クラウド型WAF WAF BENKEIのよくある質問
Webの情報漏えい対策に有効な、オロのクラウド型サイト専用WAF(Web Application Firewall)「WAF BENKEI(弁慶)」
この度はWAF BENKEIに興味をもっていただき、ありがとうございます。
このページでは、WAFについての基本的なご説明・WAF BENKEIの特徴・導入時の注意事項など
これまでお問い合わせいただいた内容を、よくある質問としてまとめてご紹介いたします。
なお、このよくある質問に記載されていない事柄も、お気軽にお問い合わせいただければ幸いです。
Q:WAFとはなんですか?
A:Web Application Firewallの略になります。外部ネットワークからWebアプリケーションへの不正通信を防ぐハートウェア・ソフトウェアです。
Q:シグネチャとはなんですか?
A:情報セキュリティの用語として不正アクセスなどサイバー攻撃の【攻撃パターンの定義】を意味します。企業やサイト運営におけるセキュリティポリシーにあわせ、攻撃対象を定義するためのカスタマイズが必要となります。
Q:FQDNとはなんですか?
A:「FQDN」とは、「Fully Qualified Domain Name」の略で、 いわゆる「絶対ドメイン名」と呼ばれることが多くあります。
DNSの階層構造において、 ある特定のノードからDNSのルートまでのすべてのラベルを並べて書いたものがFQDNです。
弊社のドメインでいうと、WebサーバのFQDNは「jp.oro.com.」となります。
Q:ピークトラフィックとはなんですか?
A:ピークトラフィックとは、インターネットやLANなどのコンピューターなどの通信回線において、一定時間内にネットワーク上で転送される最大データ量のことを示します。
Q:利用開始するまでにどのくらいの日数がかかりますか?
A:ご利用プランやお客さまの環境によって異なりますが、手続き完了後最短で約3営業日にて導入できます。
Q:サーバー環境やサイト環境によって、導入出来ない場合がありますか?
A:はい、多くの場合導入可能です。
ただし、一部例外として導入出来ない環境・調整が必要な環境があります。サイトを構成しているサーバー環境の資料をご準備ください。
【導入可能例】AWSサーバー・その他レンタルサーバー(契約内容によっては導入出来ない場合あり)
【導入調整例】ECサイトでの導入。決済モジュールで外部サイトへの遷移が必要な場合、決済モジュール都合で、WAFが正しく動かない場合がある。決済モジュール側での変更設定が必要となった。
Q:初期費用がかかるのは、初年度だけでしょうか?
A:はい。契約が続いている次年度以降は年額費用のみかかります。
ただし、一度解約した後に同一FQDNで再契約する際は、初期費用がかかります。
Q:最低契約期間はありますか?
A:はい。最低契約期間は1ヶ月〜となっております。月単位でのご契約となります。
Q:無料トライアルはありますか?
A:はい、あります。基本的にHostsファイルのIPを書き換えることで、通信をWAF経由にすることでトライアル活用していただきます。
WAFの機能としては、デフォルト設定のシグネチャを用いてのテストとなります。
14日間の無料トライアルとなりますので、お気軽にご相談ください。
Q:お支払い方法はどのような種類がありますか?
A:基本的に請求書対応が多くの形となっております。クレジットカード対応はしておりません。
Q:サービスの稼働時間はどのように成っておりますか?
A:24時間・365日稼働しております。
Q:サポート窓口の営業時間を教えてください。
A:平日10:00-18:00で対応しております。メールまたはお電話にて営業担当までご連絡ください。
Q:一番多いトラブルは?
A:販促/マーケ部門との連携が疎かになり、想定ピークトラフィックを越えた通信が発生してしまい、コストが増大した。
Q:誤検知ってなんですか?
A:攻撃対象の不正通信として、社内ネットワークなど本来不正通信でないものを「攻撃対象となる不正通信」と検知し、
通信遮断をしてしまうことです。初期設定で正しく設定することで、誤検知を防ぐことが可能です。
Q:ゼロデイ攻撃に対応していますか?
A:新たな攻撃が登場した場合、追加シグネチャの作成・適応がゼロデイで対応することは 保証しておりません。
Q:DDos攻撃を防御することは可能でしょうか?
A:いいえ、WAFではDDosを防御できません。契約トラフィックを大幅に越えたトラフィックが発生した場合、タイムアウトを起こす可能性が大きいです。
Q:WAF導入前にアプリケーションの脆弱性診断を実施することは可能ですか?
A:はい、可能です。弊社営業窓口までご相談ください。
Q:<低価格帯サービスとの比較>他の同じような金額のサービスと異なる点は?
A:大きなポイントは3点
1:弊社がシステム開発およびインフラ環境設計・保守をやって必要としているWAFのため十分な機能性を有している。
2:占有WAF環境の提供
3:FQDNごとにWAF環境を構築するため、小規模であってもカスタマイズ性に優れております。
Q:防御対象となる攻撃は?
A:以下の攻撃に対してWAF BENKEIは効果を発揮します。
クロスサイトスクリプティング(XSS)
SQLインジェクション
OSコマンドインジェクション
ディレクトリトラバーサル(パストラバーサル)
バッファオーバーフロー
SSIインジェクション
LDAPインジェクション
DDos攻撃などは他ソリューションを活用して防御していただく必要があります。
Q:SEO対策などに影響は有りますか?
A:導入により、不正通信かどうかチェックすることでレスポンスは低下しますが、体感できるレベルではないように構築します。よって、SEOの重要な要素のひとつであるサイト表示スピードには大きな影響はないようにしております。しかし、環境によっては影響があるかもしれませんので、無料トライアルを活用いただきレスポンス差異の発生有無を確認することをオススメします。