よくある質問 (Q&A)

ウェブ・アプリケーション・セキュリティについてよくある質問

ウェブアプリケーションファイアウォールの略です。

様々なWAFアーキテクチャが存在しますが、基本的に、ウェブアプリケーションの前に設置し、そのウェブアプリケーションの脆弱性を狙う攻撃パターンをキャッチします。

セキュリティが完璧なウェブアプリケーションにはWAFは必要ありませんが、ウェブアプリケーションの脆弱性を修理する為、アプリケーションの更新は必要になります。企業の複雑化されたウェブサイトの環境更新やアプリケーション更新にはほぼ間に合わないので、WAFはそのバックにある全てのアプリケーションを保護します。そこで、ディベロッパーがアプリケーションを修理するための時間稼ぎをします。

2016/11/4 © ACROSEC Inc.


「プロキシ」という概念は誰かの代わりに何かをするという役割を説明します。IT業界では、クライアントとサーバというコンポーネントの間に仲介的な役割を持つコンポーネントです。プロキシはクライアントとサーバの間に何らかの通信問題を解決ためのコンポーネントです。

しかし、”Http”のレベルでは、通信方法に関して少々違う概念が用いられいます。インバウンドの通信方向をカバーするプロキシは”リバースプロキシ”を示し、アウトバウンドの通信方向をカバーするプロキシは”フォーワードプロキシ”を表示します。他のプロトコルではそのような区別はされていませんので、普通のプロキシという概念が用いられています。

次に、プロキシの大事な区別はその機能に関することです。プロキシはクライアントとサーバの通信を促すためにあるので、ある程度両者の機能を把握しなければなりません。通信プロトコルの機能を満たすためにこれら全ての通信機能を実装することが不可欠です。若しプロキシが通信意外の機能が必要になった場合、クライアントとサーバのアプリケーションレイヤーの機能も受け入れて実装する必要になります。

クライアントとサーバの全ての機能をカバーできるプロキシは少ないです。それは両者の各プロトコルの機能を理解しなければだけでなく、更にアプリケーションのロジックまでカバーする必要があるからです。それを”フルプロキシ”という概念で表しています。こういう意味では、Airlock WAFはプレセンテーションレイヤーまでのフルプロキシですが、ビジネスロジックはカバーされていません。Airlockはアプリケーションレイヤーをサポートするためのインフラストラクチャーとも言えます。

2016/11/4、 last update 2018/07-02 ©ACROSEC Inc.


アプリケーションレイヤーファイアウォールという中立的な概念はアプリケーションレイヤー上(レイヤー5と6)のフィルタリング機能を提供するものです。それを実現する為にはアプリケーションのセッションレイヤーとコンテンツの特徴をある程度理解する必要があります。

アプリケーションレイヤーファイアウォールはスタンドアロンのコンポーネントとして実装されるか、アプリケーションサーバのプラグインとして実装されるかが考えられます。このような機能はディープ・パケット・インスペクションとして、ネクストジェネレーションファイアウォール(次世代ファイアウォール)でカバーされています。

アプリケーション処理の機能をどこまで把握できるのかが課題です。複雑性なウェブアプリケーションの場合では、普通のアプリケーションレイヤーファイアウォールを利用すればプロキシのフィルターリング機能は限界となってしまいます。複雑なウェブアプリケーションをカバーするには多数のプロトコルを実装する必要があり、ウェブアプリケーションの動作と各製品からの影響(例えばブラウサーとウェブサーバのバーションの特徴等)も考慮する必要があります。

WAFはアプリケーションレイヤーファイアウォールの特別な種類です。しかし、全てのWAF機能を次世代ファイアウォールでカバーすると、そのファイアウオールは非常に複雑な製品になってしまいます。専用のWAFはそのファイアウォールより正確にアプリケーションセキュリティのニーズをカバーします。やはり、ウェブアプリケーションセキュリティを提供するにはアプリケーションレベルの特徴を正確に把握する必要があります。それに比べて、ファイアウォールはインフラストラクチャーの世界に限られています。

他の非httpプロトコルのプロキシソリューションもレイヤー5と6のフィルタリング機能が提供すればアプリケーションレイヤーファイアウォールとしてみなされています。とはいえ、数多くのプロキシソリューションは通信機能のみを提供しながら、上のレイヤーのためのフィルタリング機能は提供しません。プロキシソリューションの機能を分析すると、フィルタリング機能と通信機能について特に注意する必要がでてきます。

その意味では、Airlockのようなネットワーク用のWAFはフィルタリング機能を提供するhttpルーターのようにみなされます。

2016/11/4、 last update 2018/07/02 ©ACROSEC Inc.


ウェブアプリケーションへの全てのアクセスを中央的保護と管理することはお勧めです。そのためには数多くのセキュリティ機能又はWAF機能を持つリバースプロキシのアプローチは不可欠です。

2017/1/11 © ACROSEC Inc.


WAFフィルタリング機能を持つリバースプロキシ、およびWebアプリケーションへのアクセスを制御するための集中管理された認証/認可サービスです。

このようなアクセスインフラストラクチャは、WAM / WAFの組み合わせ(WAM:Web Access Management)またはアプリケーションアクセスゲートウェイのようなエッジサーバーとも呼ばれています。Web Entry Serverという用語は、主にヨーロッパのドイツ語圏で使用されており、すべてのWebアプリケーションにアクセスする前に必要がある中央の入口としての役割であることを示しています。

AirlockのようなWAF機能を持つ優れているリバースプロキシサーバーを専用のDMZインフラストラクチャーの中に活かすのは、スイス金融機関でよく見られる使用方法です。

特に高い信頼性を求めてインターネットバンキングアプリケーションをサーポートするため、スイスの金融機関は様々な工夫をしています。例えば、認証を必要とするアプリケーションとそうではないアプリケーションを2つの専用セグメントに分けることで、セキュリティレベルが上がります。認証が必要のないアプリケーションは誰でも利用可能、つまりアクセスが可能です。それは高いリスクを齎すため、認証のアプリケーションサーバーを保護する為に別のセグメントに設定されています。ハッカーが侵入しても、貴重な認証アプリケーションまで侵入するのを食い止めるための工夫です。

2017/1/11, last update 2018/06/29 ©ACROSEC Inc.


「DMZ」 についてよくある質問

IT業界では DMZ(意味:非武装地帯)という概念は他の各信頼レベルのネットワークゾーンの間に存在する特別なネットワークセグメントを示しています。よく知られている DMZ はネットワーク・ペリメーターに、すなわちネットワークの堺のところに存在し、中には各ITコンポーネントとサービスが設置されています(外部向けのインターネットウェブサーバー等)。とはいえ、外部と内部ネットワークの堺だけではなく、内部の各ネットワークの間にもDMZのような形式や使用例もあります。

DMZで大切なのはどのような目的の為に、どのようなデザインの元で、そして実際にどのように利用しているかです。そしてそれと同時に、これらがDMZの定義内容になります。あるDMZが信頼できるネットワークゾーンであるか、そうではない危険なゾーンであるかを見分けるには数多くの綿密な工夫と適切な設定が決め手になります。

とはいえ、DMZをネットワークゾーンのみのように理解すると、ネットワークの管理者と少数の専門家だけのものになってしまいます。そのネットワークの中に何があるか、どんな内容とルールで通信が行われているか、どのように管理されているか、等々の多数の詳細部分までを考慮する必要があります。多数細かい設定項目とルールはDMZのセキュリティレベルを決定しています。そのセキュリティレベルが十分であるかは専門家の知識の判断によるものの、結果としてビジネスのセキュリティニーズに大きな影響を及ぼす可能性があるので、IT関連のビジネスの方にも注目してほしいし、危険性を意識もしてほしいです。

2016/11/07 © ACROSEC Inc.


専用DMZは特定のシナリオの元に作られた実際に存在するDMZの実装です。DMZが作成された時の背景には必ず何らかのニーズがあるが、それを満たす為に、結果的にDMZのデザインはその目的を反映することになります。DMZにはそもそもの目的があるので、それに対応した専用DMZとして意識することは必要です。

しかし、作成後にDMZが長期間存在することにより、作成者以外の他人は本来の目的を理解しないままそのDMZを利用したり、新たなコンポーネントを設置したり、段々とDMZの姿とそのセキュリティ性質が変わっていってしまうことになります。DMZはネットワークセキュリティの中で大切な要素なので、その背景や目的を理解せずに行動すると新たなセキュリティリスクを伴ってしまいます。

このようなリスクを防ぐために、「DMZ」という非常に一般的な概念を利用せず、代わりに「目的の為の専用DMZ」のような具体性を表す適切な概念をDMZに付けて利用すれば有益なリスク対策になります。それだけで、DMZの本来の目的と実際の利害関係者の利用思惑が合致するようになります。

専用DMZのシナリオの必要条件と実際にその中に存在する各アプリケーションとサービスの必要条件は矛盾することなく合致しなければなりません。よいセキュリティを実現する為に、DMZが長期間存在している間に適切な運用管理はもちろんのこと管理者の責任感が問われます。

2016/11/07 ©ACROSEC Inc.


「複数の技術的で、なおかつ細かい部分」だけを説明するのでは不十分です。そのため技術とはいえ、DMZの正体を理解する為に最も大切なのは以下のポイントです:

  • DMZの目的:目的は明確にすべきです。例えば、2つの信頼性が異なるネットワークを結びつける際に通信ゲートウェイサービスを導入して、それを新DMZの中に設定します。両方のネットワークは直接通信はせず、通信はいつもこのゲートウェイ経由のみで行われます。通信を目的とするというのを定義として記憶させ、ポリシー化までするのがお勧めです。
  • 現在の具体的な設定環境:例えば、仮想化の程度、セグメントの数、レイヤーによる通信の数、ファイアウォールルール、通信開始の方向性、使用されたプロトコルの機能、実際に存在するサービス、プロキシとゲートウェイの存在、他サーバーと他アプリケーションの存在等。
  • 実際にどのように利用されているか:DMZにある現在のアプリケーションとサービスとデータの存在によって性質が変わります。その為、DMZの中身を理解する為にその中にあるサービスとそのデータ分類が非常に大切です。
  • 期待通りか、そうでないか:DMZの設定とその利用に関わる数多くの関係者の思惑を統一させる必要があります。さもなければセキュリティの問題が発生しやすくなります。DMZの使用期間中にデザインが矛盾することなく全ての関係者の必須条件を現実のDMZ設定上で保護することは極めて難しいです。その為、DMZに関するコンポーネントに厳しいガバナンスとチェンジマネジメントが必要不可欠です。

2016/11/07 © ACROSEC Inc.


DMZの作成に当たって以下の詳細を考慮する必要があります:

  • 設計する前に、そのDMZの最大の目的を明確にする
  • 設計する際に、デュアルホームDMZ*か、シングルホームDMZ*かというデサインを選択する
  • DMZの中の各セグメントに関して、外部用セグメントであるか、内部用セグメントであるか、管理用セグメントであるか等を明確にする
  • DMZのインフラストラクチャーコンポーネントとアプリケーションサーバーのシステム管理は専用の管理インタフェースを利用するかどうか等
  • スイッチの数を決定する際、どんなセグメントがスイッチを共有するか等(セキュリティ強化の為に外部と内部のセグメントは共有スイッチを利用しないのが一般的)
  • DMZの中のコンポーネントのどれを仮想化にするのか、物理的にするのかを決定すること
  • DMZ専用ネットワークサービスを作成するか、既存のいずれかのサービスを再利用するか(社内DNSとADをインターネットDMZで再利用するのはリスクを招くことになる等)
  • DMZをどのように利用するのか、運用するのか、オーナーの指定等のポリシーの作成が不可欠です
  • 運用の為のチェンジマネジメントの作成と監査責任の指定を明確にすること等
  • その他

注意点: 上記のリストはあくまでも基本的な提案で、絶対的なリストではありません。
*注意点: デュアルホームDMZが2つのファイアウォールを持ちながら(外部と内部)、2つのネットワークセグメントを持ちます。シングルホームDMZのデサインは一つのファイアウォールだけを持ち、設定を間違えやすいデサインとなりその為リスクが高くなります。

2016/11/07 © ACROSEC Inc.


Airlockの購入に当たってよくある質問

「お問い合わせフォーム」もしくは、アクロセックに直接メール又はお電話をお願いいたします(info@acrosec.jp、045-716-9905)

ご購入までのプロセスは、以下のようになります。

  1. 商品のデモ、お客様のアーキテクチャコンサルティング等
  2. 無料のトライアルライセンスでAirlockを体験(問い合わせによって30日間〜数カ月間)
  3. お客様のニーズに合わせたお見積
  4. ご購入の際、以下の三種類の契約があります:
    • ソフトウェア使用許諾契約
    • ソフトウエアサブスクリプション契約(1年間)
    • お客様のニーズに合わせて、特別なローカルサポート契約がお勧めです(お客様のITサービスプロバイダー等)
  5. ライセンス料金の支払い後、ライセンスキーが手渡されます。
  6. Airlockの管理画面上でライセンスキーをコピーペーストするとアクティベーションが行われます。

ご注意:料金がAcrosecの口座に振り込まれた時点で、ライセンスキーをお渡しいたします。

2017/01/12 © ACROSEC Inc.


申込方法:無料体験版にご興味がある方はこちらの問い合わせフォームをご使用ください。

Airlock無料体験版のダウンロード・インストールは次のステップで行われます(エンジニア向けのご説明):

1.適切なテスト環境をご選択下さい

スペック:x86の64ビット互換性マシン、2GHz以上、2GBメモリ以上、20GBデイスク容量以上

ご注意点:Airlock WAFはセキュリティデバイスなのでインストールされたシステムを完全に支配するように作成されています。OSがインストールされるのと同じように全てのド ライブがフォーマットされてしまいます。この点について十分ご注意いただきながら、適切なテストシステムのみにインストールして下さい。

VirtualBoxやVMWare等のような仮想マシンがお勧めです。Airlock WAFをDockerホストとして使用したい場合(開発・テスト環境またはDev/Opsのパイプラインの環境など)は、”ネスト仮想化”(ベアメタル上のVT-XおよびAMD-Vや、ネスト仮想化をサポートする仮想マシンなど)という設定を有効する必要があります。

2.ネットワークアダプタのMACアドレスに結び付けられた無料体験版ライセンスキーの発行

インストールの後にはライセンスキーの入力が必要となりますので、必ず2a)と2b)のステップを踏んでください。

2a) ライセンスに興味がある方はこちらの問い合わせフォームをご使用ください。問い合わせの内容とお客様の背景によりライセンスキーの利用期間は30日~4ヶ月です。

  • ライセンスキーはネットワークアダプタのMACアドレスに結び付けられる仕組みなので、Airlockが実際に利用されるシステムのネットワークアダプタのMACアドレスをお伝えください。仮想マシンの中の仮想ネットワークアダプタのMACアドレスでも大丈夫です。多数のネットワークアダプタが存在する場合は、その一つだけを教えていただければ大丈夫です。
  • フォームをご送信ください。
  • サーバーから自動確認メールに返事する必要がありません。

2b) 無料体験版ライセンスの許可を得られた場合:

  • ダウンロードとインストールに関する情報のメールが送られます。
  • 以下のステップ3へ進んでください。(メーカーのサイトに登録、ファイルのダウンロードとインストーロの作業)。

2c) ライセンスキーの作成が出来たら、直ぐメールでご連絡させていただきます。数日かかる場合があります。但し、ライセンスキーでAirlockをアクティベートすることは最後のステップなので、ダウンロードとインストールには必要ありません。

3.Airlock WAFのダウンロードと起動可能媒体の作成

以下のダウンロードページにアクセスできるようにまずメーカーのサイトに登録する必要があります。

ダウンロードのファイル

ファイル チェックサムSHA256 コメント
airlock_ISO_x64_7.0.iso b8e4c7db875392963a012
ecaae4357d23c88e4278af
b233bd5c3f8d22902ec2a
ISO image for full system installations

Airlock WAFは「airlock_ISO」のファイルとしてダウンロードしてください。

「ISO」のファイルなので直接インストールすることは出来ません。その為、起動可能な媒体(DVD及びUSBドライブ)の制作が必要です。起動可能媒体の作成はリナックスOSのインストール準備の際と同じ方法です。

4.インストールおよび、その後のライセンスキーの導入

インストールは起動可能な媒体によって行われます。リナックスOSのインストールの際と同じ方法です。

インストールが終了したら、Airlockの管理GUIにアクセスし、ライセンスキーを管理ページにおいてコピー&ペーストしてアクティベートする必要があります。

その後、ご自身のIT環境と構築に合わせて設定を行ってください。その際、Airlockの機能利用が可能です。またAirlockの機能を検討しながら、ヘルプページとhttps://techzone.ergon.chのドキュメンテーションをご利用することをお勧めします。

2017/2/9、 last update 2018/07/11 ©ACROSEC Inc.


このページには、Airlock WAFのダウンロード、インストール、および設定に役立つリンクがいくつか用意されています。リンク先がメーカーのTechzoneサイトのコンテンツ(英語)です。

ダウンロード

インストールと設定

Airlock WAFの特徴:ルールとシグネチャーなし高セキュリティ保護機能

Airlockのセキュリティについて

Webアプリケーションデリバリー関連(リバースプロキシ)

2017/1/28 © ACROSEC Inc.


Airlock Techzoneは、Airlockをサポートするための主要な情報サイトです。

https://techzone.ergon.ch/content

数多く便利なドキュメントには直接アクセスできますが、ユーザーアカウントが必要なものもあります(ダウンロード等)。

Techzoneは各テーマで構成されていますが、検索する方が効率的です。

2017/1/28 © ACROSEC Inc.


Airlock についてよくある質問

WAFの世界は大まかに2つに分けられます。本来のフィルターリングを中心とするWAFと、認証セッション処理上で様々な許可サービスが可能となるWAFです。

Airlock WAFは企業のウェブアプリケーションへのサイバー攻撃の基本対策として、アプリケーションの脆弱性をカーバーします。更にAirlock WAFにAirlock Login を追加することによりユーザー認証とアクセスコントロール機能を簡単に実現します。Airlock WAFとAirlock Loginをバンドルすることにより、スイスの各金融機関がよく使用しているハイエンド型のウェブ・エントリ・サーバー ソリューションが可能となります。

ハイエンド型のセキュリティソリューションでも、高いセキュリティレベルを保つためには専用DMZネットワークの適切なセキュリティ設定が必要になります。

家に例えると、Airlock WAFは防犯性の高い扉と玄関とその出入のチェック機能の役割を担いますが、それだけでは十分ではなく、丈夫な扉があっても、ビルの壁がなければセキュリティの意味は無くなってしまいます。更に、裏のドアと窓が簡単に開けられてしまう様では意味が無く、結局完璧なセキュリティーとは、ビル全体の状況を考える必要があるということになります。そのために専用DMZネットワークを基礎にした、アプリケーション毎の適切な環境作りをお勧めしてます。

Airlockはセキュリティゲートウェイとしてとても効果的です。上述の例え話を続けると、Airlock Coreはビルの玄関の出入のボディーチェックと荷物チェックを実施し、危険物がビルに侵入できないようなセキュリティ機能の役割を果たします。そして、ビルのセキュリティを更に強化すると、承認された人以外は入れないような認証強化チェック機能が追加されます。認証強化モジュールの役割はこれと同じになります。

2016/10/20 © ACROSEC Inc.


Airlockはスイスのエルゴン社によって2002年から開発され、長年のヒット商品として、スイスの金融機関などで使用されています。エルゴン社はドイツ語でErgon Informatik AGで、情報技術に関する目的で設立された会社です。

2016/11/4、 last update 2018/07/11 ©ACROSEC Inc.


それはシナリオと必要条件のニーズによって異なります。

一般的なウェブアプリケーションシナリオの中で、Airlock WAFはアプリケーションの前に設置され、インターネットのアプリケーションの場合、インバウンドDMZ用の専用のIT環境が必要になります。このDMZ環境の設計作成はお客様にゆだねられますが、ベストプラクティスがお勧めです。例えば、全てのアプリケーション用のインバウンド通信を中央セキュリティゲートウェイとしてのAirlock WAFにルーティングするのはいかがでしょうか。

Airlock WAFは強化されたコンポーネントですが、やはり普通のファイアウォールも必要になります。Airlock Loginを利用する場合、AirlockWAFのサーバー上又は別の後ろのアプリケーションサーバー上に実装することが可能です。

クラウド環境の作成シナリオは上述の必要条件と設定はと少々異なります。

2016/11/4 © ACROSEC Inc.


はい、インストールには一つのイメージだけが必要で、適切なx86仮想マシンに実装しクラウドセキュリティサービスとしてのAirlock WAFの提供が可能になります。Ergon社の仮想マシンの公式サポートはVMwareに限っていますが、他の仮想マシンにインストールされたケースもありました。

注意点:クラウドのシナリオにはセキュリティ設定の変更を考えなければいけません。例えばバックエンドのアプリケーションサーバーに接続する場合等、必ずhttpsか別のVPNを利用しなければなりません。

2016/10/20 ©ACROSEC Inc.


スイスのエルゴン社はAirlockスイートのクリエイターで、株式会社アクロセックのメインパートナーです。

優れた人材が生み出す優れたソフトウェア: スイスのErgon社

エルゴン情報技術株式会社 (ドイツ語で Ergon Informatik AG)は1984年に創業、現在従業員255人以上を擁するスイスの IT最先端企業です。社員の 80% はソフトウェア専門開発者で、その多くが世界大学ランキング・トップ 10 に入るスイス連邦工科大学チューリヒ校 (ETH-Zurich) 出身の ITエンジニアです。エルゴン社は、その優れた人事政策によりいくつもの賞を受賞しています。エルゴン社は多様性に満ちた会社で、その サービスを幅広く社会に提供しています。特に金融サービス業界、Eコマース業界、電気通信業界、そしてセキュリティ業界では専門性の高い技術を提供しています。1997年に、エルゴン社はスイス金融業界で初めてのインターネットバンキングを開発しました。エルゴン社のセキュリティ製品として Airlock Suite は2002年に販売を開始し、現在世界350社以上で利用されています。

2016/11/4 ©Ergon Informatik AG