2013年8月12日
株式会社ジェイピー・セキュア
株式会社ジェイピー・セキュア(本社:川崎市幸区、代表取締役:矢次弘志、以下、JP-Secure)は、ゲートウェイ型ウェブアプリケーションファイアウォール(以下、WAF)「SiteGuard(サイトガード)」の新バージョン(Ver5.00)をリリースしました。
昨今、ホームページの改ざんをはじめとするウェブサイトを介したセキュリティ事故が後を絶ちません。特に今年に入ってからは、大量のIDとパスワードのリストを用いた不正ログイン攻撃と呼ばれる脅威が社会問題化しており、ポータルサイトやショッピングサイトなど多くのウェブサイトが被害を受けています。また、SQLインジェクション攻撃やクロスサイトスクリプティング攻撃に代表される、ウェブアプリケーションの脆弱性を悪用する攻撃も継続して多数発生しています。このような背景から、ウェブサイトを保護する専用ツールであるWAFの普及が進んでいます。メジャーバージョンアップとなる「SiteGuard」の新バージョン(Ver5.00)では、最新の脅威への対応とユーザービリティの向上を目的に、防御機能と管理機能を大幅に強化しています。
バージョンアップの概要
1.不正ログイン攻撃への対応
トラステッド・シグネチャ(攻撃のパターン)をベースとした検査機能に加え、アクセス頻度を判定する機能を実装しました。ログイン画面に対する高頻度のアクセスを検出することで、被害が多発する不正ログイン攻撃(ブルートフォース攻撃など)の影響を低減できるようになります。
2.クロスサイトリクエストフォージェリ(CSRF)対策の強化
セッション管理機能を強化し、必要なページへのトークン埋込みと一致検査を行うクロスサイトリクエストフォージェリ(CSRF)対策の機能を実装しました。
3.クリックジャッキングへの対応
クライアントに対するレスポンスに、指定したHTTP応答ヘッダフィールドを追加する機能を実装しました。”X-FRAME-OPTIONS”を指定してクリックジャッキングを防止するなど、ウェブサーバーの設定変更が難しい場合に活用いただける機能です。
4.複数インスタンスの一元管理
「SiteGuard」は、同一OS(仮想環境OS含む)上であれば、1ライセンスで複数インスタンスをご利用いただける製品です。新たに実装したマルチインスタンス機能により、各種防御設定や通知設定などをインスタンス毎(最大10個)に設定し、一元管理できるようになります。
5.管理インターフェースの視認性と操作性の改善
管理インタフェースを全体的にブラッシュアップし、動作状況やログをはじめ、様々な情報が確認しやすくなりました。お客様からいただいたお声を反映して設定画面を見直すなど、操作性も大幅に向上しています。
6.通知機能の改善
攻撃や障害を検出した際に送信する通知メールについて、サマリ形式で送信する機能を実装しました。短時間に大量の検出が発生した場合にも、効率的に検出内容を確認できるようになります。
7.運用補助機能の改善
バックアップ・リストアの効率化やプロセス監視機能の強化、設定変更時の履歴保存機能の追加など、運用に関わる様々な機能の実装、改善を行いました。
「SiteGuard」Ver5.00 ホーム画面
「SiteGuard」Ver5.00 検査/防御設定画面例
「SiteGuard」Ver5.00 アクセスログ確認画面例
「SiteGuard」の特長
1.高い防御性能を誇るシグネチャ検査機能
実績あるトラステッド・シグネチャをベースとしたブラックリスト型の防御機能を搭載しています。検査対象の除外や独自の防御ルール作成など、個別のご要件にも柔軟に対応できるカスタム・シグネチャ検査機能を備え、Cookieの暗号化やセッション管理といったシグネチャ検査を補完するセキュリティ機能も充実しています。
2.柔軟かつシンプルに、スムーズスタート&らくらく運用
トラステッド・シグネチャは出荷時点で最適な設定となっているため、インストール後にチューニングすることなく、すぐにご利用いただけます。新しくリリースされるトラステッド・シグネチャは自動更新が可能ですので、サイトリニューアルやコンテンツ更新の度にWAFの設定を変更する必要がなく、専門的なスキルがないお客様でも容易に運用できます。
3.シンプル設計、直感的な管理インタフェース
シンプルさをコンセプトに、設定項目を必要最低限に絞り込んでいるため迅速に導入することができます。高度な知識がなくともご利用いただけるよう、すべての設定は直感的な ウェブベースの管理インタフェース上で実現できます。設定ファイルを編集することで、管理インタフェースを使用しない運用も可能です。
4.完全国産の安心感、顧客満足度No.1
日本のウェブ文化を熟知した完全国産製品である「SiteGuard」は、管理インタフェース、マニュアル、サポート等はすべて日本語対応です。2013年4月に株式会社イードが実施した「セキュリティ製品およびサービスの顧客満足度調査 WAF部門」において最優秀賞を獲得するなど、その品質は高く評価されています。
本リリースにあたり、パートナ企業様より以下のエンドースメントを頂いております。(五十音順)
ディーアイエスソリューション株式会社様からのエンドースメント
ディーアイエスソリューションは、高い防御機能と管理機能を強化したWAF製品「SiteGuard」Ver5.00のリリースを歓迎します。弊社は「SiteGuard」を重点製品として位置づけ、ジェイピー・セキュア社のご支援の下、積極的に弊社顧客に販売していく所存です。「SiteGuard」を活用し、日本企業におけるセキュリティ環境の向上に尽力いたします。
ディーアイエスソリューション株式会社
第1事業部 副事業部長
山嵜雅嗣 様
HASHコンサルティング株式会社様からのエンドースメント
以前にも増して、ウェブが物騒な状況になってきました。従来からの攻撃に加え、不正ログインが増えている状況は、ウェブサイトの脆弱性対処に対する「格差」の表れであろうと考えます。この点、「SiteGuard」Ver5.00が、従来からの高いSQLインジェクション防御能力に加えて、不正ログイン対策やクロスサイト・リクエストフォージェリ、クリックジャッキング等の防御能力を強化したことは、まことに時宜にかなうものであり、幅広いウェブサイトのニーズに適応するものと確信しております。
HASHコンサルティング株式会社
代表取締役
徳丸浩 様
株式会社日立システムズ様からのエンドースメント
近年、ウェブサーバーへの攻撃手法はますます多様化してきておりウェブサーバー側での対策が困難なケースも増えてきております。このたびの「SiteGuard」Ver5.00のリリースにより、当社のセキュリティソリューションSHIELD(セキュリティコンサルから導入、運用までワンストップで提供するサービス)においても、多様化する攻撃に対しウェブサーバー側での対策を最小限としつつ、ウェブサーバーを防御することが可能となり、幅広いお客様にご満足頂けるものと確信しております。
株式会社日立システムズ
ネットワークサービス事業部 ネットワークインテグレーション本部 主任技師
藤田晶彦 様
株式会社ラック様からのエンドースメント
ジェイピー・セキュア社の新製品「SiteGuard」Ver5.00の発表を歓迎します。現在、サイバー攻撃による事件・事故が数多く報道されていますが、国産の同社製品により、ウェブサイトの被害を未然に防げることに期待しております。私たちも巧妙になる脅威を発見するシグネチャの提供を通して、同社を引き続き応援させていただきます。
株式会社ラック
常務執行役員 セキュリティ事業本部 本部長
丸山司郎 様