世界初、従来のパターンマッチングではない論理演算基盤のハッキング遮断エンジンを搭載

Home / サービス案内 / もっとも進化したセキュリティ技術 / 世界初、従来のパターンマッチングではない論理演算基盤のハッキング遮断エンジンを搭載

論理演算基盤のハッキング遮断サービス

Web traffic trail that leads to different numbered points like 1, 2, 3, 25, and 26
クラウドブリックは、世界各国170,000サイトより信頼され、コモンクライテリアのEAL4を取得した国際セキュリティ基準のサービスを提供しているペンタセキュリティのWAPPLESの論理演算基盤のハッキング遮断技術を適用したサービスです。

01. 従来型WAFの技術的限界

第1世代WAF製品の主な動作仕組みは、Intrusion Prevention System(IPS)から引き継げられたシグネチャベースのパターンマッチングでした。具体的動作仕組みは、知らされている攻撃パターン(ブラックリスト)及びアクセスが許可されているパターン(ホワイトリスト)を、既に管理者が登録しておくことによってWebトラフィックをアプリケーションレベルで分析を行い、その内容が登録されているパターンと合致するかどうかを確認することでした。パターンマッチングをベースとした第1世代のWAFは、新種及び変種の攻撃に対しては実際上、無防備の状態であるため、Webアプリケーションを安全に保護するに限界がありました。偽陽性の発生によるWebサービスの可用性を阻害し、長期運用によるパフォーマンス劣化、そして運用負担にまで、第1世代のWAFは、基本構造及び概念がWebアプリケーションセキュリティのとは根本的にあわなかったため、多様化されて行くWeb攻撃に対応するに適切なWebアプリケーションセキュリティ手法にはなれませんでした。
第2世代WAFは、第1世代WAFの限界であった運用上の困難を克服するための努力から生まれました。代2世代WAFは、保護対象であるWebアプリケーションを分析し、ポジティブ・セキュリティ・モデル(Positive Security Model)のためのセキュリティポリシー(ホワイトリスト)を自動作成する機能を搭載したことが特徴であります。しかしながら、この機能は利用可能性が極めて低く、却って製品のパフォーマンスを低下させてしまうことが懸念されます。結局、第2世代のWAFは、Webアプリケーション・セキュリティの本質を理解し、その工夫の結果を製品に反映するという努力の産物ではなく、第1世代WAFの基本構造を維持しながらもリスト管理の利便性のみを高めようとしていた産物だと思われます。シグネチャーベースのパターンマッチング方式を採用している限り、第2世代WAFも第1世代WAFの限界を乗り越えていないと言えます。

02. 第3世代Webアプリケーションファイアウォール、COCEP

前世代のWAFの限界を克服するために、第3世代プロトタイプのノンシグネチャベースのエンジンを開発し、それはCOCEPと言います。COCEPとは、Contents Classification and Evaluation Processingであり、26個のルールに構成されています。各ルールは多様化されて行く攻撃類型およびメカニズムに対し、論理分析及び対応を行います。個別ルールに実現されている10件以上の条件を経つことにより行われ、各条件は、ブラックリスト(Black List)方式及びホワイトリスト(White List)方式を、片方、もしくは両方を使用するため、この条件が統合されたルールによってインテリジェントで総合的に攻撃性を判断できます。このプロセスはわずか0.001秒で完了されるため、目に見える遅延は一切見られません。シグネチャーをベースにしていないため、管理者の負荷を軽減し、誤検知を最小限に抑え、新種・亜種の攻撃にもリアルタイムで対応できることが、第3世代WAFの優位性と言えます。クラウドブリックの基盤には、この第3世代WAFが採用されています。

03. 偽陽性(false positive)および偽陰性(false negative)

クラウドブリックの基盤に採用されているCOCEPは、Tollyレポートによりますと、競合他社のWAFより誤検知が少ないと報告されています。誤検知には、正常な通信に対し攻撃として検知してしまう偽陽性と、不正なアクセスに対し、正常と判断し通してしまう偽陰性の2種類がありますが、クラウドブリックは、他社と比べ、偽陽性および偽陰性の両方の誤検知が少ないとTolly(Tolly Report 2015)からも実証されています。

04. PCI-DSS適合証明のWebアプリケーションファイアウォール

クラウドブリックは、その基盤であるWebアプリケーションファイアウォール(WAF)に対し、PCI-DSS適合証明(PCI DSS要件6.6)されているため、本クラウドサービスを利用することで、コンプライアンスに準拠したセキュリティ対策が設けられます。

05. 進化したボット対応

クライアントブリックは、アドバンスクライアント識別技術、クラウドソーシング、レピュテーションベースの技術を採用し、悪意あるボットと単純サーチとを区別できます。そのため、Webサイトに対し、サーチエンジン、合法的サービス等を維持しながら、サーバの運用を妨害するスクレーパー、攻撃の前段階として下調べのための脆弱性スキャナ、スパム的な書き込み等を識別し、遮断します。

06. 世界17ヶ国にて証明された技術

当社は、1997年の創立以来、Webセキュリティおよびデータ暗号化に特化したセキュリティ専門企業として成長してまいりました。クラウドブリックに採用されている当社の独自の検知エンジンであるCOCEPは、30の特許を取得しており、サムソン、LG、IBM、韓国政府のほか、世界17ヶ国2,500カスタマーに信頼されて10周年を迎えました。クラウドブリックを介し、シンプルに導入して頂き、高度なセキュリティ対策を設けられますようサポートしてまいります。