Cisco ACE Web Application Firewall

Cisco ACE Web Application Firewall バージョン 6.0

Product Bulletin





Cisco ACE Web Application Firewall バージョン 6.0


Product Bulletin

Cisco® ACE Web Application Firewall は、Cisco ACE 製品シリーズに追加された最新の製品です。HTML ベースと Extensible Markup Language(XML; 拡張マークアップ言語)ベースの両方の Web アプリケーションに、完全なプロキシ ファイアウォール ソリューションを提供します。

Cisco ACE Web Application Firewall は、HTML と XML のセキュリティを独自に組み合わせることで、Payment Card Industry Data Security Standard(PCI DSS; クレジット カード業界のセキュリティ基準)バージョン 1.1 の第 6.5 項 および 6.6 項の要件を遵守しています。

特に、第 6.6 項は、OWASP Top 10 攻撃(http://www.owasp.org/index.php/Top_10_2007 popup_icon)からアプリケーションを保護するために、2008 年 6 月 30 日までに Web アプリケーション ファイアウォールをインストールすることを、クレジット カード情報の取り扱い、処理、または保存を行う企業に義務付けています。

Cisco ACE Web Application Firewall は、ID の盗用、データの盗用、アプリケーションの停止、不正行為、標的攻撃などの一般的な攻撃から Web アプリケーションを保護することで、最新の PCI 要件に完全に準拠しています。このような攻撃には、Cross-Site Scripting(XSS; クロスサイト スクリプティング)攻撃、SQL およびコマンド インジェクション、権限の昇格、Cross-Site Request Forgery(CSRF; クロスサイト リクエスト フォージェリ)、バッファ オーバーフロー、クッキーの改ざん、DoS 攻撃などがあります。

また、Cisco ACE Web Application Firewall に統合された XML ファイアウォール機能により、従来の HTML ベースの Web アプリケーションへの保護機能が XML 対応の最新の Web サービス アプリケーションにまで拡張され、PCI 標準に最大限に準拠します。XML データのセキュリティには、XML コンテンツ検証などの XML 脅威軽減機能などが含まれており、Web アプリケーション トラフィック内のメッセージ処理ポリシーの違反をブロックします。

Cisco ACE Web Application Firewall を使用すると、次のことが可能になります。

  • ミッションクリティカルなアプリケーションに多大な被害をもたらす Web ベース攻撃からの危険を大幅に軽減
  • 優れたソリューションにより、ごくわずかな時間とコストで、セキュアな Web プロジェクトを展開
  • SOA アプリケーションおよび XML アプリケーションとの連携により、継続的な Web セキュリティ管理を簡素化

新しい機能

Cisco ACE Web Application Firewall バージョン 6.0 には、Web に公開されたアプリケーションのセキュリティを強化する新機能が用意されています(表 1)。これらの機能により、企業は Web ベースの HTML および XML の脅威からアプリケーションを防御し、ID の盗用、データの盗用、コンテンツとフォーマットへの脅威、アクセスの脅威、コンプライアンス、転送、および標的攻撃(DoS 攻撃など)に対するセキュリティ保護を行えるようになります。

表 1 Cisco ACE Web Application Firewall ソフトウェア バージョン 6.0 の新機能

機能 説明 利点
Web アプリケーション セキュリティ
  • 完全なリバース プロキシ
  • 監視モード展開
  • バッファ オーバーフロー
  • HTTP パラメータ操作、プロトコル準拠
  • ヌル バイト ブロック
  • 入力エンコーディングの正規化
  • 応答のフィルタリングおよび書き換え
  • 柔軟なファイアウォール処理
  • クッキーおよびセッションの改ざん
  • XSS
  • コマンド インジェクション、SQL インジェクション
  • 情報漏えいの防止によるプライバシー保護
  • 暗号化の適用
  • アプリケーションおよびサーバのエラー メッセージの非表示化
  • 参照者機能の適用
  • ポジティブおよびネガティブ セキュリティ モデル
  • カスタム ルールとシグニチャ
  • PCI 準拠のプロファイル
  • 監視モード展開を使用したユーザ手動型の学習機能をサポート
  • Web ベースの HTML および XML の脅威からアプリケーションを保護
  • ID の盗用、データの盗用、コンテンツとフォーマットへの脅威、アクセスの脅威、コンプライアンス、転送、および標的攻撃に対するセキュリティ保護
  • カスタム ルールおよびシグニチャの作成が可能
  • PCI DSS 1.1 第 6.5 項 および 6.6 項(OWASP Top 10)に対応するための設定済みのルールを提供
モニタリング、監査、およびロギング
  • ファイアウォール統計のロギング
  • ファイアウォール レポート
  • 監査および否認防止機能
  • 高度な GUI により、Web アプリケーションの迅速なデバッグと監視が可能
  • 包括的な統計情報およびレポート機能

ポリシーベースのプロビジョニングとバージョン管理

  • 高度なロールバックおよびバージョン管理機能
  • ワン クリック ルール
  • プログラミングを行わずに、1 台の中央集中型ポリシー管理システムでセキュリティ ポリシーを設定
  • 要求/応答プロセスのポリシーを定義して、すべてのアクセス ポイントを保護する独自のポリシー設定
  • 開発者の生産性と展開の柔軟性を向上
  • ワンクリックで、特定の違反に対するファイアウォール ルールをオフにして、誤検出を迅速に解消


出荷時期

Cisco ACE Web Application Firewall は、2008 年 7 月 1 日より、ご購入いただける予定です。


発注情報

表 2 に、Cisco ACE Web Application Firewall の発注情報を示します。

表 2 発注情報

製品オプション 製品名 製品番号 サポートおよびサービス
シャーシ
  • Cisco ACE Web Application Firewall アプライアンス
  • ACE-XML-K9

または

  • ACE-XML-NF-K9
  • CON-SNT-ACEXK9

または

  • CON-SNT-ACEXNK9
ソフトウェア
  • Cisco ACE Web Application Firewall ソフトウェア
  • ACE-XML-SW-6.0
-
暗号化
  • FIPS 準拠の SSL アクセラレーション

または

  • 非 FIPS 準拠の SSL アクセラレーション
  • ACE-XML-FIPS

または

  • ACE-XML-NONFIPS
  • CON-SNT-ACEXFIPS

または

  • CON-SNT-ACEXNFIP
ライセンス情報
  • Cisco ACE Web Application Firewall ライセンス

または

  • Cisco ACE Web Application Firewall Manager ライセンス
  • ACE-WAF-GAT-LICFX

または

  • ACE-WAF-MGT-LICFX
  • CON-SAU-ACEWGW

または

  • CON-SAU-ACEWMG


シスコのサービスおよびサポート

シスコでは、サービスへのライフサイクル アプローチを採用し、パートナーとの協力により広範なセキュリティ サービスを提供しています。そのため、企業は、攻撃やサービス停止からの重要なビジネス プロセスの保護、プライバシーの保護、ポリシーと法令順守へのサポートを実現するネットワーク プラットフォームを設計、実装、運用、および最適化することが可能になります。

ネットワークへの投資を無駄にすることなく、ネットワーク運用を最適化しネットワーク インテリジェンスの強化や事業拡張を進めていただくためにシスコのサービスを是非お役立てください。シスコでは以下のサービスを提供しています。

  • Cisco Security Center では、早期警告脅威/情報、脅威/脆弱性の分析、Cisco IPS シグニチャ、および脅威軽減技術をワンストップ ショッピングでご利用いただけます。Cisco Security Center(www.cisco.com/security)にアクセスして、ブックマークしてください。
  • Cisco Security Intellishield Alert Manager Service では、カスタマイズ可能な、Web ベースの脅威および脆弱性アラート サービスを提供して、お客様が、自社環境の潜在的な脆弱性について、正確で信頼できるタイムリーな情報を簡単に入手できるようにしています。
  • Cisco Security Optimization Service:ネットワーク インフラストラクチャは、迅速で適応力のあるビジネスの基盤となりつつあります。Cisco Security Optimization Service は、計画と評価、設計、パフォーマンス チューニング、およびシステム変更への継続的なサポートを提供することで、進化し続けるセキュリティ システムをサポートし、絶えず変化するセキュリティへの脅威に対処します。このサービスにより、コア ネットワーク インフラストラクチャにセキュリティが組み込まれます。
  • Cisco SMARTnet Service では、シスコ エンジニア、評価の高いオンライン サポート センター、指定デバイスでのマシン間の診断、ハードウェア交換のプレミアム オプションにお客様がいつでも直接、アクセスできるようにすることで、問題の迅速な解決を図ります。
  • Cisco Software Application Support Services, plus Upgrades(SASU)は、テクニカル サポート、ソフトウェア アップデート、および主要なアップグレードにいつでもアクセスできるようにすることで、CSA の可用性、機能、および信頼性を保証します。

表 3 で説明しているサービスおよびサポート プログラム(Cisco SMARTnet® Service および Software Application Support plus Upgrades [SASU])は、Cisco ACE Web Application Firewall サービスおよびサポート ソリューションの一部としてご利用いただけます。

表 3 Cisco SMARTnet とソフトウェア アプリケーション サービスおよびサポート プログラム

サービスおよびサポート 機能 利点

シスコまたはシスコ認定パートナーから直接利用可能

  • Cisco SMARTnet Service
  • Cisco SASU
  • ソフトウェア アップデートおよびアップグレードに 24 時間アクセス可能
  • Web、電話、E メールを通じて Cisco Technical Assistance Center(TAC)に 24 時間アクセス可能
  • ハードウェア部品の迅速な交換(Cisco SMARTnet サービスのみ)
  • 人的資源の補充
  • ニーズに合った機能性の確保
  • リスクの緩和
  • 問題の予防および迅速な解決
  • シスコの技術者および専門知識を活用することで TCO を削減
  • ネットワーク ダウンタイムの最小化


関連情報

Cisco ACE Web Application Firewall の詳細については、以下の URL を参照してください。
http://www.cisco.com/jp/go/waf/

Cisco Security Services の詳細については、以下の URL を参照してください。
http://www.cisco.com/web/JP/services/portfolio/serv_tech/security/index.html

お問い合わせ