SaaS型WAFサービス

TOP > サービス内容 > セキュリティ > SaaS型WAFサービス

導入費用・運用費用とも低コストで
Webサイトセキュリティ対策(WAF)をご提供

初期費用¥90,000(税別)、月額費用¥39,000(税別)からの
Webサイトセキュリティ対策のWAFサービスをご提供します。

SaaS型WAFサービス

「高額なアプライアンス製品の購入」「導入後の運用負担」など、これまでのWAF導入の壁を解消しました。
「eC+」のSaaS型WAFサービスでは、月単位でのお支払いにより導入コストを抑え、ロジカル分析エンジンを搭載したWAFによりメンテナンス作業の運用負荷を軽減します。
※SaaS型WAFサービスは、eC+サービスをご契約いただいたお客様向けのオプションサービスです。

申請承認ワークフロー2
WAFとは…?

WAF(Web Application Firewall)とは、外部ネットワークからのWebアプリケーション通信(http/https)を監視し、 不正侵入を防御するWebアプリケーションに特化したファイアウォールです。
Webサーバー上にアプリケーションを作り込んでデータを更新したり、最新の状況を表示するタイプのWebサイトを不正な攻撃から守る役割を果たします。一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで解析できるのが特長です。

WAFの必要性

近年、機密情報の入手やWebページの改ざんなど、金銭や営業妨害を目的に企業のWebサイトを狙った悪質な攻撃が増加しています。
ひとたび被害に遭うと、Webサイトの停止、被害範囲の特定、被害状況の広報、問い合わせ対応、原因と対策の調査、Webアプリケーションの改修といった手間が生じます。さらに企業の社会的信用の失墜、Webサイト長期的閉鎖による機会損失など大幅な売り上げ減少など、深刻な被害をもたらす可能性もあります。
また、不正攻撃の対策としてWebアプリケーションの改修がありますが、難易度が高く時間もかかるため、断続的に発生する不正攻撃に対応するには膨大なコストがかかります。
このような対策の代替手段として、適切なコストで最適な効果を上げるWAFが注目されています。

サービスの特長

当社SaaS型WAFサービスのWAF機能は、ペンタセキュリティシステム株式会社が提供するWAPPLES製品を採用しています。
インフラ環境にはAWSのクラウドを利用することにより、安全でパフォーマンスに優れたSaaS型WAFサービスの提供を実現しました。

簡単な利用手順

・お客様に記載いただいたヒアリングシートに沿って、準備を行います。
・リバースプロキシ型のWAFのため、Webサーバーのサービスを停止することなく導入が行えます。
・DNS設定で、お客様のWebサーバーのIPアドレスを当社WAFサービスのFQDNに切り替えるだけで、導入が可能です。

インフラ運用不要

・SaaS型サービス提供のため、お客様によるインフラ障害発生時に対応作業がありません。

WAPPLESとは…?

第三世代の検知方法と言われるロジカル分析エンジンによるルールベースの検知を行うことで、既存製品に比べて以下の優位性があります。

※スクロールで表全体をご覧いただけます。

  第一世代 第二世代 第三世代
検知方法 ブラックリスト
/ホワイトリスト
シグネチャベース ロジカル分析エンジン
パフォーマンス × ×
運用負荷の軽減 ×
未知の攻撃検知 × ×
検知方法

4つのソリューションを提供することで、さまざまなWeb攻撃からお客様のWebシステムを安全に保護します。

  • Webハッキング遮断ソリューション

    Webハッキング遮断ソリューション Webアプリケーションレベルの攻撃を遮断します。

  • 情報漏えい防止ソリューション

    情報漏えい防止ソリューション 検証メカニズムを採用した正確な個人情報検証を行います。

  • 不正ログイン防止ソリューション

    不正ログイン防止ソリューション Webアプリケーションレベルの攻撃を遮断します。

  • Web改ざん防止ソリューション

    Web改ざん防止ソリューション 改ざんを目的とした攻撃に対応し、Webサイト/DBのセキュリティを確保します。

※独自の検知ルールにより、さまざまな脆弱性に対応します。

※スクロールで表全体をご覧いただけます。

WAPPLESルール 説明
バッファオーバーフロー
(Buffer Overflow)
Webサーバーに対しメモリ上Bufferをオーバーさせるような制限値より大きなサイズのデータを遮断
クッキーポイズニング
(Cookie Poisoning)
認証情報のような重要なデータが含まれているCookieの認証のためのMAC(Message Authenticity Code)より判断をし、改ざんを遮断
クロスサイトスクリプティング
(Cross Site Scripting)
クライアント側にて実行可能な悪意あるスクリプトコードを挿入する試みを遮断
ディレクトリリスティング
(Directory Listing)
Webサーバーのファイル、ディレクトリのトポロジー(構造)の外部漏洩を遮断
エラーハンドリング
(Error Handling)
Webサーバー、WAS、DBMSサーバーなどの情報が含まれているエラーメッセージを遮断
エクステンションフィルタリング
(Extension Filtering)
悪意あるユーザより利用される恐れのある拡張子を持つファイルへのアクセスを遮断
ファイルアップロード
(File Upload)
Webサーバー側にて実行可能なファイルのアップロードを遮断
インクルードインジェクション
(Include Injection)
Webサーバーにて実行可能なファイルの挿入を遮断
インプットコンテンツフィルタリング
(Input Content Filtering)
Webサイトのような公開ページ上他人を不愉快にさせる言葉を遮断するか、指定した言葉に変換
インバリッドHTTP
(Invalid HTTP)
RFC 2068-HTTP/1.1基準プロトコルに準じていないアクセスを遮断
インバリッドURI(Invalid URI) RFC 2068-HTTP/1.1基準プロトコルに準じ定義されている形式ではないURIへのアクセスを遮断
IP遮断(IP Black) 同じ発信元より一定の時間内閾値以上の不正なアクセスが検知されると発信元のアクセスを一時的に遮断
パフォーマンス

・インメモリ技術を採用したハイパフォーマンス処理
・攻撃シグネチャの増大がないため、高レベルの検知ポリシー設定によるパフォーマンス劣化を防止

運用負担の軽減

・新種および亜種の攻撃に対応することにより、頻繁な攻撃シグネチャのアップデート作業を軽減
・偽陽性(false positive)/偽陰性(false negative)の発生率を抑止することで、誤検知/過剰検知による確認作業を軽減
・管理コンソール
・日本語の表示
・攻撃ルールの検知・遮断のON/OFF設定するだけの簡単操作
・Webトラフィック、検知ログの情報をグラフ閲覧
・攻撃検知状況をリアルタイムでレポート作成

その他

・特許取得
4ヶ国(日本、アメリカ、中国、韓国)から特許を取得している独自開発のセキュリティエンジンによる解析
※日本特許登録情報:特許第4977888号(ウェブアプリケーション攻撃の検知方法)
・PCIDSSの適合証明を取得
PCIDSS Ver.1.2 要件6.6オプション2の適合証明
・コモンクライテリア(Common Criteria:CC)を取得
情報技術セキュリティ評価基準EAL4+レベル

主なサービス

1.WAF機能(防御機能、モニタリング機能)の提供
2.WAF機器へのSSL証明書、キーのアップロード
3.管理コンソール上での以下機能の提供
(1)攻撃ルールの検知・遮断のON/OFF設定
(2)Webトラフィック、検知ログの情報をグラフ閲覧
(3)攻撃検知状況のレポート作成
4.サービスデスク問い合わせ受付:平日9:00-17:00
※問い合わせ方法は当社提供のeC+管理コンソールからとなります。

前提条件

SaaS型WAFサービスは、eC+サービスをご契約いただいたお客様のみオプションサービスとしてご利用が可能です。

よくある質問

全般について

契約について

料金/
支払いについて

お問い合わせ・無料診断はこちら

お電話
03-6667-8049 受付時間(平日)9:00~17:30
メールフォーム
  • お問い合わせ