WAF(Scutum)
2019年4月1日にWAF(Scutum)の一部料金について、改訂を行いました。詳細につきましては、以下のページをご確認ください。
WAF(Webアプリケーションファイアウォール/Scutum)とは、サイト上のアプリケーションに特化したファイアウォール機能をSaaS型で提供するサービスです。
ユーザーからの入力を受け付けたり、リクエストに応じて動的なページを生成したりするタイプのサイトを不正な攻撃から守る役割を果たします。一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで解析できるのが特徴です。
特長
かんたん導入
サーバー側作業は不要で、通常1週間あれば稼働開始可能です。ご利用企業様では、DNS変更とSSL証明書情報、秘密鍵の受け渡しのみで導入準備は完了です。
おまかせ運用
セキュリティとシステム運用のプロが24時間365日フルサポート。アップデートも自動的に行われるため、お客様が何もしなくても防御能力が進化。サイト運営者は日々の管理は特に意識することなく、最新のセキュリティ対策を維持することが可能です。
個別の管理画面で管理
管理機能は、ご契約者様専用ページ内の個別管理画面から、ブラウザー経由で手軽かつセキュアにご利用いただけます。
仕様
主要機能
| 防御機能 | あらかじめ登録されている不正な通信パターンを検出した場合、 該当通信を遮断する機能 |
|---|---|
| モニタリング機能 | あらかじめ登録されている不正な通信パターンを検出した場合、 該当通信を記録する機能(通信自体は遮断されません) |
| ログ機能 | Scutumにて検出された不正と思われる通信を記録し、閲覧できる機能 |
| ソフトウエア更新機能 | Scutumの防御機能などを向上させるため、ソフトウエアを更新する機能 |
| シグネチャ更新機能 | 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能 |
| 特定URL除外機能 | 防御機能が不必要なWebページを防御対象から除外する機能 |
| レポート機能 | 下記の内容を管理画面(ブラウザー利用)上で報告する機能
|
| IPアドレス拒否機能 | 特定のIPアドレスからの通信を拒否する機能 |
| SSL通信機能 | 暗号化された通信においても解読し、防御する機能 |
オプション機能
| 月次報告書 | 攻撃の傾向を月次でご報告します。 |
|---|---|
| キャプチャ認証追加機能 | 任意の箇所にキャプチャ認証を導入できます。 |
防御できる主な攻撃
下記のように、Webアプリケーションの脆弱性に対する主要な攻撃の多くをカバーしています。
新たな脆弱性についても、随時シグネチャーを更新して対応いたしますので、お客様側では特に意識することなく、最新のセキュリティ対策を維持することが可能です。
| 攻撃区分 | 攻撃名称 |
|---|---|
| 認証 |
|
| クライアント側での攻撃 |
|
| コマンドでの実行 |
|
| 情報公開 |
|
| マルウエア対策 |
|
料金
基本料金
低トラフィックプラン
基本ホスト数:1FQDN(SSL/TSL利用可)
ホスト追加:不可
| プラン(ピーク時トラフィックの目安) | 初期費(税抜) | 月額(税抜) |
|---|---|---|
| ~500kbps | 98,000円 | 29,800円/月 |
| 500kbps~5Mbps | 59,800円/月 | |
| 5Mbps~10Mbps | 128,000円/月 |
高トラフィックプラン
基本ホスト数:1FQDN(SSL/TSL利用可)
ホスト追加:上限なしで可能(有償)※1
| プラン(ピーク時トラフィックの目安) | 初期費(税抜) | 月額(税抜) |
|---|---|---|
| 10Mbps~50Mbps | 198,000円 ※2 | 148,000円/月 |
| 50Mbps~100Mbps | 198,000円/月 | |
| 100Mbps~200Mbps | 298,000円/月 | |
| 200Mbps超/100Mbps毎 ※3 | 298,000円/月に加算して 100,000円/100Mbps毎/月 ※4 |
- ※12FQDN以降のホスト追加は「ホスト加算料金」に記載の費用が必要となります。
- ※210FQDNまでの申込:一律で198,000円です。
11FQDN以上の申込:198,000円 に加えて、10FQDNを超えた1FQDNあたり19,800円 が必要となります。
(例)「12FQDN」の場合は、237,600円 - ※3100Mbps毎のお申し込みが可能です。
- ※4200Mbpsを超える申込:298,000円 に加えて、100Mbps毎に100,000円/月が必要となります。
(例)「300Mbps~400Mbps」の場合は、498,000円/月
- ※ピーク時トラフィックは、プラン内で利用する全ホストの合計トラフィックとなります。
- ※プラン合計のトラフィック基準にかかわらず、1FQDNあたりのピーク時トラフィック上限の目安は、200Mbps~300Mbpsとなります。
- ※トラフィック算定基準はあくまでも目安となります。実際のご利用状況により異なる場合がございます。
ホスト加算料金
高トラフィックプラン
| FQDNの追加内容 | 月額費(税抜)※1FQDNあたりの料金 | |
|---|---|---|
| ホスト追加SSL/TLS利用なし | 5,000円/月/FQDN | |
| ホスト追加SSL/TLS利用あり | 固有IPアドレス・無(SNI) | 5,000円/月/FQDN |
| 固有IPアドレス・有 | 10,000円/月/FQDN | |
- ※20日までに設定完了した場合は、当月末に初期費用を請求いたします。21日以降に設定完了した場合は、翌月に請求いたします。
- ※利用開始月は、月額料金を無料でご利用いただけます。
- ※利用開始翌月1日からの1カ月間を最低利用期間とします。最低利用期間経過前に解除する場合は、1カ月分の利用料金を請求いたします。
- ※プラン、ライセンスなどご利用内容変更時の新料金は、翌月より反映されます。
- ※当月中にサービス解除を行う場合は、20日までにご申請ください。21日以降の申請の場合は、翌月分の月額料金が発生します。
- ※ニフクラを解約する場合、解約前までに本サービスの契約を解除いただく必要がございます。
- ※利用開始月・解除月の日割り計算による割り引きはいたしません。
追加設定/変更設定料金
低トラフィックプラン
低トラフィックプランは、1FQDNのみ利用可能です。2FQDNのご利用の場合は、2契約目の追加申込が必要となります。
| 設定件数(追加/変更) | 都度料金(税抜) |
|---|---|
| 1FQDN | 98,000円 |
下記の変更に対して設定費用が必要となります。
- ホスト追加SSL/TLS利用を「有」から「無」(またはその逆)に変更する場合、変更設定費用98,000円が必要となります。
- FQDN名を変更する場合、変更設定費用98,000円が必要となります。
高トラフィックプラン
初期設定後にFQDNの追加設定をする場合、またはFQDNの変更設定をする場合は、設定または変更するFQDN数に応じて下記料金が必要となります。
| 設定件数(追加/変更) | 都度料金(税抜) |
|---|---|
| 1FQDN | 98,000円 |
| 2~10FQDN | 198,000円 |
| 11FQDN~ | 198,000円に加算して 19,800円/1FQDN毎 ※ |
- ※11FQDNを超える設定:198,000円 に加えて、10FQDNを超えた1FQDNあたり19,800円 が必要となります。
(例)「12FQDN」の場合は、237,600円
下記の変更に対して設定費用が必要となります。- ホスト追加SSL/TLS利用を「有」から「無」(またはその逆)に変更する場合、FQDN数に応じて上記の変更設定費用が必要となります。
- FQDN名を変更する場合、FQDN数に応じて上記の変更設定費用が必要となります。
- 追加設定後のFQDN数に応じて「ホスト加算料金」に記載の費用が必要となります。
トラフィックプランの変更料金
初期設定後にトラフィックプランを変更する場合は、下記料金が必要となります。
| 都度料金(税抜) | |
|---|---|
| 低トラフィックプラン→高トラフィックプラン | 198,000円 |
| 高トラフィックプラン→高トラフィックプラン ※1 ※2 | 198,000円 |
| 高トラフィックプラン→低トラフィックプラン | 98,000円 |
- ※1100Mbpsプラン(高トラフィックプラン)から50Mbpsプラン(高トラフィックプラン)へ変更する場合も、FQDN数に応じて変更料金が必要となります。
- ※210FQDNまでの利用:一律で198,000円です。
11FQDN以上の利用:198,000円に加えて、10FQDNを超えた1FQDNあたり19,800円 が必要となります。
(例)「12FQDN」の場合は、237,600円
- ※トラフィックプランの変更は、変更後の初期費用と同等の設定費用が発生します。
- ※トラフィックプランの変更とFQDN数の変更を同時に行う場合は、弊社までお問い合わせください。
オプション料金(各プラン共通)
| 月額(税抜) | ||
|---|---|---|
| 月次報告書 | 20,000円/1FQDN/月 | |
| 初期費(税抜) | 月額(税抜) | ||
|---|---|---|---|
| キャプチャ認証追加機能 | 3カ所まで認証設置可能 | 500,000円 | 50,000円/月 |
料金例
料金例1:ご利用開始後、3カ月目に追加設定を行った場合
ご利用内容
| お申し込み時の設定 | 利用プラン | 10Mbps~50Mbps |
|---|---|---|
| 利用FQDN数 | 7FQDN(ホスト追加SSL/TLS利用あり:1FQDN、 ホスト追加SSL/TLS利用なし:6FQDN) |
|
| 追加設定(3カ月目) | 追加FQDN数 | 1FQDN (ホスト追加SSL/TLS利用あり:1FQDN) |
ご利用料金
| 1カ月目(利用開始) | 2カ月目 | 3カ月目(追加設定) | 4カ月目 | |
|---|---|---|---|---|
| 合計 | 198,000円 | 178,000円 | 276,000円 | 188,000円 |
| 設定料金 | 198,000円 | - | 98,000円 | - |
| 月額料金(50Mbps) | - | 148,000円 | 148,000円 | 148,000円 |
| ホスト追加SSL/TLS利用あり(固有IP) | - | - | - | 10,000円 |
| ホスト追加SSL/TLS利用なし | - | 30,000円 | 30,000円 | 30,000円 |
料金例2:新規申込で12FQDN利用する場合
ご利用内容
| お申し込み時の設定 | 利用プラン | 10Mbps~50Mbps |
|---|---|---|
| 利用FQDN数 | 12FQDN (ホスト追加SSL/TLS利用あり:5FQDN、 ホスト追加SSL/TLS利用なし:7FQDN) |
ご利用料金
| 1カ月目(利用開始) | 2カ月目 | 3カ月目 | 4カ月目 | |
|---|---|---|---|---|
| 合計 | 237,600円 | 223,000円 | 223,000円 | 223,000円 |
| 月額料金(50Mbps) | 198,000円(10FQDN) 19,800円×2(2FQDN) |
- | - | - |
| 月額料金 | - | 148,000円 | 148,0000円 | 148,0000円 |
| ホスト追加SSL/TLS利用あり(固有IP) | - | 40,000円 | 40,000円 | 40,000円 |
| ホスト追加SSL/TLS利用なし | - | 35,000円 | 35,000円 | 35,000円 |
ご利用方法
お申し込み
本サービスのお申し込み、設定変更、解除については、下記フォームよりお申し込みください。
- ※@nifty法人IDとパスワードの入力が必要です。
- ※お申し込み時にログインされた@nifty 法人IDでのご登録となります。
事前準備
事前準備として以下の資料をお客様からご提出いただきます。
- サイト情報を記入したヒアリングシート
- 証明書、秘密鍵
環境設定
提出いただいた資料をもとに、センターにてお客様環境の設定を行います。
なお、環境設定からサービス開始まで10営業日程度かかります。
サービス開始
お客様環境にてDNSを変更していただき、Scutum経由での通信を開始(サービスの開始)となります。
モニタリング・検証
1カ月間モニタリングを行うことで正常な通信を止めていないか検証を行います。必要であれば設定変更を行います。
設定変更・解除
注意事項
- クライアント証明書には対応しておりませんので、Scutumを導入することはできません。
- Scutumを導入することにより、ホップ数が増えること、不正な通信かどうかチェックをすることから、レスポンスが低下する可能性があります。しかし、環境により差が出る可能性もございますので、DNS変更前に、hostsファイルを変更し、事前にレスポンスの差異をご確認されることを推奨します。
- 5~10MB以上のデータのアップロード、ダウンロードの処理がある場合、体感速度が遅延する可能性が高くなりますので、データのアップロード、ダウンロードのテストも実施ください。
- 見積もりを取得するために、5分単位のトラフィックレポートが必要です。レポートがない場合、サイトのURLとページビュー(日単位、週単位、月単位)から算出します。
- Webサーバーと同一サーバーにてFTP、SSH、SMTPなどをご使用されている場合、Scutumを導入することにより、Webホスト名でのアクセスができなくなります。このような場合、例えば、FTPソフトに設定するための別のホスト名(ftp.example.comなど)をご用意いただくか、あるいは、IPアドレスを直接設定して使っていただく必要がございます。SSHやそれ以外のサービスについても同様となります。
- Scutumは、正常通信の誤検知が発生しないように作られておりますが、まずはブロックはせず、ログだけをとるような形でスタートし、正常な通信を止めることがないか、一定期間確認させていただきます。
国際的なウェブサイトなど、英字での入力が多いケースの場合は、より注意が必要となりますので、事前にご相談ください。 - ファイアウォールで同じIPアドレスからの同時接続数を制限している場合、その設定を解除していただく必要があります。
- アクセスするIPアドレスを場合により変更する可能性や、データセンターの障害時などScutum側でのDNS変更が可能となるため、CNAMEでの変更を推奨しております。
- 月次報告書の提出は、翌月10営業日前後にお客様が指定されたメールアドレスに送付いたします。
制限事項
- WAF(Scutum)で対応できるプロトコルは、httpとhttpsとなります。
- WAF(Scutum)を導入することにより、ソース元IPアドレスがすべてWAF(Scutum)のものとなります。ソース元IPアドレスを使用し、お客様のサイトにて何らかの作業を実施している場合はご注意ください。
ソース元IP使用例
- アクセス解析
- ソース元IPアドレスを利用したWebアプリケーションによる表示変更
- ソース元IPアドレスを利用したロードバランシング
- 本来のアクセス元IPアドレスは、HTTPヘッダ内に以下のような形でお送りする形となりますので、必要に応じて設定変更が必要となる場合がございます。
X-Forwarded-For: xxx.xxx.xxx.xxx(ソース元IPアドレス) - ファイアウォールから適用でWAF(Scutum)以外からのアクセスを禁止することで、よりセキュアな環境が構築できます。
しかし、現在は検索エンジンに登録された情報を利用した外部からの攻撃が大多数であることから、WAF(Scutum)側ではファイアウォールの設定の有無は、お客様の判断にお任せしております。
以下を参考にご判断ください。
ファイアウォールで制限をした場合のメリット
ドメイン名でなくIPアドレスにてアクセスを実施した場合についても防御が可能となる。
ファイアウォールで制限をした場合のデメリット
万が一のデータセンター障害時、DNSの変更と同時にお客様側でファイアウォールの変更を実施していただく形になる。
- SSL通信をご利用の場合、暗号化された通信をWAF(Scutum)内で復号し、通信内容を確認します。 その後、再度暗号化しお客様Webサーバーへ送信する形になりますので、SSL証明書のライセンスが追加で必要になります。
- IPv6には対応しておりません。
- クライアント証明書を利用する場合は事前にお問い合わせください。
- 下記のサイトではご利用いただくことはできません。
- アダルトサイトなど公序良俗に反するサイト
- 低レイテンシーを保証または要求されるサイト
サポートについて
障害やトラブル時などのお問い合わせは、ニフクラにて24時間365日承っておりますが、対応時間は提供企業窓口に準じることとなりますので、あらかじめご了承ください。
ニフクラ ソリューションサービスについて
ニフクラパートナーがソリューションを提供し、ニフクラが販売するサービスです。
ソリューションパートナーのGDPRへの対応方針につきましては、こちらをご確認ください。
- ※本ページ記載の金額は、すべて税抜表示です。
- ※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
- ※本ページの内容は、2019年7月1日時点の情報です。
