Cisco ACE Web Application Firewall

A：シスコは、Cisco ACE Web Application Firewall の発売により、Application Networking Services（ANS）向けのソリューション（Cisco Application Control Engine [ACE] 製品シリーズ）の枠をさらに広げます。このソリューションの主なコンポーネントは、便利な 1 RU のフォーム ファクタで構成される ACE Web Application Firewall アプライアンスです。このアプライアンスは、HTML ベースと XML ベースの両方のアプリケーションに完全なプロキシ ファイアウォール ソリューションを提供します。ACE Web Application Firewall ソリューションには、セキュリティ ポリシーの作成とモニタリング用のセキュアな Web ベース アプリケーションである ACE Web Application Firewall Manager も含まれます。Cisco ACE 製品シリーズは、データセンター アプリケーションの可用性、アクセラレーション、および保護機能を最大化する、次世代のアプリケーション スイッチングおよび Web サービス ソリューションです。

A：Cisco ACE Web Application Firewall は、業界最高レベルのスケーラビリティとスループットを提供して、Web に公開された HTML アプリケーションおよび XML アプリケーションを保護します。パフォーマンスの特性については、パフォーマンス テストの完了後に詳しくお伝えします。ACE Web Application Firewall では、高性能で並列性の高いイベント駆動型アーキテクチャを実装することで、サービスの遅延の低減、およびユーザ エクスペリエンスとサーバ利用率の向上を実現します。詳細は、ACE Web Application Firewall のデータシートに記載されています。http://www.cisco.com/jp/go/ace/ にアクセスしてください。

A：Web アプリケーション ファイアウォールは通常、DMZ に配置されるか、または HTTP や HTTPS を経由してインターネット上のクライアント ブラウザに配信されるアプリケーションの前面に配置されます。XML サービスおよび Web サービスも、Web アプリケーション ファイアウォールで保護される同じアプリケーションによって展開および使用されます。ほとんどの場合、従来の Web アプリケーション ファイアウォールでは、XML および Web サービスの検査を実行して、悪意のあるコードの挿入や XDOS 攻撃などの脅威を検出することができませんでした。そのため、お客様からは、XML ファイアウォールと従来の Web アプリケーション ファイアウォールの両方を 1 つのシステムに統合するアプリケーション ファイアウォールへの要望が寄せられました。Cisco ACE Web Application Firewall は、Web に公開された HTML アプリケーションと XML アプリケーションを保護します。

Payment Card Industry Data Security Standard（PCI DSS; クレジット カード業界のセキュリティ基準）の第 6.5 項と 6.6 項では、クレジット カード データの保存、処理、および送信を行う企業の Web アプリケーションのセキュリティが重視されています。特に、第 6.6 項は、OWASP Top 10 攻撃（http://www.owasp.org/index.php/Top_10_2007 ）からアプリケーションを保護するために、2008 年 6 月 30 日までに Web アプリケーション ファイアウォールをインストールすることを、クレジット カード情報の取り扱い、処理、または保存を行う企業に義務付けています。

Cisco ACE Web Application Firewall は、詳細な Web アプリケーション分析と高性能な XML 検査および管理機能を組み合わせて、新しい Web アプリケーション サービスすべてに関連する広範な脅威に確実に対処することで、最新の PCI 要件に完全に準拠しています。

セキュアかつ高速で信頼性の高い HTML アプリケーションや XML アプリケーションでは、確実なスループット、高い並行性、低遅延、および重要な処理（セキュリティや可用性など）へのサポートを実現する能力が必要です。Cisco ACE Web Application Firewall には、これらの能力がすべて備わっています。ACE Web Application Firewall では、次の機能を提供します。

• PCI Web アプリケーション ファイアウォールのコンプライアンスに完全に準拠
• カスタム アプリケーション向けの強固なセキュリティ
• 既知の悪質なパターンに対する、シスコ検証済みの広範なシグニチャ
• Web アプリケーションを把握することで、適正なトラフィックのみをフィルタリングおよび許可
• ユーザ手動型の学習機能により、セキュリティ設定から曖昧さを排除

A：Cisco ACE Web Application Firewall を使用すると、企業は次のような IT 目標を達成できます。

• ミッションクリティカルなアプリケーションに多大な被害をもたらす Web ベース攻撃からの危険を大幅に軽減
• 優れたソリューションにより、ごくわずかな時間とコストで、セキュアな Web プロジェクトを展開
• SOA および XML アプリケーションを将来の拡張に対応できるようにすることで、継続的な Web セキュリティの管理を簡素化

A：主な機能は次のとおりです。

• Web アプリケーション セキュリティ
• プライバシー保護
• 暗号化と署名
• 監査とロギング
• モニタリング、統計情報、およびレポート
• ポリシーベースのプロビジョニングとバージョン管理

A：利点は次のとおりです。

• Web に公開されたカスタム アプリケーション向けの強固なセキュリティ
• 既知の悪質なパターンに対する、シスコ検証済みの広範なシグニチャ
• Web アプリケーションを把握することで、適正なトラフィックのみをフィルタリングおよび許可
• ユーザ手動型の学習機能により、セキュリティ設定から曖昧さを排除

A：ACE Web Application Firewall は、ID の盗用、データの盗用、アプリケーションの停止、不正行為、標的攻撃などの一般的な攻撃から Web アプリケーションを保護します。このような攻撃には、Cross-Site Scripting（XSS; クロスサイト スクリプティング）攻撃、SQL およびコマンド インジェクション、権限の昇格、Cross-Site Request Forgery（CSRF; クロスサイト リクエスト フォージェリ）、バッファ オーバーフロー、クッキーの改ざん、DoS 攻撃などがあります。主な差別化要因は次のとおりです。

• 将来に対応したアプリケーション セキュリティ−Cisco ACE Web Application Firewall に統合された XML ファイアウォール機能により、従来の HTML ベースの Web アプリケーションへの保護機能が XML 対応の最新の Web サービス アプリケーションにまで拡張されます。XML データのセキュリティには、XML スキーマ、SOAP、および XML コンテンツの検証といった XML 脅威軽減機能などが含まれており、Web アプリケーション トラフィック内のメッセージ処理ポリシーの違反をブロックします。
• スケーラビリティ−Cisco ACE Web Application Firewall は、XML アプリケーション トラフィック管理において業界で最高のスケーラビリティとスループットを提供します。1 台のアプライアンスで 10,000 TPS 以上を処理し、10,000 の同時接続が可能です。最終的なパフォーマンスの特性については、パフォーマンス テストの完了後に詳しく説明します。
• ポジティブおよびネガティブ セキュリティの適用−Cisco ACE Web Application Firewall はポジティブおよびネガティブ セキュリティの利点を最大限に活用して、不正なトラフィック パターンを阻止し、有効なトラフィックのみを許可します。
• ユーザ手動型の学習機能−セキュリティ ポリシーおよびプロファイルを監視モードで展開することで、自動学習環境にありがちな誤検出によるアプリケーションのダウンタイムを回避します。
• ポリシーベースのプロビジョニング−Cisco ACE Web Application Firewall は、高度なロールバックおよびバージョン管理機能により、開発者の生産性と展開の柔軟性を向上させます。

A：お客様が Cisco ACE Web Application Firewall を展開する主な理由としては、アプリケーションの保護による業務コストの削減が挙げられます。米国連邦取引委員会の調査では、ID の盗用により、米国の企業で 2002 〜 2003 年の間に 450 億米ドルを超える損失が発生したと見積もられています。セキュリティ侵害による間接費用は、潜在的に膨大な額になります。たとえば、次のような間接費用が発生します。

• ブランドの侵害
• 顧客の減少
• 規制違反の罰金（PCI DSS など）
• 訴訟

A：Cisco ACE Web Application Firewall は、Web に公開されたアプリケーションの保護を検討している企業、連邦政府機関、サービス プロバイダー、および法人顧客を対象としています。

A：ACE Web Application Firewall は通常、DMZ に配置されるか、または HTTP や HTTPS を経由してインターネット上のクライアント ブラウザに配信されるアプリケーションの前面に配置されます。

A：

A：主な機能の利点については、すでに説明しました。次の表に、主な機能を機能カテゴリ別に示します。

A：Cisco ACE Web Application Firewall は、FIPS バージョンと非 FIPS バージョンでご利用いただけます。非 FIPS バージョンには 10,000 TPS の暗号カード、FIPS バージョンには 4000 TPS の暗号カードが搭載されています。非 FIPS バージョンの方が SSL スループットが高く、低価格です。

A：Web アプリケーション ファイアウォール機能を使用するには、6.0 以上のソフトウェア リリースが必要です。

A：いいえ。暗号カードを現場交換できないため、アップグレードはできません。

A：非 FIPS の ACE Web Application Firewall Manager で FIPS ACE Web Application Firewall を管理すること、および FIPS ACE XML Manager で 非 FIPS の ACE Web Application Firewall Manager を管理することは推奨していません。FIPS ACE Web Application Firewall がハードウェア保護キーを使用していない場合は、非 FIPS の ACE XML Manager で管理できる場合があります。同様に、FIPS ACE XML Manager はハードウェア保護キーを生成できますが、非 FIPS の ACE Web Application Firewall はそのキーを使用できないため、エラーが発生する可能性があります。

A：はい。Cisco ACE Web Application Firewall を購入し、XML と Web サービスの変換および仲介機能を追加で提供する Cisco ACE XML Gateway にアップグレードする場合は、ACE XML Gateway と ACE XML Manager の両方に新しいライセンスを展開することを推奨します。詳細については、販売代理店にお問い合わせください。

A：はい、可能です。

A：いいえ。

A：はい。どちらにも、4 GB イーサネット ポートおよび専用の完全自動管理ポートがあります。

A：4 GB です。メモリはアップグレードできません。