WAF(Scutum)
WAF(Webアプリケーションファイアウォール/Scutum)とは、サイト上のアプリケーションに特化したファイアウォール機能をSaaS型で提供するサービスです。
ユーザーからの入力を受け付けたり、リクエストに応じて動的なページを生成したりするタイプのサイトを不正な攻撃から守る役割を果たします。一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで解析できるのが特徴です。
特長
かんたん導入
サーバー側作業は不要で、通常1週間あれば稼働開始可能です。ご利用企業様では、DNS変更とSSL証明書情報、秘密鍵の受け渡しのみで導入準備は完了です。
おまかせ運用
セキュリティとシステム運用のプロが24時間365日フルサポート。アップデートも自動的に行われるため、お客様が何もしなくても防御能力が進化。サイト運営者は日々の管理は特に意識することなく、最新のセキュリティ対策を維持することが可能です。
個別の管理画面で管理
管理機能は、ご契約者様専用ページ内の個別管理画面から、ブラウザー経由で手軽かつセキュアにご利用いただけます。
仕様
主要機能
| 防御機能 | あらかじめ登録されている不正な通信パターンを検出した場合、 該当通信を遮断する機能 |
|---|---|
| モニタリング機能 | あらかじめ登録されている不正な通信パターンを検出した場合、 該当通信を記録する機能(通信自体は遮断されません) |
| ログ機能 | Scutumにて検出された不正と思われる通信を記録し、閲覧できる機能 |
| ソフトウエア更新機能 | Scutumの防御機能などを向上させるため、ソフトウエアを更新する機能 |
| シグネチャ更新機能 | 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能 |
| 特定URL除外機能 | 防御機能が不必要なWebページを防御対象から除外する機能 |
| レポート機能 | 下記の内容を管理画面(ブラウザー利用)上で報告する機能
|
| IPアドレス拒否機能 | 特定のIPアドレスからの通信を拒否する機能 |
| SSL通信機能 | 暗号化された通信においても解読し、防御する機能 |
オプション機能
| 月次報告書 | 攻撃の傾向を月次でご報告します。 |
|---|---|
| キャプチャ認証追加機能 | 任意の箇所にキャプチャ認証を導入できます。 |
防御できる主な攻撃
下記のように、Webアプリケーションの脆弱性に対する主要な攻撃の多くをカバーしています。
新たな脆弱性についても、随時シグネチャーを更新して対応いたしますので、お客様側では特に意識することなく、最新のセキュリティ対策を維持することが可能です。
| 攻撃区分 | 攻撃名称 |
|---|---|
| 認証 |
|
| クライアント側での攻撃 |
|
| コマンドでの実行 |
|
| 情報公開 |
|
| マルウエア対策 |
|
料金
基本料金
ピーク時トラフィックは、プラン内で利用する全ホストの合計トラフィックとなります。
プラン合計のトラフィック基準にかかわらず、1FDQN当たりのピーク時トラフィック上限の目安は、200Mbps~300Mbpsとなります。
トラフィック算定基準はあくまでも目安となります。実際のご利用状況により異なる場合があります。
| プラン名 | ピーク時トラフィックの目安 | 初期費用(税抜) | 月額費用(税抜) | 基本ホスト数 | ホスト追加 |
|---|---|---|---|---|---|
| 低トラフィックプラン | ~500kbps | 98,000円 | 29,800円 | 1FQDN ※SSL/TLS利用可 ※固有IPアドレス有 |
不可 |
| ~5Mbps | 59,800円 | ||||
| ~10Mbps | 128,000円 | ||||
| 高トラフィックプラン | ~50Mbps | 198,000円 + 10FQDNを超えた 1FQDNあたり19,800円 |
148,000円 | 可 ※オプションのホスト追加費用に従って無制限に追加可能 |
|
| ~100Mbps | 198,000円 | ||||
| ~200Mbps | 298,000円 | ||||
| 200Mbps~ | 298,000円 + 200Mbpsを超えた 100Mbps毎に100,000円 |
高トラフィックプラン向けオプション
| オプション名 | 単位 | 初期費用(税抜) | 月額費用(税抜) | |
|---|---|---|---|---|
| ホスト追加 SSL/TLS利用なし | 1FQDN | - | 5,000円 | |
| ホスト追加SSL/TLS利用あり | 1FQDN | - | 固有IPアドレス 無(SNI) | 5,000円 |
| 1FQDN | - | 固有IPアドレス 有 | 10,000円 | |
各プラン共通オプション
| オプション名 | 単位 | 初期費用(税抜) | 月額費用(税抜) |
|---|---|---|---|
| 月次報告書 | 1FQDN | - | 20,000円 |
| キャプチャ認証追加機能 (3URLまで設置可能) |
1FQDN | 500,000円 | 50,000円 |
追加/変更設定料金
FQDN数の追加/変更
初期設定後のFQDN設定の変更、ホスト追加SSL/TSL利用を「有」から「無」(またはその逆)に変更する場合に下記料金が発生します。
低トラフィックプランは、1FQDNのみ利用可能です。2FQDNのご利用の場合は、2契約目の追加申込が必要になります。
高トラフィックプランは、追加設定後のFQDN数に応じて「ホスト加算料金」に記載の費用が必要となります。
| プラン名 | 設定件数 | 都度料金(税抜) |
|---|---|---|
| 低トラフィックプラン | 1FQDN | 98,000円 |
| 高トラフィックプラン | 1FQDN | 98,000円 |
| 2~10FQDN | 198,000円 | |
| 11FQDN~ | 198,000円 + 10FQDNを超えた1FQDNあたり19,800円 |
トラフィックの変更
初期設定後にトラフィックプランを変更する場合は、下記料金が必要となります。
トラフィックプランはプラン内でトラフィック容量(ピーク時トラフィック目安)を変更する場合もFQDN数に応じて都度料金が発生します。
複数FQDNをご利用の場合、合計のトラフィック容量を変更せずFQDN毎のトラフィック割合を変更する際にも都度料金が発生します。
| プラン名 | 都度料金(税抜) |
|---|---|
| 高トラフィックプラン → 低トラフィックプラン | 98,000円 |
| 低トラフィックプラン → 高トラフィックプラン | 198,000円 |
| 高トラフィックプラン → 高トラフィックプラン(~10FQDN) | 198,000円 |
| 高トラフィックプラン → 高トラフィックプラン(11FQDN~) | 198,000円 + 10FQDNを超えた1FQDNあたり19,800円 |
料金に関する注意事項
- ※お申し込み後、ご利用開始まで10営業日程度かかります。余裕をもってお申込みください。
- ※サービス設定完了の連絡をもちまして、ご利用開始とさせていただきます。
- ※初期費用は、申込当月の20日までに設定が完了した場合は、当月度分としてご請求いたします。申込当月の21日以降に設定完了した場合は、翌月度分としてご請求いたします。
- ※利用開始月は、月額料金を無料でご利用いただけます。
- ※利用開始翌月1日からの1カ月間を最低利用期間とします。最低利用期間経過前に解除する場合は、1カ月分の利用料金を請求いたします。
- ※プラン、ライセンスなどご利用内容変更時の新料金は、変更翌月より反映されます。ご利用解除時は、解除月分までの利用について料金が請求されます。
- ※サービスの設定変更や解除は、20日までに申請した場合、申請月当月に設定変更・解除されます。21日以降月末までに申請した場合、申請月翌月に設定変更・解除されます。
- ※ニフクラを解約する場合、解約前までに本サービスの契約を解除いただく必要がございます。
- ※利用開始月・解除月の日割り計算による割り引きはいたしません。
- ※サービスの設定変更・解除は、下記フォームからの申請が必要です。
料金例
料金例1:ご利用開始後、3カ月目に追加設定を行った場合
ご利用内容
| お申し込み時の設定 | 利用プラン | 10Mbps~50Mbps |
|---|---|---|
| 利用FQDN数 | 7FQDN(ホスト追加SSL/TLS利用あり:1FQDN、 ホスト追加SSL/TLS利用なし:6FQDN) |
|
| 追加設定(3カ月目) | 追加FQDN数 | 1FQDN (ホスト追加SSL/TLS利用あり:1FQDN) |
ご利用料金
| 1カ月目(利用開始) | 2カ月目 | 3カ月目(追加設定) | 4カ月目 | |
|---|---|---|---|---|
| 合計 | 198,000円 | 178,000円 | 276,000円 | 188,000円 |
| 設定料金 | 198,000円 | - | 98,000円 | - |
| 月額料金(50Mbps) | - | 148,000円 | 148,000円 | 148,000円 |
| ホスト追加SSL/TLS利用あり(固有IP) | - | - | - | 10,000円 |
| ホスト追加SSL/TLS利用なし | - | 30,000円 | 30,000円 | 30,000円 |
料金例2:新規申込で12FQDN利用する場合
ご利用内容
| お申し込み時の設定 | 利用プラン | 10Mbps~50Mbps |
|---|---|---|
| 利用FQDN数 | 12FQDN (ホスト追加SSL/TLS利用あり:5FQDN、 ホスト追加SSL/TLS利用なし:7FQDN) |
ご利用料金
| 1カ月目(利用開始) | 2カ月目 | 3カ月目 | 4カ月目 | |
|---|---|---|---|---|
| 合計 | 237,600円 | 223,000円 | 223,000円 | 223,000円 |
| 月額料金(50Mbps) | 198,000円(10FQDN) 19,800円×2(2FQDN) |
- | - | - |
| 月額料金 | - | 148,000円 | 148,0000円 | 148,0000円 |
| ホスト追加SSL/TLS利用あり(固有IP) | - | 40,000円 | 40,000円 | 40,000円 |
| ホスト追加SSL/TLS利用なし | - | 35,000円 | 35,000円 | 35,000円 |
資料ダウンロード
ご利用方法
お申し込み
本サービスのお申し込み、設定変更、解除については、下記フォームよりお申し込みください。
- ※ニフクラIDとパスワードの入力が必要です。
- ※お申し込み時にログインされたニフクラIDでのご登録となります。
事前準備
事前準備として以下の資料をお客様からご提出いただきます。
- サイト情報を記入したヒアリングシート
環境設定
提出いただいた資料をもとに、センターにてお客様環境の設定を行います。
なお、環境設定からサービス開始まで10営業日程度かかります。
サービス開始
お客様環境にてDNSを変更していただき、Scutum経由での通信を開始(サービスの開始)となります。
モニタリング・検証
1カ月間モニタリングを行うことで正常な通信を止めていないか検証を行います。必要であれば設定変更を行います。
設定変更・解除
各種申請後、Scutumサポートよりヒアリングシートを送付致します。
ヒアリングシートをご返送いただいてから翌営業日起算で5営業日ほどで設定が完了いたします。
注意事項
- クライアント証明書には対応しておりませんので、Scutumを導入することはできません。
- Scutumを導入することにより、ホップ数が増えること、不正な通信かどうかチェックをすることから、レスポンスが低下する可能性があります。しかし、環境により差が出る可能性もございますので、DNS変更前に、hostsファイルを変更し、事前にレスポンスの差異をご確認されることを推奨します。
- 5~10MB以上のデータのアップロード、ダウンロードの処理がある場合、体感速度が遅延する可能性が高くなりますので、データのアップロード、ダウンロードのテストも実施ください。
- 見積もりを取得するために、5分単位のトラフィックレポートが必要です。レポートがない場合、サイトのURLとページビュー(日単位、週単位、月単位)から算出します。
- Webサーバーと同一サーバーにてFTP、SSH、SMTPなどをご使用されている場合、Scutumを導入することにより、Webホスト名でのアクセスができなくなります。このような場合、例えば、FTPソフトに設定するための別のホスト名(ftp.example.comなど)をご用意いただくか、あるいは、IPアドレスを直接設定して使っていただく必要がございます。SSHやそれ以外のサービスについても同様となります。
- Scutumは、正常通信の誤検知が発生しないように作られておりますが、まずはブロックはせず、ログだけをとるような形でスタートし、正常な通信を止めることがないか、一定期間確認させていただきます。
国際的なウェブサイトなど、英字での入力が多いケースの場合は、より注意が必要となりますので、事前にご相談ください。 - ファイアウォールで同じIPアドレスからの同時接続数を制限している場合、その設定を解除していただく必要があります。
- アクセスするIPアドレスを場合により変更する可能性や、データセンターの障害時などScutum側でのDNS変更が可能となるため、CNAMEでの変更を推奨しております。
- 月次報告書の提出は、翌月10営業日前後にお客様が指定されたメールアドレスに送付いたします。
制限事項
- WAF(Scutum)で対応できるプロトコルは、httpとhttpsとなります。
- WAF(Scutum)を導入することにより、ソース元IPアドレスがすべてWAF(Scutum)のものとなります。ソース元IPアドレスを使用し、お客様のサイトにて何らかの作業を実施している場合はご注意ください。
ソース元IP使用例
- アクセス解析
- ソース元IPアドレスを利用したWebアプリケーションによる表示変更
- ソース元IPアドレスを利用したロードバランシング
- 本来のアクセス元IPアドレスは、HTTPヘッダ内に以下のような形でお送りする形となりますので、必要に応じて設定変更が必要となる場合がございます。
X-Forwarded-For: xxx.xxx.xxx.xxx(ソース元IPアドレス) - ファイアウォールから適用でWAF(Scutum)以外からのアクセスを禁止することで、よりセキュアな環境が構築できます。
しかし、現在は検索エンジンに登録された情報を利用した外部からの攻撃が大多数であることから、WAF(Scutum)側ではファイアウォールの設定の有無は、お客様の判断にお任せしております。
以下を参考にご判断ください。
ファイアウォールで制限をした場合のメリット
ドメイン名でなくIPアドレスにてアクセスを実施した場合についても防御が可能となる。
ファイアウォールで制限をした場合のデメリット
万が一のデータセンター障害時、DNSの変更と同時にお客様側でファイアウォールの変更を実施していただく形になる。
- SSL通信をご利用の場合、暗号化された通信をWAF(Scutum)内で復号し、通信内容を確認します。 その後、再度暗号化しお客様Webサーバーへ送信する形になりますので、SSL証明書のライセンスが追加で必要になります。
- IPv6には対応しておりません。
- クライアント証明書を利用する場合は事前にお問い合わせください。
- 下記のサイトではご利用いただくことはできません。
- アダルトサイトなど公序良俗に反するサイト
- 低レイテンシーを保証または要求されるサイト
サポートについて
障害やトラブル時などのお問い合わせは、ニフクラにて24時間365日承っておりますが、対応時間は提供企業窓口に準じることとなりますので、あらかじめご了承ください。
ニフクラ ソリューションサービスについて
ニフクラパートナーがソリューションを提供し、ニフクラが販売するサービスです。
ソリューションパートナーのGDPRへの対応方針につきましては、こちらをご確認ください。
- ※本ページ記載の金額は、すべて税抜表示です。
- ※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
- ※本ページの内容は、2020年6月30日時点の情報です。
