、セキュアプログラミングとの2重の防御によって脆弱性にさら
Webサイトへの攻撃に対抗!「WAF」即解! - IT、IT製品の情報なら【キーマンズネット】
「自分の担当分野しか知らない」なんてことはなかなか言えない情報システム担当者。まったく関係ない分野の製品も一応は押さえておきたい…でも、じっくり勉強する暇はない!というアナタのために、様々な分野の製品をアニメーションで簡単に解説。今回のテーマは「WAF」。Webアプリケーションの脆弱性対策に特化した「WAF」とは何か、簡単な動画で解説する。また、もっと詳しく知りたい場合は、製品購入ウラづけガイドの「アプリケーションファイアウォール」特集でWebアプリケーションの脆弱性を突いた代表的な攻撃や製品の基本機能をわかりやすく紹介している。そちらもぜひ参考にしていただきたい。 WAF(Webアプリケーション・ファイアウォール)とは、Webサイトに設置されたアプリケーションサーバやデータベースへの攻撃に対抗する製品のことだ。Webアプリケーションやデータベースに仕掛ける攻撃は一見すると正当なパケットで
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
いま知りたいWAF特集 第1回 WAFの歴史 | ScanNetSecurity
お知らせ | SST 株式会社セキュアスカイ・テクノロジー
官公庁や自治体など公共性の高いサイトのCSRF脆弱性診断・対策を無償提供(SST) | ScanNetSecurity
WAFサービスが、SSL脆弱性を悪用する「SSL BEAST攻撃」に対応(SST) | ScanNetSecurity
WAFでWebアプリの脆弱性を守れるか