Citrix Systems, Inc. Citrix Application FirewallCitrix NetScaler Citrix Application Firewall ソリューション Webアプリケーションの脆弱性の発見と有効な対応方法 Webアプリケーションの脆弱性は、発見されるフェーズと重要度によって対応が異なります。 いずれの場合にも、時間的・工数的・費用的な制約があります。 開発中のWebアプリケーションのセキュリティ対策は万全ですか？ 16種類あると言われているWeb アプリケーションに対する攻撃方法を常に意識しながらプログラミングを行う事はかなり困難ですが、時としてお客様は、無理難題を要求してくることがあります。例えば、 ページの表示を2秒以内にして欲しい…等、ケースによってはプログラム中のセキュリティチェックのロジックがパフォーマンス低下につながっている場合があります。 ■考えられる対応と有効性 Webアプリケーションに対する攻撃の防御 アプリケーションの修正 Firewall IDS/IPS WebアプリケーションFW × × △ ○ すべての脆弱性を意識して開発するのは困難な上、セキュリティニースは刻々と変化する。 プロトコルレベルでの許可・不許可の判断のみ DoSなど低いレベルでのWebアプリケーションへの攻撃のみ防御 Webアプリケーションレベルでの防御・未知の攻撃にも対応 新システムのカットオーバ直前にセキュリティホールが見つかった場合に対応できますか？ Web アプリケーションに対してセキュリティホール等が発覚した場合、開発側が修正を施すのが昨今の風潮です。但し、カットオーバ直前のアプリケーションを開発陣に戻してコード修正を行うのは、かなりのコストと時間を費やします。 ■考えられる対応と有効性 システムリリース直前のWebアプリケーションに脆弱性が見つかった場合の対応 アプリケーションの修正 Firewall IDS/IPS WebアプリケーションFW × × △ ○ 改修の実施には時間がかかり、システムのカットオーバまで間に合わすことができない プロトコルレベルでの許可・不許可の判断のみであり、要求を満たすことができない DoSなど低いレベルでのWebアプリケーションへの攻撃のみ防御でき、要求を満たすことができない アプリケーションを変更することなく、短時間Webアプリケーションレベルの防御が可能 過去の資産への対応可能ですか？ 「当時のプログラマーが既に退職していたり、ソースコードの所在が不明だったり…」、 そんなアプリケーションに対するセキュリティ対策コストは想像を絶するものになります。 ■考えられる対応と有効性 現在利用中のWebアプリケーションに脆弱性が見つかった場合の対応 アプリケーションの修正 Firewall IDS/IPS WebアプリケーションFW × × △ ○ ソースの見直し、脆弱性のチェックが必要であるが、仕様書が管理されていなければ不可能 プロトコルレベルでの許可・不許可の判断のみを行い、アプリケーションレベルでの対応ができない DoSなど低いレベルの攻撃のみ防御し、Webアプリケーションレベルでのセキュリティ強化の期待はできない。また、情報漏えい対策においても有効でない Webアプリケーションレベルでの防御・未知の攻撃にも対応 Citrix Application Firewallのポジショニング アプリケーションの修正 Firewall IDS/IPS WebアプリケーションFW × × △ ○ 本来一番有効な解決策であるが、時間的・費用的制約によりソースコードレベルでの管理がされていないことが多く、実質的に対応を取ることが不可能 ネットワークレベルでのセキュリティ止まりであり、Webアプリケーションレベルでのセキュリティには有効ではない DoSなど低いレベルの攻撃のみ防御し、Webアプリケーションレベルでのセキュリティ強化の期待はできない。また、情報漏えい対策においても有効でない Webアプリケーションレベルでの防御・未知の攻撃にも対応 Webアプリケーションの保護と改ざん・情報漏洩対策には Citrix Application Firewallが最適です！！ Citrix Application Firewallの特徴 Citrix Application Firewallは双方向でHTMLなどのソースまでチェックをします。 そのため、Webサイトに対する攻撃の防御だけではなく、Webサイトからの情報漏洩にも強力なセキュリティを発揮します。 Inboundセキュリティ:Webサイトに対する外部からの攻撃防御 ポジティブ・セキュリティ・モデル Citrix Application Firewallは従来のIDS・IPSと異なり、Web アプリケーションに対して正常な通信のみを許可するという方式のため、パターンファイルのアップデートや導入後のメンテナンスは不要です。 Adaptive　Learning（自動学習機能） Webアプリケーションファイアウォール（WAF）の設定は、通常大規模なサイトでは非常に工数のかかる作業になってしまいます。しかし、 Citrix Application FirewallではAdaptive Learning機能を使うことで、ユーザが最初に訪問するURL（Start URL）、 パラメータ（Field Format）を自動学習しリストアップすることができ、管理者は リストアップされたStart URL、そしてField Formatに目を通し、若干の編集(edit)を施して、それらをポリシーとして反映(apply)させるだけで設定が可能です。 Safe XSS（クロスサイトスクリプティングの防御） Citrix Application Firewallでは、パラメータに制限を設けることでXSSをブロックすることができます。 それ以外にも、「SAFE XSS」という機能を用いることで、XSSに使われる危険なタグが入ったリクエストのみを サニタイジング（無害化）したりブロックしたりすることができます。 Safe SQL（SQLインジェクションの防御） XSS同様、ほとんどの場合、パラメータに制限を設けることでSQL Injectionをブロックすることは可能です。 Citrix Application Firewallにおいては「SAFE SQL」という機能を用いることで、 SQL Injectionに使われる特殊文字（シングルクウォート、セミコロン、バックスラッシュ）が入ったリクエストを サニタイジング（無害化）したりブロックしたりすることができます。 Cookieの一貫性チェック（Cookieの改ざん防御） Citrix Application Firewallはサーバから返されたSet-Cookieヘッダをモニターし、同じCookieがリクエストに付いているかどうかをチェックします。万一、Cookie改ざんされている場合、そのCookieを削除します。 Outboundセキュリティ：Webサイトからの情報流出防止/ページの改ざん防止 Safeコマース（クレジットカード番号流出防止） Citrix Application Firewallでは、サーバから返えされたHTMLのコンテンツの中身を全てサーチし、万が一クレジットカード番号がコンテンツに含まれていた場合、 ブロックしたり、番号の先頭部分を「x」に変更することができます。Citrix Application Firewallはカード番号のチェックサムを計算することで、 有効なクレジットカード番号のみを検出することができます。同様に電話番号や会員番号などを独自に設定し、定義したものがコンテンツに 含まれていた場合には、レスポンスをブロックしたり、すべて「X」に変えたり、削除することが可能です。 Safeコンテンツ（ページ改ざんの検出） Citrix Application Firewallは静的コンテンツのページデータのハッシュ値を毎回計算することで、 ページが改ざんされた場合でも検知することができます。ハッシュ値が変更されている場合、 ページが改ざんされた可能性があるためブロックされ、ユーザに見えません。 ページ改ざんを検出したいURLを絶対パスで設定しますが、正規表現を使うことができるため、 複数のページを1つで表記できます。例えば、www.macnica.net内で拡張子が htm、html、shtmlの全てのindexファイルをSAFE Contentに設定したい場合、上図のような正規表現で記述することができます。 Safeコンテンツ（ページ改ざんの検出） ■Stop Words ページ内にあってはいけない禁止文字列を指定することができます。 HTMLソース内にStop Wordsで指定した文字列があった場合、エラーページへリダイレクトされます。 ■Go Words ページ内に必ずなければならない必須文字列、例えばよくページの下にある「Copyright」といった文字列を指定することができます。HTMLソース内にGo Wordsで指定した文字列がなかった場合、エラーページへリダイレクトされます。 [Privacy]