PCI DSSのドキュメントについて(半分ネタ)
ここから辿れば、PCI DSS v1.2*1のドキュメントにアクセス出来る。
Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards
からはWAFに関する補足事項などが記載された
『Requirement 6.6 Application Reviews and Web Application Firewalls Clarified』
にアクセスすることも出来る。
直リンクになるけど、
https://www.pcisecuritystandards.org/pdfs/japanese_infosupp_6_6_applicationfirewalls_codereviews.pdf
へのリンクって何処に行ったの?教えて偉い人。
あまりにも翻訳の品質が低くてリンク外されたの????(毒
*1:英語版の最新版7月にリリースされたv1.2.1だけど
Trend MicroもWAF市場へ参入か!?
Hybrid Cloud Security Solutions | Trend Micro
という製品がUSではリリースされているらしい。
元々は、Third Brigade社の『Deep Security』という製品だけど、Trend Microが買収して入手。
ホスト型FW/IDS/IPSにWeb Application Protection*1の機能を付けた製品っぽい。
この間のSecuritySolutionでも参考展示されていたので、国内展開も年内には始まるのかな?
価格は、
http://www.reuters.com/article/pressRelease/idUS144102+13-Jan-2009+PRN20090113
からの引用だけど、
Deep Security 6 is available today through Third Brigade and its distributors.
Software list price for 500 servers ranges from $150/server for single module
protection, to $600/server for comprehensive protection, with all modules.
Pricing for unlimited virtual machines per VMware ESX host is also available.
ということなので、かなーり安い。
特徴としては、ホスト(=OS)上にAgentを仕込むので、ホスト型のWAF製品と言うところ。
海外では、Apache HTTP Server用やIIS用のホスト型WAF製品がいくつかあるけど、この製品はそれらPlug-in型の製品ではなく真に『サーバーレジデント型』と言える製品というところか。
SiteGuardも似た様な構成を取れると言うことだけど、FAQや過去の情報からすると同一サーバ上で内部的にプロキシしているだけの様だから、WAFというカテゴリで言うと新しい形態になるのかな?*2
あまり情報がないので、今後の情報公開に期待します。
SaaS型WAFサービス
日立情報、SaaS型のWebアプリケーションファイアウォールサービスを提供 - Enterprise Watch Watch
というわけで、
日立情報システムズさんがSaaS型WAFサービスを始めるってさ。
ニュースリリースはこちら↓
http://www.hitachijoho.com/news/2009/090908.html
価格は、
<販売価格>
◆初期費用: 157,500円(税込)
◆月額利用料: 99,750円 (税込)〜
(1ドメインの基本費用)
ということだから、
初年度は、最低でも年間1,354,500円かかるってことですな。
初期費用は、VM立ててDNS設定するためのルーチンワークに掛かる価格というところか。
翌年度は、最低年間1,197,000円からってことで、運用に掛かる費用をどうみるかが難しいところ。
記事中に、JP-Secure社の名前が出ていることからSiteGuardを利用しているのだろうけど、
機能的にはさくらインターネットのサービスと同様に制限しているっぽいから、
http://www.jp-secure.com/cont/products/price.html
に掲載されている価格分の価値がないと思われる。
トラステッドシグニチャを自動更新で運用するなら、メンテナンスはほぼ発生しないだろう*1から、
サーバー管理者が片手間に
「過剰検知や誤検知ないかなぁ?問い合わせあれば見ればいっかぁ」
的に運用出来るとするとサーバー台数が5台までなら
「SiteGuard for Server」
を買った方が得じゃね?とか思ってしまうなぁ。
あと、SaaS型WAFサービスということなら
価格・料金体系 | クラウド型WAFサービス Scutum【スキュータム】*2
も参考にトラフィックによる価格体系と企業規模を天秤に掛けて、どちらを選択するかを決めた方が良さそうだな。
まぁ、SiteGuardには天下のLACが作っているシグニチャという看板があるので、お偉い人にはどちらのウケが良いかは一目瞭然なわけだが。
(9/9追記)
日立情報のサイトにWAFサービスに関する情報が公開されてた。
http://www.hitachijoho.com/solution/shield/express/web/waf.html
月額費用は、
| 契約単位 | 月額費用 | |
|---|---|---|
| 1ドメイン基本費用 | 1Mbps〜 | 99,750円〜(税込) |
となっている様だ。
SSTのScutumだと、ピーク時500kbps〜5Mbpsまでの価格が、59,800円(税込62,790円)なので、価格的には圧倒的にSSTの方が安い。
【注意】
いずれのサービスもDNSレコードの変更が発生します。
したがって、DNSの設定変更が自社のDNSサーバからインターネット上のDNSサーバへ全て反映されるまでには、時間を要するということを認識する必要があります。
また、クライアントPCから自社Webサーバへの経路は、
- クライアントPC->インターネット->自社Webサーバ
から
- クライアントPC->インターネット->SaaS型WAFサービス事業者->インターネット->自社Webサーバ
という経路になるので、
DNSレコードの反映後は、
- クライアントPC->インターネット->自社Webサーバ
というアクセスは拒否する様にネットワーク上の設定変更をする必要があります。*3
サービス導入に関しては、記載されているけどその後の作業について触れられていないのは、企業姿勢としてどうかと思いますが、、、*4
可能性を感じさせるRequest Filtering Module
つい先日知ったのだが、IIS7.xでは、UrlScanのほぼ全ての主要機能がRequest Filtering Module(要求フィルタ)という名称のネイティブモジュールに組み込まれて提供されているそうだ。
IIS7.xにもUrlScanを導入することが出来るが、あくまでもISAPIフィルタとしての導入になる。
そして、設定変更にIIS Managerやappcmdツールを使うことが出来ない。
もちろん、WMIプロバイダ経由でのアクセスも無理だし、PowerShellでの管理も難しいだろう。
モジュールとして提供され、IIS7.xに組み込むことが出来ると言うことは、IIS7.xの管理ツールが一通り使えるということだ。
Administration Pack for IIS Managerを使えば、GUIベースで設定変更することが(手入力が必要とはいえ)可能になるし、IIS 7.0 Manager for Remote Administrationを使って、リモート管理も可能になる。
ただし、それだけなら可能性を感じることはなかった。
なぜ可能性を感じさせると書いたのかというと、要求フィルタがマネージドモジュールではなく、ネイティブモジュールで書かれている点。
ネイティブモジュールなら、PostDataに対するチェックも実装次第で可能になる。パフォーマンス的な理由でUrlScanでは実装されていない様なので、将来性のある要求フィルタではオプションとして、PostData部分に対するチェックも可能になってほしい。
現時点では、独自のルールを追加することが出来るという記述が見つからないが、今後もUrlScanの機能がどんどん組み込まれていって、独自のルールが書ける様になった上で、PostDataのチェックが可能なら、無償の簡易WAFとしての有用性が高まる。
簡易WAFという表現には語弊があるかも知れないけど、
例えばWebアプリに脆弱性が潜んでおり、修正までに時間を要するくせに、選択項目をちゃんとチェックしていなかっただけというお粗末なものに対して、バーチャルパッチとして、特定のパラメータに関して許容する文字列を限定させる。
そんな使い方での対策がしやすくなるんじゃないか?と思う。
何より、MS純正のWAFならホスト型を嫌がるSEでも、気持ち的に安心して入れてくれる気がするしw*1
*1:希望的観測すぎる?w
受付方法について
まっちゃ445ではGoogleフォームを使って受付を行っているけど、実はこないだの第09回からこんな感じ↓のテンプレを作って利用してたりします。
この申し込みフォームで申し込みを受け付けたら、GoogleSpreadsheetで勉強会くん (139kun)用のデータを自動的に生成する様になっているので、勉強会くんにコピペして送信すれば良い様になっています。
テンプレでは、メルアドを2重入力して貰って間違い確認を行ってますし*1、受付や質問を追加するときの手順について記載したシートも用意してたりもします。
もちろん、
- 受付番号の採番
- 受付メール文章の作成
- キャンセル待ちメール文章の作成
などが必要なんだけど、
テンプレを再利用することでメールで受け付けることより作業量は激減すること確実です。
Gmailのアカウントが必要になるかもですが、もしこのテンプレートを欲しい方がいれば、ページ上部のメルアド宛にメールいただければ共有しますよ。*2
あまりに酷すぎてワラタw
Webアプリにおける11の脆弱性の常識と対策 (1/4):Webアプリの常識をJSPとStrutsで身につける(11) - @IT
指摘しだしたら止まらないから、敢えて突っ込まない*1が、『など』という言葉を単語の後に付けることで全て逃げているとか、対策が書いてないとか、ウソ書いてるとか、ホントどうにかして欲しい。
*1:つっこむ気も起きないが・・・
まっちゃ445
先週土曜日(8/29)に開催された
第09回 まっちゃ445勉強会 (まっちゃ445勉強会)にて、
id:ripjyrさんから代表を引き継ぎました!
6時間で講師7人に喋っていただくという非常に濃い半日でしたが、
講師をはじめ、参加いただいた皆さんに満足いただけている様で、本当に運営側としてとても満足しています。*1
ちょうどタイムリーな感じにJavaMailのソースを眺めたり、メール関連のRFCや仕様について調べていたんだけど、迷惑メール対策というカテゴリについては、自分でサーバー管理してないのでリーチ出来てなかったので、余計に新鮮に且つ楽しむことが出来た。
やっぱり新しい智を得るのは快感だw
そういえば懇親会でいくつか質問を受けましたな。
Q:勉強会の名前は、『ヴァルカン445』になるんですか?
Q:『ヴァル445』とかになるんですか?
Q:『M445ヴァルカン』
とかとか(ry
んーっと、
最初は判るとして後のは殺虫剤とか潤滑剤とかバルカン砲を思わせる様なネーミングッスなぁ(w
「いっそのこと『ヴァルカン443』とか!』
という意見もあった気がするんですが、
A:勉強会の名前は変えるつもりはありません
というのがANSWERです♪
というわけで、*2
今後とも“美味しい”まっちゃ445勉強会をよろしくお願いしますw
