WEB Application and API Protection

WAAP サービス

ドメイン情報メニュー

WAAPに登録されているドメインの一覧を照会し、ドメインの追加、変更、削除ができる管理メニューです。

① ドメイン登録 : 新しいドメインを登録できる「ドメイン登録」ページに移動するボタンです。

② ドメインリスト: WAAPに保護対象として登録されているドメインの一覧です。

ルートドメインの場合は、ドメイン名の右側に ドメインレコードの管理 ボタンが表示されます。ドメインレコードの管理 ボタンをクリックすると該当ドメインのDNSを管理するページに移動できます。
ルートドメインのDNSに登録されたサブドメインは、ルートドメインの下にセットで表示されます。

ルートドメインが登録されていないサブドメインの場合は、下の絵のように別途のリストとして表示されます。

ドメインの行をクリックすると、該当したドメインについての１か月間の使用データを要約した情報が表示されます。要約情報は、毎月１日に初期化されます。

• WAAP
  
  
  • ポート
    WAAPの保護対象として設定されたポート番号です。
    設定していないポートへの通信は、接続が拒否されます。
    
    
  • トラフィック
    WAAPが処理したトラフィック容量の情報です。トラフィックは、MByte又はGByte単位で表示されます。
    
    
  • 訪問
    WAAPが処理したトランザクション数の情報です。
    
    
  • 攻撃
    WAAPのセキュリティポリシーによって検知されたトランザクション数の情報です。

• CDN
  

  有料顧客の専用機能です。UserPortalの「購読＆決済」メニューから料金プランを変更することができます。

  
  • トラフィック
    • CDNが処理したトラフィック量の情報です。トラフィックはMByteまたはGByteで表示されます。
  • リクエスト
    • CDNが処理したリクエストの数の情報です。
  • 保存
    • CDNによりキャッシュされたリクエストの数の情報です。
  • HIT
    • CDNが処理したリクエストのヒット率です

• DNSステータス
  該当ドメインのDNSレコードが、WAAPのIPアドレスに変更されているかどうかの情報です。
  
  
  

  該当ドメインのDNSを照会した結果が、WAAPのIPアドレスになっていない状態です。
  この場合は、該当ドメインがWAAPサービスを受けていないという状態です。 
  
  

  

  該当ドメインのDNSレコードを照会した結果が、WAAPのIPアドレスになっている状態です。
  この場合は、該当ドメインがWAAPサービスを受けている状態です。

• CDNステータス
  該当ドメインのCDNサービス適用状態を表す情報です。
  
  

  

  該当ドメインのCDNサービスが無効です。
  ドメインのDNSレコードがWAAPのアドレスに切り替わっていないため、CDNサービスに適用されていない状態です。

  
  
  該当ドメインのCDNサービスが準備中です。
  サービス準備は完了まで最大1時間ほどかかります。
  
  
  該当ドメインのCDNサービスが有効です。
  

• 編集　/ 削除　/ 詳細

  

  ドメイン編集メニューに移動するボタンです。
  
  

  

  ドメインを削除するボタンです。
  
  

  
  ドメイン要約情報以外の詳細情報を確認するボタンです。

• • ドメイン
    登録されたドメインの名です。
    
    
  • CNAME
    WAAPが該当ドメインに対して発行したCNAMEレコードの名です。
    
    
  • 実サーバーIP
    WAAPがトラフィックを転送する対象（ウェブサーバー）の宛先アドレスです。
    宛先アドレスのタイプにより、AレコードまたはCNAMEレコードの形式で表示されます。
    
    
  • 証明書満了日
    登録したドメイン証明書の満了日です。HTTPSをサービスしている場合のみ表示されます。
    
    
  • 証明書タイプ
    AIONCLOUDの証明書発行サービスを利用している場合表示されます。
    

    

    
    

ドメインの登録

• ドメインへの接続可否
  WAAPには、すでにホスティングしていて、正常に接続ができるドメインのみ登録可能です。
  まだウェブサービスをホスティングしていないが、先にドメイン登録を希望する場合は、弊社のサポートセンターにご連絡ください。
  
  
• ウェブサービスのプロトコルとポート番号
  
  
• SSL証明書と鍵ファイル
  ウェブサーバがHTTPSをサービスしている場合は、SSL証明書と鍵ファイルを予め用意してください。
  WAAPに登録できる証明書ファイルの形式は、crt、pem、pfxです。
  
  SSL証明書や鍵ファイルの準備ができない状況やHTTPSをサービスしていない状況には、AIONCLOUDの無料証明書発行サービスを利用し、ウェブサービスをSSL化できます。
  

① ドメイン登録メニューに移動する

WAAPに新しいドメインを登録するために、「ドメイン情報　＞　ドメインリスト」の右上にあるドメインを追加する ボタンをクリックして、「ドメイン登録」メニューへ移動します。

② ドメイン情報を記入する

• Fallbackページ設定
  元サーバへの接続に失敗する場合、クライアントに転送するFallbackページのタイプを設定します。
  • HTML
    FallbackページとしてHTMLページを使用します。 
    
  • 
    
    プレビュー ボタンをクリックすると、HTMLをレンダリングして表示することができます。
    
    
    
    
  • URL リダイレクト
    FallbackページURLに入力されたURLへリダイレクトします。
    「https://fallback.page.com」のようにURLにプロトコルを含める必要があります。
    
    

• • 証明書なし
    HTTPSをサービスしない場合に選択します。
    

• • AIONCLOUD 証明書
    AIONCLOUDが提供する無料証明書を使用するオプションです。
    SSL証明書が無いか、ウェブサーバがHTTPSをサービスしていない場合でも使用できます。
    AIONCLOUD証明書は、発行日から３ヶ月間有効であり、満了する前に自動に更新されます。
    
    

    AIONCLOUD証明書は、ドメインのDNSレコードをWAAPの宛先に変更した時点から発行が始まれます。
    発行には10分程度かかります。証明書が完全に発行される前までは、ウェブサービスに証明書エラーが発生することもあります。
    

    

    CDN を使用する場合は、RSA 証明書キーのみが使用可能です。
    ECC 証明書などの他の種類のキーは使用できません

    
    
    

• • サーバ証明書
    AIONCLOUD証明書を使用せず、ウェブサーバの証明書を登録して使用するオプションです。
    登録可能な証明書ファイルの形式は、crt, pem, pfx です。
    サーバ証明書を登録して使用する場合は、証明書が満了する前に更新する作業が必要となります。
    
    証明書の自動登録を有効にすると、登録するドメインのSSL証明書をWAAPがネット上で取得し、登録します。キーファイルの取得はできないため、手動的に登録する必要があります。証明書の自動登録に失敗した場合は、直接に証明書ファイルをアップロードしてください。
    
    証明書とキーファイルを登録した後に証明書検証ボタンをクリックして証明書が正常に登録できる状態であるか確認してください。
    
    

    サーバ証明書を登録する場合、証明書チェーンの配列にご注意ください。
    適切な証明書チェーンは、「ドメイン証明書－中間証明書－ルートCA証明書」の順番です。
    証明書の配列についての詳しい内容は、「SSL証明書を適切に配列する」記事をご覧ください。
    

    
    
    

③ ドメインを登録する

すべてのドメイン情報を記入したら、左下の 適用 ボタンをクリックしてドメインを登録します。

ドメイン登録に成功すると下記のようにWAAPのDNSレコードが表示されます。

• ルートドメインを登録した場合 - NS レコード表示

• サブドメインを登録した場合 - CNAMEレコード表示

SSL証明書を配列する方法

HTTPSをサービスしないか、AIONCLOUDを無料証明書を使用する場合は、この記事を飛ばしてもいいです。

通常、信頼できるSSL証明書は、ルートCA証明書が中間証明書を認証し、その中間証明書がドメイン証明書を認証する構造になっています。認証局によって、中間証明書は2個以上存在することもあります。

一般的に、SSL証明書を購入すると、ルートCA証明書、中間証明書、ドメイン証明書が一つのファイルに配列されたものが提供されます。
WAAPにSSL証明書を登録する際も、すべての証明書チェーンが配列されたファイルを登録する必要があります。

ルートCA証明書、中間証明書、ドメイン証明書を個別的に持っている場合、下記の手続きに従って証明書を配列した上でWAAPに登録してください。

① 証明書ファイルをpem又はcrt形式に変換する

証明書ファイルの中身を取り出すために、証明書ファイルの形式を変換します。

② crt / pem ファイルで証明書の内容を取り出す

crt / pem 証明書をテキストエディタプログラムで開いて、証明書データ（CERTIFICATE）のところを取り出します。
（注意）この段階では鍵データ（PRIVATE KEY）は取り出しません。証明書データのみ取り出してください。

③ 一つのファイルに証明書を配列する

テキストエディタで各々の証明書データを下の順番で貼り付けます。

1. ドメイン証明書　
2. 中間証明書
3. ルートCA証明書

④ 配列した証明書をpem又はcrt形式で保存する

⑤ ドメイン証明書の鍵ファイルを保存する

②番の過程で、ドメイン証明書の鍵データのみをpem又はkey形式で保存します。

ドメインのDNSレコードを変更する

WAAPにドメインを登録しましたら、ドメインへのトラフィックが、WAAPを通るように該当ドメインのDNSレコードを変更します。

WAAPに登録したドメインのタイプによって、DNSレコードの変更方法が異なります。

• ルートドメインの場合 - NSレコードの変更（ネームサーバ移管）
• サブドメインの場合 - A又はCNAMEレコードの変更（DNS宛先変更）

ネームサーバを移管する (ルートドメイン)

ルートドメインにWAAPを適用するためには、ルートドメインのネームサーバをAIONCLOUDのネームサーバに移管することとなります。

ネームサーバを移管すると、ルートドメインに属しているすべてのドメインへの問合せ先がAIONCLOUDのネームサーバに変わります。

なので、ネームサーバ移管によるウェブサービス障害を防止するために、すべてのDNSレコードをAIONCLOUDのネームサーバに登録しておく必要があります。

下記は、AWSのRoute53ネームサーバを使用している「gslbtest.click」というルートドメインを、AIONCLOUDのネームサーバに移管する過程の例です。

gslbtest.clickは今AWSのネームサーバを使用しています。

AWSのネームサーバで確認されたgslbtest.clickドメインのレコードは以下なります。

DNSレコード変更による、変更内容伝播時間を減らすためには、この段階で各レコードのTTLを短く設定してください。

照会したレコードリストで、AIONCLOUDのネームサーバに予め登録必要なレコードは、下の太字で表示されたものです。

AIONCLOUDコンソールの「ドメイン情報」メニューで、gslbtest.clickドメインの ドメインレコードの管理 ボタンをクリックします。

DNSメニューで、上で確認したgslbtest.clickのサブレコードを全部登録します。

サブレコードがAIONCLOUDのネームサーバのレコードリストに正常に登録されたことを確認します。

サブレコードの登録が済んだら、次はgslbtest.clickドメインのネームサーバを変更します。
ネームサーバの変更は、ドメインを購入したホスティングサービスで行えます。下の例は、AWSのRoute53でネームサーバを変更する過程を表すものです。

AWSのRoute53コンソールで、「ドメイン　＞　登録済みドメイン」メニューへ移動します。

登録済みリストで、ネームサーバを移管するドメイン（gslbtest.click）をクリックします。

ネームサーバの追加／編集 ボタンをクリックしてネームサーバを変更します。

ネームサーバをAIONCLOUDのネームサーバアドレスに変更し、更新 ボタンをクリックしてネームサーバの変更を申請します。

ホスティングサービスにネームサーバの変更を申請した後、nslookupコマンドで、ドメインのネームサーバが変更されたことを確認します。

ネームサーバ更新の伝播時間は、TTL値及びDNSサーバの更新周期によって、最大48時間ぐらいかかります。

AIONCLOUDコンソールのドメイン情報 メニューでルートドメインのDNSステータスが、WAAP になっていることを確認します。

DNSレコードを変更する (サブドメイン) 

サブドメインにWAAPを適用するためには、サブドメインのDNSレコードの値をAIONCLOUDが発行したCNAMEレコードに変更することとなります。

下記は、AWSのRoute53ネームサーバを使用しているサブドメインである「www.gslbtest.click」のDNSレコードをAIONCLOUDが発行したCNAMEレコードに変更するプロセスの具体例です。

www.gslbtest.clickドメインは今DNS問合せにウェブサーバのIPアドレスを応答しています。

AWSネームサーバコンソールでwww.gslbtest.clickドメインのレコードを確認すると以下の通りです。

照会したレコードで変更が必要な内容は太字で表示されたものです。

AWSネームサーバコンソールでサブドメイン（www.gslbtest.click）の レコードを編集 ボタンをクリックします。

レコードタイプを CNAME に変更し、値はAIONCLOUDが発行したCNAME を入力した後、保存 ボタンをクリックします。

AIONCLOUDが発行したCNAMEは、AIONCLOUDコンソールのドメイン情報 メニューで 詳細 ボタンをクリックすると確認できます。

レコード変更が伝播されるまで待って、レコード変更が伝播されるまではしばらく時間がかかります。
しばらく待った後に、DNS問合せの結果がAIONCLOUD WAAPのIPになったことを確認します。

AIONCLOUDコンソールの ドメイン情報 メニューで、サブドメインの DNSステータスがWAAP になったことを確認します。

DNSメニュー

DNSメニューは、WAAPにルートドメインを登録してAIONCLOUDのネームサーバを使用する場合、ルートドメインのサブレコードの照会／追加／削除ができる管理メニューです。

DNSメニューは、ドメイン情報メニューでルートドメインの DNS ボタンをクリックして表示できます。

① レコードの追加 : 新しいレコードを追加できるタブです。

② レコードリスト : AIONCLOUDのネームサーバに登録されているレコードのリストです。レコードをWAAPに適用するか、削除することが可能です。

新しいレコードを追加するために、レコードを追加する タブをクリックして開きます。
レコードのタイプ、名前、値を設定した後に、レコードを追加する ボタンをクリックします。

AIONCLOUDネームサーバに追加できるレコードタイプの種類は以下になります。

• A
• AAAA
• CNAME
• CAA
• LOC
• MX
• PTR
• SPF
• SRV
• TXT

レコードタイプの中で、AレコードとCNAMEレコードは、保護対象外 ボタンをクリックしてWAAPに登録することが可能です。
AレコードとCNAMEレコードをWAAPに登録する方法は、サブドメインを登録することと同様です。

分析 > CDN

有料顧客の専用機能です。UserPortalの「購読＆決済」メニューから料金プランを変更することができます。

「分析＞CDN」は、CDNサービスを利用したドメインに対した一カ月間のトラフィック使用量、リクエスト数等、CDNサービス全般の現状を照会できるメニューです。

「分析＞CDN」のデータは毎月1日にリセットします。

①  ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② リクエスト: CDNにより処理されたリクエストのヒット率、総リクエストのカウント、キャッシュされたリクエストのカウント、総トラフィックの量をグラフで照会できます。

③ 上位リクエスト国 : CDNにより処理されたリクエストの回数と比率を、頻繁にリクエストした国の順位で照会できます。

④ 国家別リクエスト: CDNにより処理されたリクエストのIPアドレスを国データベースに基づいて表示した地図です。検知数が多いほど濃い色で表示されます。

⑤ 上位レスポンスコード : CDNにより処理されたリクエストをレスポンスコード別の順位で照会できます。

⑥ レスポンスコード比率 : CDNにより処理されたリクエストをレスポンスコードの比率を照会できます。

「リクエスト」グラフは「先月」ボタンをクリックして1ヶ月前の情報を検索することができます。「リクエスト」グラフは「Groped／Stacked」ボタンをクリックしてキャッシュされたデータと一般データを分離·累積して表示することができます。また、「Cache／Uncached」ボタンをクリックしてグラフに表示されているデータの種類を選択することができます。

分析 > WAAP

分析は、WAAPに登録したドメインに対した一カ月間のトラフィック使用量、トランザクション数、攻撃検知数、ウェブキャッシュヒット率等、ウェブサービス全般の現状を照会できるメニューです。

分析のデータは、毎月１日に更新されます。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② トラフィック / 訪問 / 攻撃 : トラフィック使用量、トランザクションの数、検知した攻撃の数、ウェブキャッシュヒット率を数値又はグラフで照会できます。

③ 上位攻撃情報 : WAAPにより検知された攻撃の中で、頻繁に検知されたURL、ポリシー、攻撃者IPを照会できます。

④ 攻撃元マップ : WAAPにより検知された攻撃の発信元IPアドレスを国データベースに基づいて表示した地図です。 

トラフィック / 訪問 / 攻撃 のグラフでは、先月 ボタンをクリックして先月の情報を閲覧できます。

上位攻撃情報 で 上位攻撃対象URL, 上位攻撃種別 に表示された行をクリックすると、ログメニューに移動してより詳細な情報が閲覧できます。

上位攻撃情報 で 上位攻撃元IP に表示された行をクリックすると、該当IPを遮断リストに追加できます。
遮断リストは、アクセス制御 > Default Ruleの遮断IPで閲覧できます。

上位攻撃情報 で 上位攻撃元IP の X-Forwarded-For ボタンをクリックすると、X-Forwarded-ForヘッダーのIPアドレスを閲覧できます。

攻撃元マップでは、国別の攻撃現状を色で分けています。

赤色 は、１件以上の攻撃が検知された国を表します。検知数が多いほど濃く表示されます。

黒色 は、 アクセス制御 > Default Ruleの遮断国・地域に登録されている国を表示します。

地図内の国をクリックすると、該当国のIPアドレスを アクセス制御 > Default Ruleの遮断国・地域に登録できます。

セキュリティイベントメニュー

「セキュリティイベント」メニューは、WAAPのセキュリティポリシーにより検知・遮断された攻撃を検索することができるメニューです。
「セキュリティイベント」メニューからは、最大3ヶ月のログを検索することができます。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② 検索日付 : 検索するイベントの日付を指定します。 

③ 検索条件 : 検索するイベントの詳細条件を指定します。

④ セキュリティイベント検索 : 条件に一致するセキュリティイベントのリストです。

検索日付 は、日付の単位を日、週、月の中で選択し、下側にあるスライダーを操作して調整できます。

ボタンをクリックすると、照会日付をキャレンダーで選択するように変わります。

キャレンダーでは、時間と分まで指定できます。

検索条件 では、セキュリティタイプ、国、国（X-Forwarded-For IP）、クライアントIP、X-Forwarded-For IP、パス、攻撃種別、処置などの条件を組み合わせてフィルタリングできます。

「セキュリティイベント検索」は時間、クライアントIP、X-Forwarded-For IP、パス、パターン、処理などの情報を要約して表示します。

各イベントの右側の虫眼鏡ボタンをクリックしてイベントの詳細情報を表示することができます。

• 検出時間
  WAAPが該当攻撃を検出した時間です。
• 国
  攻撃者のIPアドレスを国家IPデータベースに問いあわせた結果です。
• クライアントIP
  攻撃者の発信元IPアドレスです。
• 国・地域 (XFF)
  リクエストヘッダーにX-Forwarded-For ヘッダーがある場合、そのIPアドレスを国家IPデータベースに問いあわせた結果です。
• タイプ
  セキュリティポリシーの種類です。
• X-Forwarded-For IP
  リクエストヘッダーにX-Forwarded-For ヘッダーがある場合、そのIPアドレス情報です。
• 検知攻撃種別
  検知されたセキュリティポリシーの名が表示されます。
• 検知理由
  検知された理由が表示されます。
• リクエストURL
  検知されたリクエストURLです。
• リクエスト
  検知されたリクエストの本文です。

マシンラーニング分析結果ボタンをクリックしてWAAPのマシンラーニングエンジンへリクエストデータを問いあわせし、リクエストデータとWeb攻撃との類似性を検査することができます。

IPレピュテーション照会ボタンをクリックすると、IPアドレスをAILabs に問いあわせて、レピュテーション情報を確認することができます。

検索したイベントは「Excelダウンロード」ボタンをクリックして「csv」でダウンロードすることができます。

CDN 設定

有料顧客の専用機能です。UserPortalの「購読＆決済」メニューから料金プランを変更することができます。

CDN設定メニューには、ドメインのCDN管理機能を提供します。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② Purge キャッシュ : URLを入力して削除ボタンをクリックすると、入力したURLのキャッシュファイルをCDNから削除、元サーバからそのファイルの最新バージョンをダウンロードします。

• 全て削除：CDNから全てのファイルを削除します。
  

③ キャッシュ対象 : キャッシュ対象となるファイルの拡張子またはパスを指定します。デフォルトキャッシュ対象ボタンをクリックすると、キャッシュ対象が初期化されます。

• キャッシュ対象には、ファイルのパスを指定するか、ワイルドカード「*」で設定することもできます。
  Note：「/*」のみはすべてのパスを意味しますので設定できません。
  
  
  例)
  /img/*.jpg : imgディレクトリおよびそのサブディレクトリ内の「.jpg」拡張子を持つファイルを指します。
  /img/* : imgディレクトリおよびそのサブディレクトリ内のすべてのファイルを指します。
  /*.jpg : 「jpg」拡張子を持つすべてのファイルを指します。
  /jpg : ファイル名が「jpg」であるファイルを指します。

④ キャッシュ TTL : ウェブサーバのコンテンツを保存する期間を設定します。ウェブサーバからコンテンツの満了時間を指定した場合、キャッシュTTLより優先します。

⑤ キャッシュレベル : クエリテキストが含まれているURLのキャシュ基準を設定します。

• 有効 : CDNはクエリテキストでURLのキャッシュバージョンまたはキャッシュキーを作成します。
  以下の２つのURLの場合、お互い違う２つのキャッシュキーを作成します。
  

  www.example.com/members/?id=1&country=us&height=180

  www.example.com/members/?id=1&country=us&height=170

• 無効 : CDNのキャッシュキーを作成する時、クエリテキストを無視します。
  以下の2つのURLの場合は、「www.example.com/members/」に関する1つのキーを作成します。
  

  www.example.com/members/?id=1&country=us&height=180

  www.example.com/members/?id=1&country=us&height=170

⑥ CORS ヘッダーのサポート : ブラウザがほかの発信先からこのドメインへのアクセスができるようにAccess-Control-Allow-Origin ヘッダを設定します。

• All Origins : 他の全ての元サーバからのアクセスを許可します。
• Specify Origin : 追加した元サーバからのアクセスのみ許可します。

CDN設定の後、ページの上の「適用」ボタンをクリックして設定を適用します。

アクセス制御

アクセス制御は、Webサービスリソースへのアクセスおよび使用ルールを事前に定義することにより、信頼するユーザーのみにアクセスを許可するセキュリティ機能です。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② 照会条件 : 照会するルールの詳細条件を指定します。 

③ アクセス制御ルールリスト : 照会されたルールの一覧です。

照会条件 では、ルール名、パスなどの条件を組み合わせてフィルタリングができます。

アクセス制御ルールリストには、状態、ルール名、パス、条件、ルール説明などの情報が要約されて表示されます。

 このボタンをクリックすると、該当ルールの使用可否を設定できます。

  このボタンをクリックすると、該当ルールを編集できます。

 このボタンをクリックすると、該当ルールを削除できます。

アクセス制御ルールリストは、上にあるルールほど優先度が高くなります。ルールの優先順位は、優先順位の変更ボタンをクリックして調整することができます。

優先順位の変更ボタンをクリックすると、ルールをドラッグ＆ドロップできるようになり、ルールの優先度を調整できます。優先度を調整した後は、適用ボタンをクリックしてください。

アクセス制御ルールの作成

新しいルールの作成 ボタンをクリックすると、アクセス制御ルールの作成画面が表示されます。

太字は必須項目です。

• ルール名
  ルールの名を設定します。
  
  
• ルール説明
  ルールの説明を設定します。
  
  
• パス
  アクセス制御ルールの対象にするパスを設定します。何も指定しない場合は、ルートパスが対象となります。
  
• バイパスURL
  ルールから除外するURLを設定します。追加ボタンをクリックして、複数のURLを設定することができます。
  
  
• 遮断メソッド
  遮断するHTTPメソッドを設定します。
  
  
• クライアントIP
  ルールから除外するか、ルールの対象にするクライアントIPアドレスを設定します。
  IPアドレスをどのリストに追加するかは、トグルして設定してください。
  
  
• 遮断国・地域
  遮断する国や地域を設定します。
  

ルールの設定が済んだら、下側の適用 ボタンをクリックしてルールを登録します。

APIセキュリティ > APIスキーマ

OpenAPI Specification（OAS）を満たしているAPIのスキーマをアップロードすることで、APIのリソース状況をモニタリングし、セキュリティポリシーを適用することができます。 スキーマ検証により、登録したAPIスキーマと合わないリクエストを検出し、ブロックします。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② 照会条件 : 照会するルールの詳細条件を指定します。 

③ APIスキーマリスト: 照会されたAPIスキーマの一覧です。

照会条件 では、ルール名、パスなどの条件を組み合わせてAPIセキュリティのフィルタリングができます。

APIスキーマリストは、スキーマ検証機能の使用可否、スキーマ名、ベースパス、ルールが適用されるエンドポイントの数とルール説明などの情報が表示されます。

 ボタンをクリックして該当APIスキーマに対して検証の可否を設定することができます。

 ボタンをクリックして該当APIスキーマの詳細情報を照会できます。

  ボタンをクリックして該当APIスキーマを変更することができます。

 ボタンをクリックして該当APIスキーマを削除することができます。

APIスキーマ登録

APIスキーマ登録 ボタンをクリックすると、APIスキーマの作成画面が表示されます。

太字は必須項目です。

• ルール名
  APIスキーマ名を設定します。
  
  
• ルール説明
  APIスキーマの説明を設定します。
  
  
• basePath
  該当APIスキーマのルートパスです。デフォルトは、「／」となります。
  例えば、「https://example.com/api」ですべてのAPIを提供する場合、「/api」がベースパスになります。
  
  
• APIスキーマアップロード
  
  • アップロード
    APIスキーマファイルをアップロードします。APIスキーマは、OpenAPIに基づいて作成したものをアップロードしてください。
    
    
    
    
    
  • 外部サーバー指定
    APIスキーマを遠隔で読み込む外部サーバーを指定します。
    
    
    
    
    • URL：APIスキーマを読み込むサーバ委のURLを入力します。
    • ヘッダー：APIスキーマリクエストの際に必要なヘッダーを設定します。
    • 認証トークン：サーバーへのリクエストに必要となる認証トークンを設定します。
      

•  認証ヘッダー名
  クライアントが該当APIへリクエストする時に使う認証トークンのヘッダー名を入力します。認証トークンがJWT方式である場合は、チェックボックスをクリックしてください。
  

• スキーマバリデーションチェック
  クライアントのリクエストがAPIのスキーマに一致するかどうかを検査します。APIスキーマと一致しない場合、WAAPの処置を選択できます。
  
  
  
  • 処置
    Off：該当APIリソースに対してスキーマ検証を無効にします。
    検知：APIリクエストのスキーマ検証に失敗した場合、ログを記録し、スルーします。
    遮断：APIリクエストのスキーマ検証に失敗した場合、リクエストを遮断します。
    
    
  • 除外パス
    APIリクエストのスキーマ検証から除外するエンドポイントを設定します。
    

ルールの設定が済んだら、下側の適用 ボタンをクリックしてルールを登録します。

APIディスカバリー

APIスキーマにある拡大鏡アイコンをクリックすると、そのAPIの詳細情報を見ることができるメニューに移動します。

APIセキュリティ >トークン検証

リクエストヘッダーにあるトークンのバリデーションを検証します。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② 検索条件：検索するルールの詳細条件を設定できます。

③ 優先順位の変更 : ルールの優先順位を変更できるボタンです。

④ トークン検証ルールリスト : 照会されたルールの一覧です。

検索条件はルールの名、APIの名などの条件を設定し、ルールをフィルタリングすることができます。

検索条件はAND条件で、すべての条件を満足するルールを検索します。

トークン検証ルールリストは、使用可否、ルール名、API名、対象エンドポイント、タイプ、処置などが表示されます。

 このボタンをクリックすると、該当ルールの使用可否を設定できます。

  このボタンをクリックすると、該当ルールを編集できます。

 このボタンをクリックすると、該当ルールを削除できます。

トークン検証ルールリストは、上にあるルールほど優先度が高くなります。ルールの優先順位は、優先順位の変更ボタンをクリックして調整することができます。

優先順位の変更ボタンをクリックすると、ルールをドラッグ＆ドロップできるようになり、ルールの優先度を調整できます。優先度を調整した後は、適用ボタンをクリックしてください。

トークン検証ルール追加

新しいルールの作成ボタンをクリックすると、トークン検証ルールの作成ができるページが開きます。

太字は必須項目です。

• ルール名
  ルールの名を設定します。
  
  
• ルール説明
  ルールの説明を設定します。
  
  
• トークン検証制御
  このルールのトークン検証方法を設定します。
  
  • 認証ヘッダー値(Token)
    
    • APIリクエストのヘッダー値が設定値と一致するかを確認します。認証に固定トークンを使う場合に利用します。
      
      

      
      

  • JWTバリデーションチェック
    
    • JWTを生成時に使用した秘密鍵と公開鍵を使用して、JWTを検証します。
      
      

      
      

  • 認証サーバーで検証
    
    • トークンの検証を外部サーバーに任せます。リクエストの認証トークンを外部サーバーに送り、サーバーのレスポンスでトークンが有効かを確かめます。
      
      

      
      

• 対象API
  ルールを適用するAPIのエンドポイントを指定します。
  
  
• 処置
  このルールで検知した場合のWAAPの処置を選択します。
  検知の場合、ログを記録するが、リクエストを遮断しません。
  遮断の場合、ログを記録し、リクエストを遮断します。
  

ルールの設定が済んだら、下側の適用 ボタンをクリックしてルールを登録します。

APIセキュリティ > ペイロード検証

クライアントのHTTPリクエストとトークンペイロードのクレームを比較してトークンのバリデーションを検証します。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② 検索条件 : 検索するルールの詳細条件を設定できます。

③ 優先順位の変更 : ルールの優先順位を変更できるボタンです。

④ ペイロード検証ルールリスト : 照会されたルールの一覧です。

検索条件はルールの名、APIの名などの条件を設定し、ルールをフィルタリングすることができます。

検索条件はAND条件で、すべての条件を満足するルールを検索します。

ペイロード検証ルールリストは、使用可否、ルール名、API名、対象エンドポイント、タイプ、処置などが表示されます。

 このボタンをクリックすると、該当ルールの使用可否を設定できます。

  このボタンをクリックすると、該当ルールを編集できます。

 このボタンをクリックすると、該当ルールを削除できます。

ペイロード検証ルールリストは、上にあるルールほど優先度が高くなります。ルールの優先順位は、優先順位の変更ボタンをクリックして調整することができます。

優先順位の変更ボタンをクリックすると、ルールをドラッグ＆ドロップできるようになり、ルールの優先度を調整できます。優先度を調整した後は、適用ボタンをクリックしてください。

ペイロード検証ルール登録

新しいルールの作成ボタンをクリックすると、ペイロード検証ルールの作成画面が表示されます。

太字は必須項目です。

• ルール名
  ルールの名を設定します。
  
  
• ルール説明
  ルールの説明を設定します。
  
  
• 条件
  HTTPリクエストのどの部分とクレームの値を比較するか指定します。
  
  • クレーム名
    
    • 検証に使うクレームの名を入力します。
      
      
  • 検知条件
    検知条件は、クレームの値を検査する条件を設定します。設定可能な検知条件は下記のようです。
    
    • 同等
      設定した値が完全に一致する場合検知します。
      
      
    • 等しくない
      設定した値が一致しない場合検知します。
      
      
  • 対象
    HTTPリクエストのどの部分とクレームの値を比較するか指定します。
    
    • パス: URLのパスです。
    • クッキー: HTTPのクッキーの名を入力します。
    • ヘッダー: HTTPのヘッダー名を入力します。
    • パラメータ: HTTPのパラメータを入力します。
      
      
  • 名
    選択したターゲットの名を入力します。
    
    
• 対象API
  ルールを適用するAPIのエンドポイントを指定します。
  
  
• 処置
  このルールで検知した場合のWAAPの処置を選択します。
  検知の場合、ログを記録するが、リクエストを遮断しません。
  遮断の場合、ログを記録し、リクエストを遮断します。
  

ルールの設定が済んだら、下側の適用 ボタンをクリックしてルールを登録します。

APIセキュリティ   >   リクエスト制限

同じIPアドレスから特定のエンドポイントへ繰り返しリクエストすることを制限します。 ブロックされたクライアントは、ブロックリストで手動で解除することができます。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② 遮断検索 : 遮断リストにあるクライアントを検索し、遮断解除することができます。

③ 検索条件：検索するルールの詳細条件を設定できます。

④ 優先順位の変更 : ルールの優先順位を変更できるボタンです。

⑤ リクエスト制限ルールリスト : 照会されたルールの一覧です。

検索条件はルールの名、APIの名などの条件を設定し、ルールをフィルタリングすることができます。

検索条件はAND条件で、すべての条件を満足するルールを検索します。

リクエスト制限ルールリストは、使用可否、ルール名、API名、対象エンドポイント、タイプ、処置などが表示されます。

 このボタンをクリックすると、該当ルールの使用可否を設定できます。

  このボタンをクリックすると、該当ルールを編集できます。

 このボタンをクリックすると、該当ルールを削除できます。

リクエスト制限ルールリストは、上にあるルールほど優先度が高くなります。ルールの優先順位は、優先順位の変更ボタンをクリックして調整することができます。

優先順位の変更ボタンをクリックすると、ルールをドラッグ＆ドロップできるようになり、ルールの優先度を調整できます。優先度を調整した後は、適用ボタンをクリックしてください。

リクエスト制限ルール登録

新しいルールの作成ボタンをクリックして新しいリクエスト制限ルールを作成します。

太字は必須項目です。

• ルール名
  ルールの名を設定します
  
  
• ルール説明
  ルールの説明を設定します。
  
  
• 遮断条件
  クライアントを遮断する条件を設定します。
  
  • 期間：検知回数をカウントする期間を「秒」で設定します
  • 検知回数：期間内のアクセスリミットを設定します。
  • 遮断：条件により、遮断リストに登録されたクライアントをリストに保存する時間を「分」で設定します。
    
    
• 対象API
  ルールを適用するAPIのエンドポイントを指定します。
  
  
• 処置
  このルールで検知した場合のWAAPの処置を選択します。
  検知の場合、ログを記録するが、リクエストを遮断しません。
  遮断の場合、ログを記録し、リクエストを遮断します。
  

APIセキュリティ > アクセス制御

クライアントのHTTPリクエストのルールを設定して、APIエンドポイントへのアクセスを管理します。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② 照会条件 : 照会するルールの詳細条件を指定します。 

③ 優先順位の変更 : ルールの優先順位を変更できるボタンです。

④ アクセス制御ルールリスト : 照会されたルールの一覧です。

検索条件はルールの名、APIの名などの条件を設定し、ルールをフィルタリングすることができます。

検索条件はAND条件で、すべての条件を満足するルールを検索します。

アクセス制御ルールリストは、使用可否、ルール名、API名、対象エンドポイント、タイプ、処置などが表示されます。

 このボタンをクリックすると、該当ルールの使用可否を設定できます。

  このボタンをクリックすると、該当ルールを編集できます。

 このボタンをクリックすると、該当ルールを削除できます。

アクセス制御ルールリストは、上にあるルールほど優先度が高くなります。ルールの優先順位は、優先順位の変更ボタンをクリックして調整することができます。

優先順位の変更ボタンをクリックすると、ルールをドラッグ＆ドロップできるようになり、ルールの優先度を調整できます。優先度を調整した後は、適用ボタンをクリックしてください。

アクセス制御ルールの登録

新しいルールの作成 ボタンをクリックすると、アクセス制御ルールの作成画面が表示されます。

太字は必須項目です。クライアントIP、遮断国、許可クレームのいずれかは設定が必須となります。

• ルール名
  ルールの名を設定します
  
  
• ルール説明
  ルールの説明を設定します。
  
  
• クライアント IP
  このルールで除外するか、遮断するIPアドレスを設定します。
  IPアドレスは単一又は範囲で設定します。
  IPv6にも対応しています。
  
• 遮断 国・地域
  遮断する国や地域を設定します。
  
  
• 許可 Claim
  このルールで除外するクレームを設定します。
  
  
• 対象API
  ルールを適用するAPIのエンドポイントを指定します。
  
  
• 処置
  このルールで検知した場合のWAAPの処置を選択します。
  検知の場合、ログを記録するが、リクエストを遮断しません。
  遮断の場合、ログを記録し、リクエストを遮断します。

ルールの設定が済んだら、下側の適用 ボタンをクリックしてルールを登録します。

APIセキュリティ > ブロックメッセージ

 APIセキュリティルールによりクライアントのリクエストをブロックした時に表示するメッセージを設定します。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② 照会条件 : 照会するブロックメッセージの詳細条件を指定します。 

③ ブロックメッセージリスト : 検索条件に一致したブロックメッセージのリストです。

ブロックメッセージ登録

新しいブロックメッセージを作成ボタンをクリックすると新しいメッセージを作成できるメニューが開きます。

太字は必須項目です。

• ブロックメッセージ名
  このブロックメッセージの名を設定します。
  
  
• ブロックメッセージ説明
  このブロックメッセージの説明を設定します。
  
  
• レスポンスコード
  リクエストを遮断する時のHTTPレスポンスコードを設定します。
  
  
• ブロックメッセージ
  リクエストを遮断する時のメッセージを設定します。
  

設定が済んだら、下側の適用 ボタンをクリックしてルールを登録します。

Webセキュリティ > ユーザー定義

Webセキュリティ > ユーザー定義は、クライアントIPとサーバーURL別に、検知又は遮断するウェブアクセスを直接に定義し、管理できるメニューです。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

③ 照会条件 : 照会するルールの詳細条件を指定します。

④ ルールリスト : 照会されたルールの一覧です。

照会条件 では、ルール名、状態、措置などの条件を指定して表示するルールをフィルタリングできます。

ユーザー定義ルールリスト では、有効、ルールネーム、ルールの説明、条件、アクションなどの情報が表示されます。

 このボタンをクリックすると、該当ルールの使用可否を設定できます。

  このボタンをクリックすると、該当ルールを編集できます。

 このボタンをクリックすると、該当ルールを削除できます。

ユーザー定義ルールの作成

新しいルールの作成 ボタンをクリックすると、ユーザー定義ルール作成画面が表示されます。

太字は必須項目です。

• ルールネーム
  ルールの名を設定します。
  
  
• ルールの説明
  ルールの説明を設定します。
  
  
• 条件
  リクエストを検知する条件を設定します。条件は、対象、演算子、値、AND/OR 演算子の組合になっています。
  • 対象
    検知する条件の対象を選択します。選択可能な対象は、ヘッダー、クッキー、国、メソッド、URIクエリ、ユーザーエージェント、X-Forwarded-For 、ペイロードサイズがあります。
    
  • 演算子
    演算子は、選択した対象で値を検知する条件を設定します。設定可能な検知条件は以下のようです。
    
    • 同等
      設定した値が完全に一致する場合検知します。
      
      
    • 等しくない
      設定した値が一致しない場合検知します。
      
      
    • 含む
      設定した値が含まれている場合検知します。値が文字列である場合表示されます。
      
      
    • 含まない
      設定した値が含まれていない場合検知します。値が文字列である場合表示されます。
      
      
    • 該当
      設定した値が該当する場合検知します。値がセレクトボックスである場合表示されます。
      
      
    • 該当しない
      設定した値が該当しない場合検知します。値がセレクトボックスである場合表示されます。
      
      
    • 超過
      設定した値を超える場合検知します。値が数値である場合表示されます。
      
      
    • 未満
      設定した値に満たない場合検知します。値が数値である場合表示されます。
      
      
    • 以上
      設定した値の以上である場合検知します。値が数値である場合表示されます。
      
      
    • 以下
      設定した値の以下である場合検知します。値が数値である場合表示されます。
      
      
  • AND/OR
    複数の条件を追加する際に適用する演算子を設定します。演算子は、AND、ORの中で選べます。
    
    • AND
      追加する条件と現在の条件をすべて満たす場合検知します。
      
      
    • OR
      追加する条件や現在の条件のどちらかに満たす場合検知します。
      
      
• クライアントIP
  ルールに適用／除外するクライアントIPを設定します。追加 ボタンをクリックして複数のクライアントIPを設定することができます。
  
• サーバーURL
  ルールに適用／除外するサーバーURLを設定します。追加 ボタンをクリックして複数のサーバーURLを設定することができます。
  
  
• アクション
  ルールに検知された場合の措置を選択します。 
  検知の場合、ログを記録するが、リクエストを遮断しません。
  遮断の場合、リクエストを遮断し、ログを記録します。

ルールの設定が済んだら、下側の適用 ボタンをクリックしてルールを登録します。

Webセキュリティ > 遮断ページ

Webセキュリティ > 遮断ページは、WAAPのセキュリティポリシーによってリクエストを遮断する際にクライアント側へ応答するHTMLページをカスタマイズできるメニューです。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② ブロックページ : 今WAAPに登録しているブロックページのHTML本文です。

プレビュー ボタンをクリックすると、HTMLをレンダリングして表示することができます。

デフォルトのブロックページ ボタンをクリックすると、WAAPが提供するデフォルトのブロックページに戻すことができます。

適用 ボタンをクリックすると、編集したブロックページをWAAPに登録できます。

Bot 管理 > IPレピュテーション

有料ユーザ専用機能です。無料ユーザの場合は商品アップグレードボタンをクリックすると決済サイトへ移動し、決済の後利用できます。

Bot管理＞IP評判情報は学習済みのIP評判情報を利用、Botの識別や迂回経路を通じる攻撃に対応することができる機能です

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② セキュリティ設定 : 現在WAAPに登録されているIP評判情報によるセキュリティポリシーの設定状況を照会·編集することができます。 セキュリティ ポリシーの名前、説明、アクションで構成されています。

セキュリティの処置はいこのように設定することができます。

• Off : ポリシーを無効化します。無効化したポリシーは、検査を行わないため、ログも記録されません。
  
• 検知 : ポリシーの検査を行い、攻撃を検知した場合、ログを記録するが、リクエストを遮断しません。
  
• 検証：ポリシーに対する検査を実行し、検知される場合はチャレンジページで選択した検証方法を通じてリクエストを検証し、ログを作成します。
  
• 遮断 : ポリシーの検査を行い、攻撃を検知した場合、ログを記録し、リクエストを遮断します。
  

セキュリティポリシーを変更しましたら、表示された適用 ボタンをクリックして配布してください。

Bot 管理 > リクエスト制限

Bot管理＞リクエスト制限メニューは同じクライアントからの反復アクセスに対する閾値ルールを作成、検索できるメニューです。また、そのルールにより遮断され、遮断IPリストにあるクライアントの遮断解除することができます。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② 遮断検索：遮断リストにあるクライアントを検索し、遮断解除することができます。

③ 検索条件：検索するルールの詳細条件を設定できます。

④ リクエスト制限ルールリスト：条件に合うリクエスト制限ルールのリストです。

検索条件はルールの名、状態、処置などの条件を設定し、ルールをフィルタリングすることができます。

検索条件はAND条件で、すべての条件を満足するルールを検索します。

リクエスト制限ルールリストは可否、ルールの名、URL、条件、ルールの説明、処置などの情報を略して表示します。

 このボタンをクリックすると、該当ルールの使用可否を設定できます。

  このボタンをクリックすると、該当ルールを編集できます。

 このボタンをクリックすると、該当ルールを削除できます。

リクエスト制限ルール登録

新しいルールの作成ボタンをクリックして新しいリクエスト制限ルールを作成します。

太字テキスト項目は必ず入力してください。

• ルール名
  ルールの名を設定します
• Type
  • IP：同じクライアントを判断する基準をIPにします。
  • Finger Print：同じクライアントを判断する基準をフィンガープリントにします。
    
  • Cookie : 同じクライアントを識別する基準をクッキーのキー名にします。  
    
    
  • Header : 同じクライアントを識別する基準をヘッダー名にします。 
    
    
• 対象URL：ポリシーを適用するURLのパスを設定します。
  • 以下のようにアスタリスク「＊」を利用し、同じパターンの複数のパスを検知することができます。
  • 例1) apple/* : 「apple/*」の場合：「/apple」を含み、「/apple」から始まるパスを検知します。
  • 例2) apple/*/banana : 「apple/*/banana」の場合：「/apple」から始め、「/banana」で終わるすべてのパスを検知します
    
  • 例３）「*/apple」：/appleで終わるすべてのパスを含めて検知します。
•  遮断条件：クライアントを遮断する条件を設定します。
  • 期間：検知回数をカウントする期間を「秒」で設定します
  • 検知回数：期間内のアクセスリミットを設定します。
  • 遮断：条件により、遮断リストに登録されたクライアントをリストに保存する時間を「分」で設定します。
• ルール説明
  ルールの説明を設定します。
• 処置
  ルールにより遮断される場合の処理を設定します。
  「検知」の場合、ログは作成、リクエストは遮断はしません。
  「検証」の場合、ログは作成、リクエストは検証します。
  「遮断」の場合、ログは作成、リクエストは遮断します。
  

上記の図では、
「/login」、「/login.prc」への10秒内20回以上HTTPアクセスを実行したクライアントIPは60分間遮断リストに追加され、そのIP からのアクセスはBot検証をするように処理します。

ルールの設定が済んだら、下側の適用 ボタンをクリックしてルールを登録します。

Bot 管理 > 強制ブラウジング

有料ユーザ専用機能です。無料ユーザの場合は商品アップグレードボタンをクリックすると決済サイトへ移動し、決済の後利用できます。

設定されている時間間隔中にHTTP異常応答(4XX、5XXのエラーページ)件数が検知条件から設定した閾値を超える場合検知するメニューです。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② 遮断検索：遮断リストにあるクライアントを検索し、遮断解除することができます。

③ 有効 : ポリシーの使用可否を設定します。使用しないポリシーは無視されるので、ログも作成しません。

④ Type

• • IP：同じクライアントを判断する基準をIPにします。
  • Finger Print：同じクライアントを判断する基準をフィンガープリントにします。
    
  • Cookie : 同じクライアントを識別する基準をクッキーのキー名に作成されているテキストにする必要があります。 
    
    
  • Header : 同じクライアントを識別する基準をヘッダー名に作成されているテキストにする必要があります。
    
    

⑤ 遮断条件：クライアントを遮断する条件を設定します。

• • 期間：検知回数をカウントする期間を「秒」で設定します
  • 検知回数：期間内のアクセスリミットを設定します。
  • 遮断：条件により、遮断リストに登録されたクライアントをリストに保存する時間を「分」で設定します。
    

⑥ レスポンスコード : HTTPの異常応答として識別するコードを設定します。「-」を入力して連続に設定することができます。

• • 例) 200-300 : 200から300までの全てのコード

⑦ ルール説明 : ルールの説明を設定します。

⑧ 処置 : ルールにより遮断される場合の処理を設定します。
「検知」の場合、ログは作成、リクエストは遮断はしません。
「検証」の場合、ログは作成、リクエストは検証します。
「遮断」の場合、ログは作成、リクエストは遮断します。

Bot 管理 > Advance

Bot管理＞Advanceメニューでは、悪性Botのウェブサイトアクセスを自動識別、緩和する方法を設定します

① ドメイン選択：現在検索しているドメインの情報です。クリックしてドメインを変更します。

② Fake Bot

• 検索エンジンクローラー、ソーシャルネットワーク及びウェブサイトモニタリングBotのように悪性Botではないように偽装するトラフィックを識別する機能です。
• Off、検知、検証、遮断ボタンをクリックして悪性Botと疑われるアクセスの処理方法を選択することができます。
  

③ robots.txt違反

• robots.txt定義に違反するトラフィックを識別する機能です。
  robots.txt：ウェブサイトへロボットがアクセスすることを防止する規約です。
• Off、検知、検証、遮断ボタンをクリックして悪性Botと疑われるアクセスの処理方法を選択することができます
  

④ Honeypot Trap

• 存在しないURLをレスポンスデータに含めてBotを誘引し、悪意的アクセスを識別します。
• Off、検知、検証、遮断ボタンをクリックして悪性Botと疑われるアクセスの処理方法を選択することができます

⑤ Slow DoS

• Slow DoSは、攻撃者がサーバーのリソースを消費し続けることにより、ウェブサービスを提供できない状況に追い込む攻撃です。
• 有料ユーザ専用機能です。
  • 無料ユーザの場合は商品アップグレードボタンをクリックすると決済サイトへ移動し、決済の後利用できます。
    
    

⑥ Enhanced Mode

• 先制Bot防御、ヘッドレスブラウザ検知、行動分析のような改善された方法で悪性Botのウェブサイトアクセスを自動で識別、緩和する機能です。
• 有料ユーザ専用機能です。
  • 無料ユーザの場合は商品アップグレードボタンをクリックすると決済サイトへ移動し、決済の後利用できます。
  • 決済の後Off、検知、検証、遮断ボタンをクリックして悪性Botと疑われるアクセスについての処理方法を選択できます。
    
    
    
    

⑦ Request Throttling

• 指定された数を超えるリクエストを遅延させ、サーバのリソースを安定的に利用できるようにします。
• 有料ユーザ専用機能です。
  • 無料ユーザの場合は商品アップグレードボタンをクリックすると決済サイトへ移動し、決済の後利用できます。
    
    
    
    

Bot 管理 > チャレンジページ

Bot管理＞チャレンジページメニューは悪性Botと疑われるウェブリクエストを検証する時クライアントに表示するチャレンジページを確認、作成するメニューです。

① ドメイン選択：現在、検索しているドメインの情報です。クリックしてドメインを変更することができます。

② Bot検証：現在、ドメインに適用されているBot検証方法の情報です。ラジオボタンをクリック、適用ボタンをクリックしてBot検証方法を変更することができます。基本はCaptchaです。

③ Captchaチャレンジページ：現在、WAAPに登録されているCaptchaチャレンジページのHTMLファイルです。

④ Email２Factor チャレンジページ：現在、WAAPに登録されているメール二段階認証チャレンジページのHTMLファイルです。

Captcha＆Email２Factorチャレンジページ

• Captchaチャレンジページとメール二段階認証ページ はエディターを利用してHTMLを作成できます。
• チャレンジページのHTMLを作成するときにはページコードにある以下のパターンコードを削除しないようにご注意ください。
  [[%%STATIC-SCRIPT%%]], [[%%INPUT-FORM%%]]
  
  
•  「プレビュー」ボタンをクリックしてチャレンジページを表示します。
  
  
• 「基本チャレンジページ」ボタンをクリックしてWAAP提供のチャレンジページを適用します。
• 「適用」ボタンをクリックして編集済みのチャレンジページををWAAPに適用します。
  

Bot 管理 > Credential Stuffing

有料ユーザ専用機能です。無料ユーザの場合は商品アップグレードボタンをクリックすると決済サイトへ移動し、決済の後利用できます。

ウェブのアプリケーションまたはAPIを対象として流出されたアカウントの情報を利用してログインする攻撃を遮断します。

① ドメイン選択：現在、検索しているドメインの情報です。クリックしてドメインを変更することができます。

② 有効 : ポリシーの使用可否を設定します。使用しないポリシーは無視されるので、ログも作成しません。

③ 対象URL : ログインする時使用されるURLのパスを入力します。

④ リクエストフィールド名 : ログインする時ユーザ名とパスワードを表すフィールド名を入力します。

⑤ 使用された資格証明タイプ: ログインリクエストの時使用する資格証明タイプを選択します。
選択されたタイプを基準としてアカウントの情報流出を判断します。

⑥ 処置 : ルールにより遮断される場合の処理を設定します。
「検知」の場合、ログは作成、リクエストは遮断はしません。
「遮断」の場合、ログは作成、リクエストは遮断します。

ルールの設定の終了後に、下側の適用 ボタンをクリックしてルールを登録します。

セキュリティ管理

セキュリティ管理メニューは、ドメインのポリシー設定を他のドメインに同期したり、セキュリティルールを初期化するなど、セキュリティルールの全般的な管理機能を提供します。

• ヘッダベースのクライアントIP識別
  HTTPヘッダの情報に入力されているクライアントIPを対象としてセキュリティ機能を適用します。受信トラフィックの中に設定したヘッダの情報のないトラフィックはネットワークIPをクライアントIPとして識別します。
  
  
  
  
  
• ユーザ定義クライアントIPインジェクション
  受信クライアントIPを指定したHTTPヘッダの中に挿入した後、元サーバへ転送します。別途のヘッダ名を設定ない場合、X-Forwarded-ForヘッダにクライアントIPを挿入します。
  
  
  
  
• セキュリティポリシーコピー
  今照会しているドメインのセキュリティポリシーを同じアカウントの他のドメインへ同期する機能です。
  

  

  • 対象ルール
    転送するセキュリティポリシーを選択します。
    
  • ドメインリスト
    セキュリティポリシーを同期する対象ドメインを選択します。
    
    
    
• セキュリティポリシー初期化
  今照会しているドメインのすべてのセキュリティポリシーを初期化する機能です。
  

  

  
  
• 月別レポート自動生成
  月別レポートを自動で作成するオプションです。月別レポートは、毎月１日に自動に作成となります。
  
  
  
  
• レポートメール送信
  自動的に作成された月次レポートを電子メールで転送する機能です。メールアドレスは5つまで登録可能です。月次レポートは毎月１日に作成されて、添付ファイルで転送されます。メール転送機能を使わない場合はOffにしてください。
  
  
  
  
  

レポート

レポートは、WAAPのウェブセキュリティレポートを作成／照会／管理できるメニューです。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② レポート手動作成 : データ期間を指定し、セキュリティレポートを手動で作成できます。

③ レポートリスト : 作成されたレポートのリストです。

レポートリスト には、レポートの作成時間、データの期間、ファイル名などが表示されます。

ボタンをクリックすると作成されたレポートをPDF形式でダウンロードできます。

ボタンをクリックすると作成されたレポートをDocs形式でダウンロードできます。 

削除 ボタンをクリックするとレポートを削除できます。

セキュリティ連携設定

セキュリティ連携機能をお申し込みいただいたお客様に限り提供される機能です。お申し込みは、support@aioncloud.com にご連絡ください。

ESM / SIEM のような総合ログ管理ツールへWAAPの検知ログを転送する機能です。

① ドメイン選択 : 今照会しているドメイン名が表示されます。クリックして他のドメインに変更することができます。

② ログ転送対象リスト : 検知ログを転送する対象アドレスのリストです。IP：PORT形式で追加できます。

③ カスタムログフォーマット : 転送する検知ログに任意の値を追加して転送する機能です。

④ 検知ログフォーマット : 転送する検知ログのフォーマットを設定します。

⑤ プレビュー : 実際に転送する検知ログの形を確認できます。

カスタムログフォーマット で設定した値は、転送する検知ログの一番最初のフィールドに挿入されます。
下の図は、カスタムログフォーマット を「AIONCLOUD_WAAP」と設定した場合の検知ログの例です。

検知ログフォーマットでは、識別子、識別子の数、データの言語を設定できます。