DTSは、ちょっと違う。 IT企業なのにパキスタンでインフラビジネスに挑戦中!

DTSのWAFのSaaSサービス

2011年03月01日15:04
カテゴリ
WAF
DTSのWAFのSaaSサービス

「Web Application Firewall(WAF)読本 改訂第2版」

midashi1131昨日、IPA(独立行政法人 情報処理推進機構)より「Web Application Firewall(WAF)読本 改訂第2版」が公開されました。





この資料のサブタイトルが「Web Application Firewallを理解するための手引き」。今までこのブログのDTSのWAFの説明の中でも言ってきた様々なことも掲載されているようです。


waf













実際にWAFを導入する前の資料として、これほどうってつけのものは無いと思われますので、まずはぜひともダウンロードしてみてください。

さてこの資料の中でやはり気になった箇所があります。

4.1.1.導入検討
「脆弱性を狙った攻撃の種類によっては、WAF で防御できない可能性があります」
「事前に防御したい脆弱性を悪用する攻撃を、WAF で防御できるか調査します。」
(資料より引用)

まさに、我々がDTSのWAFを説明する時に何度も言ってきたことですね。そして、実際には「事前に防御したい攻撃」がわかっていない、突如として未知の攻撃を受けることがあるわけです。

これに付随して、こんな箇所もチェックしてみてください。

3.3.1. 「検査機能」における偽陽性(false positive)・偽陰性(false negative)
「ブラックリスト」における留意
「の「ブラックリスト」のすべての検出パターンを有効にすると、偽陽性が発生する可能性があります。」
(資料より引用)

ブラックリストによる攻撃防御の不安についても、このブログやセミナーなどで様々な形でご説明してきました。

つまり、DTSのWAFはこういった「導入する前に検証しなければならない・検証したとしても未知の攻撃からの防御は不明」なWAFではなく、ブラックリストも不要で、未知の攻撃の防御も可能なWAFであるわけです。

「Web Application Firewall(WAF)読本 改訂第2版」


DTSのWAF関連記事
□DTSのWAF(SWAF)と、GAPSはアルゴリズムが異なります。
□「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」
□Twitter〜Webアプリケーションレイヤーの脆弱性を実感してしまった夜
□DTS の WAF を最もシンプルなFAQ形式で

タグ :
WAF
SaaS
クラウド
DTS
オントロジー
SWAF
ブラックリスト弱点
ホワイトリスト
  • dts_1dts_1
  • トラックバック( 0 )
2010年12月27日20:59
カテゴリ
WAF
DTSのWAFのSaaSサービス

シンプルなクロスサイトスクリプティングの説明

midashi101227このブログでも何度か掲載してきました、クロスサイトスクリプティングの最もシンプルな例。今日は、DTSのWAF開発リーダーのM.Ali Hur 自らのデモンストレーションしているバージョンの動画を先行公開させていただきました。(まだ字幕などが入っていない、英語での説明となります。ご了承ください。)







この動画に登場する最初のスクリプトが一般的なシグネチャー。後に出てくる部分が、XSSのマルウエアです。

そして、何度もご説明したきましたように、このスクリプトの一部分を書き換えてしまった場合、ブラックリスト型のWAFの場合、安全とみなして通過させてしまうことがあります。

来年早々、この動画はバージョンアップして再登場の予定です。
タグ :
WAF
クロスサイトスクリプティング
SaaS
クラウド
DTS
オントロジー
SWAF
  • dts_1dts_1
  • トラックバック( 0 )
2010年12月16日22:34
カテゴリ
WAF
DTSのWAFのSaaSサービス

DTSのWAFのインターフェイス〜「感染ログ」

midashi101216オントロジーエンジン搭載のDTSのWAFのインターフェイスをご紹介するエントリーの3日目の今日は、重要項目の「感染ログ」の一部をご紹介しましょう。



d_1現在感染しているトラフィックのグラフです。縦軸が攻撃数、横軸が時間です。








d_2感染したトラフィックオリジネーター(コンテンツの基の作成者・サイト)の順位。縦軸が攻撃数、横軸がクライアント。







d_3感染したトラフィックオリジネーターの比率。円グラフで表示します。








d_4現在感染しているトラフィックの詳細を一覧表示します。右から、オリジネーターIP、ホストIP、アクセスされたリソース、アクセスの時間、攻撃の種類(アタック・タイプ)。





関連記事
DTSのWAF インターフェイス〜「フロントパネル」
□現状のWAFが持つ、重大な危険性。
□WAFのブラックリストは、XSSを通過させてしまうことがあります!(WEB DB 2010 動画)
□DTS の WAF を最もシンプルなFAQ形式で
タグ :
WAF
DTS
オントロジー
セマンテック
SaaS
  • dts_1dts_1
  • トラックバック( 0 )
2010年12月15日22:43
カテゴリ
WAF
DTSのWAFのSaaSサービス

DTSのWAFのインターフェイス〜アクセストラフィック

midashi101215昨日のエントリーに続き、今日のエントリーでもDTSのWAFのインターフェイス(GUI)を一部ご覧いただきます。





今日ご覧いただきますGUIは、「アクセストラフィック」です。


dts_1トップトラフィックオリジネーター(コンテンツの元の作成者・サイト)。縦軸がヒット数。横軸がクライアントです。







dts_2トップトラフィックオリジネーター(コンテンツの元の作成者・サイト)の比率。円グラフで比率を表示します。







dts_3アクセスされたリソース。縦軸がヒット数。横軸が時刻です。









dts_4現在のトラフィック。

オリジネーター(コンテンツの元の作成者・サイト)のIP、ホストIPアドレス、アクセスされたリソース、アクセスされた時刻が一覧によって表示されます。




さて、12月も早いもので半分が過ぎてしまいました。ただでさえ、忘年会や今年じゅうの仕事の追い込みなどで身体が忙しくなってくる今頃、明日の東京はこの冬一番の寒さになるという予報も出ています。お身体にはじゅうぶんお気をつけください!


関連記事
DTSのWAF インターフェイス〜「フロントパネル」
□現状のWAFが持つ、重大な危険性。
□WAFのブラックリストは、XSSを通過させてしまうことがあります!(WEB DB 2010 動画)
□DTS の WAF を最もシンプルなFAQ形式で
タグ :
WAF
SaaS
クラウド
DTS
オントロジー
SWAF
  • dts_1dts_1
  • トラックバック( 0 )
2010年12月14日23:09
カテゴリ
WAF
DTSのWAFのSaaSサービス

DTSのWAF インターフェイス〜「フロントパネル」

midashi101214から何度かに分けて、DTSのWAFのインターフェイスの一部をご覧いただきます。今日のエントリーでは、「フロントパネル」をご紹介します。



DTSのWAFは、すべてのインターフェイスがどなたにもチェックしやすいGUIで構築されています。

今日は、フロントパネルの一部をご覧いただきましょう。



fp_1「CPU Utilization」CPUの使用率のグラフ。縦が使用率(パーセント)で横が時間軸となっています。







fp_2「Resources Accessed」アクセスされたリソースのグラフです。縦がヒット数。横は時間軸です。







fp_3Total vs Infected Traffic」アクセストラフィックと、攻撃トラフィック。黄色がアクセストラフィック。グリーンは攻撃トラフィック。縦軸がヒット数。横軸がクライアントです。





fp_4「Server Traffic Summary」サーバートラフィックの概要です。ホストIPアドレス、トラフィック数、攻撃トラフィック数の順に表示されます。





明日は「アクセスログ」画面をご紹介しましょう。
タグ :
WAF
SaaS
クラウド
DTS
オントロジー
SWAF
  • dts_1dts_1
  • トラックバック( 0 )
2010年12月13日23:00
カテゴリ
WAF
DTSのWAFのSaaSサービス

WAFのコスト

midashi101213DTSのWAFのSaaSサービスがスタートします。WAFを導入するにあたり、やはり気になるのはそのコストです。



「WAFのコストは高い」という定説は、WAFのスタート時期からよく言われていたことです。試しに、WAFサービスの料金を調べてみると、そのコストは決して安いとは言えないものがほとんどです。

DTSのWAF自体、平均コストに比較してかなり低コストで済むところを、今回のSaaSサービスによってより幅広い方々の導入が可能となると思います。XSS(クロスサイトスクリプティング)の脅威は最早、大規模運営のサイトだけではなく様々なサイトに及んでいます。

saas










今回のSaaSサービスにより、より多くの、そして多種業社様にお使いいただけると確信しています。

そしてもちろん、コストだけはなく、導入時のシステム変更が不要。導入時のコスト、さらにランニングコストのパフォーマンスも見込めるわけです。
タグ :
WAF
SaaS
クラウド
DTS
オントロジー
SWAF
ブラックリスト弱点
  • dts_1dts_1
  • トラックバック( 0 )
2010年12月10日19:04
カテゴリ
WAF
DTSのWAFのSaaSサービス

「ブラックリスト」「ホワイトリスト」

みだし101210DTSのWAF関連のエントリーで何度となく、(というより、現在のWAF関連のことを語る時に必ず)出てくる「ブラックリスト」というキーワード。今週最後のエントリーでは、このブラックリスト(そして、ホワイトリスト)を考察してみましょう。



ブラックリストとは、不正な値やパターン等を定義したデータベースのことです。この不正な値やパターン等のデータベースと照合して合致した場合防御するのが現在の主なWAFのエンジンです。そして「ホワイトリスト」という方式も存在します。これは逆に正しい値とパターン等を定義した方のデータベース。正しいもののデータベースに照合されない時に防御されるわけです。

ブラックリスト、ホワイトリストの最大の弱点ともいえることは・・・

ブラックリスト方式

●ブラックリストのデータベースに無いものは防御不可能。
未知の攻撃・ゼロデイアタックには効果なし。

ホワイトリスト方式

●膨大なコストがかかる
●サイトの更新毎にデータベースの更新が必要

要は、ブラックリスト、ホワイトリスト共に、端的に言えば「◯か×か」を単純に照合する方式です。

そして何度も解説させていただいているように、DTSのWAFのエンジンはリストに頼らない、オントロジー方式。推測して関連付けをし、自己学習もしていく方式です。


※昨日、一昨日あたりより話題になっているTwitterの短縮URLを利用したウイルス。この週末もくれぐれもご注意くださいませ。


関連記事
□現状のWAFが持つ、重大な危険性。
□WAFのブラックリストは、XSSを通過させてしまうことがあります!(WEB DB 2010 動画)
□DTS の WAF を最もシンプルなFAQ形式で
タグ :
WAF
SaaS
クラウド
DTS
オントロジー
SWAF
ブラックリスト弱点
ホワイトリスト
  • dts_1dts_1
  • トラックバック( 0 )
2010年12月08日17:28
カテゴリ
WAF
DTSのWAFのSaaSサービス

セキュリティ基準「PCI DSS」続報

midashi101208先週のエントリーにも掲載した、セキュリティ基準「PCI DSS」。今日は
さらに具体的な情報を。



PCI DSS(Payment Card Industry Data Security Standard)。クレジットカード業界のセキュリティ標準基準。概略はこちらのエントリーをご覧ください。

PCI DSSに関しては、各クレジットカード会社様が加盟店様用にそれぞれ専用ページを用意していますね。(以下、敬称略とさせていただきます)

アメリカン・エキスプレス

JCB

VISA

マスター


そしてこのPCI DSSの専用オフィシャルサイトも、もちろんあります。


p_1ペイメントカード業界セキュリティ基準協議会(PCI SSC)(英語サイト)(PCI DSSバージョン 2.0関連は現在、日本語サイトを準備中とのことです)






p_2PCI SSCの問診票ダウンロードページ
PCI DSSにはどんな基準なのかを具体的に知るには、PCI SSCが発行している自己問診票がダウンロードできます。






カード会社様の加盟店様向けの要求基準が違うのですが、もちろん、DTSのWAFはすべてのPCI DSSに準拠しています。SaaSサービスも準拠しています。これで、ECサイトを運営されている方々も安心してお使いいただけるわけです。

PCI DSSに関しては、これからもDTSブログでお伝えしていきます。
タグ :
WAF
SaaS
PCIDSS
クラウド
DTS
オントロジー
SWAF
ブラックリスト弱点
  • dts_1dts_1
  • トラックバック( 0 )
2010年12月07日20:44
カテゴリ
WAF
DTSのWAFのSaaSサービス

サイト利用者側としてのXSS対策案が・・・

midashi101207相変わらず、感染の知らせが相次ぐXSS(クロスサイトスクリプティング)。DTSでは、オントロジー型WAFに関連してこのXSSの「管理者側」としての防御策をご紹介してきました。




さて、利用者(閲覧者)側は果たしてどうでしょうか?今日、調べ物をしていてたまたま読んだウイキペディアでの利用者側の記事を読んでその危うさを改めて自覚したのです。引用させていただきましょう。

基本的にはWebサイト側の脆弱性を突いて、Webサイトにアクセスした利用者に任意のスクリプトを実行させる状況であるため、Webサイト管理者側が脆弱性対策を行わずに放置したような場合、サイト利用者側が取れる根本的な対策はほとんどない。
利用者側のポリシーとして「怪しいサイトには行かない」では不十分であり、「脆弱性の対策をしていないサイトは利用しない」という、一般人は有効に適用できそうもないポリシーを取るしかない。
その唯一の例外としては、ブラウザーのスクリプト(Java/ActiveXなどを含む)を無効にすること、スクリプトや動的生成ページを使用しない静的ページのみにアクセスを限定する、という程度である。
ウイキペディア「WAF」より

ご注目いただきたいのは、「Webサイト管理者側が脆弱性対策を行わずに放置したような場合、サイト利用者側が取れる根本的な対策はほとんどない。」という箇所。これはウイキペディアがオーバーに記載しているわけではなく、まさにこの通りなのです。何度か起こった、あのTwitterサイトへのXSS攻撃を思い出してみてください。閲覧者としてはあの時、具体的に解決策がなく、オフィシャルからもアクセスしないことだけが通告されていました。

そして最後にもあるように、唯一の例外がブラウザーのスクリプトを無効にすること・・・もちろん、この時代、これを100%実行してwebブラウジングすることは無意味でしょう。つまり、現段階では利用者としては防ぎようがないのがXSSアタックなのです。ここに記載されているように「一般人は有効に適用できそうもないポリシー」を取ってwebブラウジングすることはほぼ無理なのです。

サイト運営の皆様には、ぜひともこの「利用者が防ぎようがない危険」を今一度考えてみる必要があるかもしれません。この年末年始・・・サイト閲覧をする利用者が、ストレートに顧客になられるようなECサイトを運営されている方々は特に注意が必要かもしれません。

DTSのWAF

DTSのWAF SaaS サービス詳細は現在準備中。もう間もなくの公開となりますので今しばらくお待ちくださいませ。

タグ :
WAF
SaaS
クラウド
DTS
オントロジー
SWAF
  • dts_1dts_1
  • トラックバック( 0 )
2010年12月02日18:39
カテゴリ
WAF
DTSのWAFのSaaSサービス

DTS WAFのインターフェイスのダイジェスト動画

midashi101202DTSパキスタン支社制作のDTS WAFのマニュアル用映像が届きました。
正式版は編集中ですので、まずはダイジェスト的に雰囲気をご覧ください。




DTS WAF SaaSモデルのユーザーインターフェイスは、操作しやすいG.U.Iを採用。リアルタイムな確認、各種ログ・・・もちろん、PDFによるレポート発行機能も搭載されています。





ログ・イン→メイン画面→システムモニター→トラフィック分析機能→統計→構成
→監査ログ
タグ :
WAF
XSS
マルウエア
ブラックリスト
DTS
オントロジールール
  • dts_1dts_1
  • トラックバック( 0 )
最新記事
パキスタンのラボより (2020.2.26)
高橋博士のブログ (2020.2.25)
謹賀新年 (2020.1.1)
Dr.Takahashiの新しい所属大学のご紹介 (2019.12.19)
Bahrainもクリスマス色満載です!(2019.12.18)
初 香港! (2019.12.17)
アゼルバイジャンでの講演 (2019.12.12)
Bahrain大学 (2019.12.11)
高橋博士のブログ開設! (2019.6.7)
IEEEからシニアメンバーの盾が届きました! (2019.6.7)
Archives
2020年02月
2020年01月
2019年12月
2019年06月
2019年04月
2019年03月
2019年02月
2019年01月
2018年11月
2018年08月
2018年07月
2018年01月
2017年12月
2017年11月
2017年09月
2017年08月
2017年07月
2017年06月
2017年05月
2017年04月
2017年03月
2017年02月
2017年01月
2016年12月
2016年11月
2016年10月
2016年09月
2016年08月
2016年07月
2016年06月
2016年04月
2016年03月
2016年02月
2016年01月
2015年12月
2015年11月
2015年10月
2015年09月
2015年08月
2015年07月
2015年06月
2015年05月
2015年04月
2015年03月
2015年02月
2015年01月
2014年12月
2014年11月
2014年10月
2014年09月
2014年08月
2014年07月
2014年06月
2014年05月
2014年04月
2014年03月
2014年02月
2014年01月
2013年12月
2013年11月
2013年10月
2013年09月
2013年08月
2013年07月
2013年06月
2013年05月
2013年04月
2013年03月
2013年02月
2013年01月
2012年12月
2012年11月
2012年10月
2012年09月
2012年08月
2012年07月
2012年06月
2012年05月
2012年04月
2012年03月
2012年02月
2012年01月
2011年12月
2011年11月
2011年10月
2011年09月
2011年08月
2011年07月
2011年06月
2011年05月
2011年04月
2011年03月
2011年02月
2011年01月
2010年12月
2010年11月
2010年10月
2010年09月
2010年08月
2010年07月
2010年06月
2010年05月
2010年04月
2010年03月
2010年02月
2010年01月
2009年12月
2009年11月
2009年10月
2009年09月
2009年08月
2009年07月
2009年06月
2009年05月
2009年04月
2009年03月
2009年02月
2009年01月
2008年12月
2008年11月
2008年10月
2008年09月
2008年08月
2008年07月
2008年06月
Categories
宝はアジアの西にあり! (31)
DTSプロダクト (31)
DTSオントロジー (80)
Ontology based highly accurate URL Filtering (4)
日本ハラールファンデーション (108)
HALAL(ハラル・ハラール) (21)
DTS技術学会情報・報告 (84)
Water Heart (14)
West Asia Investor (12)
DTSの「パキスタンIT情報」 (222)
パキスタン・ビジネスセミナー (5)
Ontologyセミナー (12)
セマンテックセキュリティアセスメント (4)
海外販売ナビ (159)
製品情報 (203)
Mcell (110)
C4 (33)
GAPS (44)
WAF (66)
DTSUSBメモリ (14)
キャンペーン情報 (7)
Virtual Appliance SWAF-VA (3)
DTSのWAFのSaaSサービス (15)
Video Cache-Pro (2)
ma∝ac (13)
PlatinumRE WAFファルーク博士インタビュー (8)
Web Cache-Pro (2)
PlatinumCache for Note PC (7)
Down by download Security Module (4)
Media+Function(メディアファンクション) (4)
ハイブリッド・コールセンターサービス (7)
ec4 for スマートフォン (7)
海外事業推進交流会 (23)
海外事業推進プログラム (1)
真心が伝わる仮想店舗サービス (17)
GSR(ガルバニックスキンレスポンス) (3)
DTSセキュリティアセスメント (2)
Act CLOUD CRM (1)
DTSのだまされたと思って、 2週間ダイエット (7)
dts-1.com リニューアル (2)
海外向けWEBサイト制作サービス (7)
東京マルチメディア (12)
日本の産業を巡る現状と課題を解決する企業集合知の創造 (8)
MCell-SSD (59)
PlatinumCache(R) SSD (35)
PlatinumRE WAF(プラチナム・アール・イー・ワフ) (53)
WebアプリケーションレイヤーセキュリティL7 (5)
DTSサーバ (8)
ビデオWeb配信 Server (13)
メディア掲載情報 (73)
Quick On Security (3)
MCell-II (14)
展示会出展情報 (110)
DTSローコストソリューション (4)
YouTube(動画) (16)
Hafiz Farooq Ahmad博士インタビュー (21)
SUN (2)
VMware (11)
Platinumcache (6)
自律分散型システム (3)
自律分散ネットワーク管理によって実現する屋内野菜工場 (6)
抗酸化水 (1)
白金情報 (13)
つくば市の情報 (9)
上野情報 (21)
METRO ONE (3)
パキスタン (96)
EXPO Pakistan (11)
Greenwich University (27)
教育 (19)
モータースポーツ (9)
品川 (2)
モーリシャス (8)
SAP (2)
ebuy4u.club (2)
人工知能(AI) (7)
芝浦 (4)
DHA Suffer University (3)
Lucky Paper (2)
工学博士 高橋宏尚 (25)
Preston University (2)
10524_bn


mailfフォームボタン
TagCloud
QRコード
QRコード