Citrix Systems
シトリックスシステムズ
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU
Citrix Systems
シトリックスシステムズ

NetScaler Web Application Firewall(WAF)

Citrix NetSCaler
絶えず進化する「Webからの脅威」を防ぐ

あなたのWebサイト、公開しても本当に大丈夫?

絶えず進化する攻撃からWebサーバを守るためにはアプリケーションレイヤでの監視&対策が必要です。NetScaler Web Application Firewall(WAF)は、ユーザとサーバ間の双方向通信をアプリケーションレイヤで監視します。従来のファイアウォールや侵入検知・防御システムでは対応できなかった、Webアプリケーションの脆弱性を悪用する攻撃からWebサーバを守り、セキュリティレベルを劇的に向上させます。

SQLインジェクションやXSSだけで対策を終わらせていませんか? 詳しくはこちら
セキュリティレベルを劇的に向上

Citrix WAFで防御できる主な攻撃

PCI DSSへの対応についてはこちら

SQLインジェクション

攻撃手法
攻撃手法

近年SQLインジェクションを用いて一般の閲覧サイトに悪性のリンクを埋め込みWebを改ざんする攻撃が急増している。

Webを改ざんする攻撃が急増


防御手法

SQLインジェクションに使われる特殊文字(シングルクウォート、セミコロン、バックスラッシュ)が入ったリクエストをサニタイズ(無害化)したり、事前に指定したエラーページへリダイレクトします。

Citrix独自技術
リクエストをサニタイズ(無害化)
事前に指定したエラーページへリダイレクト

クロスサイトスクリプティング

攻撃手法
攻撃手法


防御手法

クロスサイト・スクリプティングに使われる危険なタグ、属性が入ったリクエストのみをサニタイジング(無害化)したり、事前に指定したエラーページへリダイレクトします。大なり記号(>)や小なり記号(<)だけをチェックしているのではなく、タグや属性の種別まで見ているので、誤検知がありません。

Citrix独自技術
タグや属性の種別まで見ているので、誤検知がありません
タグや属性の種別まで見ているので、誤検知がありません

パラメータ不正改ざん

攻撃手法

hiddenを使ってパラメータをサーバに渡している場合でも、値を不正に書き換えてサーバに渡すことが可能です。例えば商品価格やセッションIDなどの重要情報がhiddenに埋め込まれている場合、価格の不正変更や成りすましなどの危険性があります。hidden(=隠された)と言えども、HTMLのソースを見ることで簡単に値を確認することができ、そして変更できてしまうのです。


防御手法

NetScaler Web Application Firewall(WAF)はサーバから返されたHTMLの中身を全て精査します。そこにHiddenのようなRead-Onlyのパラメータがある場合、次に来るクライアントからのリクエストで、同一のパラメータ名と値があるか検査します。ラジオボタン、チェックボックス、プルダウンボックスのような場合でも、値が精査したものと一致するか検査します。もしHTMLになかったパラメータ名や値が含まれていると、不正アクセス(パラメータ不正変更)と見なされ、事前に指定したエラーページへリダイレクトされます。テキストボックスのように値が未定の場合でも、パラメータ名の不正変更がないかはチェックされます。このパラメータの一貫性チェックはデフォルトで動作しています。

不正なURLに対するアクセス

攻撃手法

下記のようなページ遷移を想定したWebアプリケーションがあると仮定します。最初にユーザ名、パスワードの入力を行いログインし、パーソナライズされたページ内のメニューからリンクを辿り、会員情報の確認を行うとします。もし悪意のあるユーザが他人の会員情報を閲覧しようと、ログインページを経由せずに会員情報確認ページ(/profile.php)へ直接アクセスしようとした場合、WAFはそれを悪意のあるアクセスとして検知する必要があります。

会員情報確認ページへ直接アクセスしようとした場合、WAFは検知


防御手法

不正なURLに対するアクセスへの対策としてStart URLをあらかじめ登録しておくことが有効です。
Start URLとは、ユーザが最初に訪問するページURLのことで、トップページ、他サイトからリンクが張られたページ、ブックマーク可能なページなどが該当します。ユーザが最初にアクセスする可能性のあるページは全てStart URLとして登録します。Start URLに登録されたページにアクセスすると、 NetScaler Web Application Firewall(WAF)はCookieを発行しユーザのセッション管理を開始します。セッション管理下にあるユーザが不正なページ遷移(例えばリンクされていないページに飛ぶなど)を行うと、事前に指定しておいたエラーページにリダイレクトされます。

不正なURLに対するアクセスへの対策としてStart URLをあらかじめ登録しておくことが有効
事前に指定しておいたエラーページにリダイレクト

Citrix WAFによるPCI DSS準拠支援

PCI DSSの要件についてはこちら

クレジットカード番号の隠蔽

クレジットカード番号の隠蔽

レスポンスにクレジットカード番号が含まれていた場合、それらをX-Outしたり、レスポンスを止めるなどのアクションを行います。

万一、クレジットカード番号のリストが外部へ漏えいしてしまう脆弱性が残っていたとしても、 NetScaler Web Application Firewall(WAF)は番号そのものを検知して隠蔽します。

クレジットカード番号の検出にはチェックデジットを利用しているため誤検知はありません。(番号の末尾1桁がチェックデジットになっています。)

クレジットカード番号の隠蔽

重要データの隠蔽 (Safe Object)

重要データの隠蔽 (Safe Object)

前述のクレジットカード番号以外にも、漏洩を防止したいデータのフォーマットを正規表現で定義することが可能です。設定された正規表現にマッチするデータがレスポンスに含まれていた場合、それらをX-Outしたり、レスポンスを止めるなどのアクションを行います。

重要データの隠蔽 (Safe Object)

PCI DSSレポート機能

NetScaler Web Application Firewall(WAF) は、PCI DSSの基準を考慮したレポートを、自動的に作成する機能を備えています。

PCI DSSレポート機能