ADC

セーフオブジェクトチェック

セーフオブジェクトチェックでは、顧客番号、注文番号、国固有または地域固有の電話番号または郵便番号などの重要なビジネス情報をユーザーが構成可能な保護を提供します。ユーザー定義の正規表現またはカスタムプラグインは、Web App Firewall にこの情報の形式を伝え、保護に使用するルールを定義します。ユーザー要求内の文字列が安全なオブジェクト定義と一致する場合、Web App Firewall は、特定のセーフオブジェクトルールの設定方法に応じて、応答をブロックするか、保護された情報をマスクするか、または応答から保護された情報を削除してからユーザーに送信します。

セーフオブジェクトチェックは、攻撃者がWebサーバーソフトウェアまたはWebサイトのセキュリティ上の欠陥を悪用して、会社のクレジットカード番号や社会保障番号などの機密性の高い個人情報を取得することを防ぎます。Webサイトがこれらのタイプの情報にアクセスできない場合は、このチェックを構成する必要はありません。そのような情報にアクセスできるショッピングカートやその他のアプリケーションがある場合、またはWebサイトがそのような情報を含むデータベースサーバーにアクセスできる場合は、処理および保存する機密性の高い個人情報の種類ごとに保護を構成する必要があります。

注:

SQLデータベースにアクセスしないWebサイトは、通常、機密性の高い個人情報にアクセスできません。

[セーフオブジェクトチェック] ダイアログボックスは、他のチェックの場合とは異なります。作成する各セーフオブジェクト式は、クレジットカードチェックと同様に、その種類の情報に対する個別のセキュリティチェックに相当します。ウィザードまたは GUI を使用する場合は、[追加] をクリックし、[セーフオブジェクトの追加] ダイアログボックスで式を構成して、新しい式を追加します。既存の式を変更するには、その式を選択して [開く] をクリックし、[セーフオブジェクトの修正] ダイアログボックスで式を設定します。

各セーフオブジェクト式の [セーフオブジェクト] ダイアログボックスで、次の項目を設定できます。

  • セーフオブジェクト名。新しいセーフオブジェクトの名前。名前は、文字、数字、またはアンダースコア記号で始まり、1 ~ 255 文字の文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等号 (=)、コロン (:)、およびアンダースコア (_) 記号で構成されます。
  • アクション。ブロック、ログ、統計のアクション、および次のアクションを有効または無効にします。
    • X-Out。セーフオブジェクト式に一致する情報を文字「X」でマスクします。
    • Remove- セーフオブジェクト式に一致する情報をすべて削除します。
  • 正規表現。セーフオブジェクトを定義する PCRE互換の正規表現を入力します。正規表現を作成するには、テキストボックスに正規表現を直接入力する方法、[正規表現 トークン] メニューを使用して正規表現の要素とシンボルをテキストボックスに直接入力する方法、または [正規表現エディタ] を開いて式を作成します。正規表現は ASCII 文字のみで構成する必要があります。基本的な 128 文字の ASCII セットに含まれていない文字は、切り取って貼り付けないでください。非 ASCII 文字を含める場合は、これらの文字を PCRE 16 進文字エンコード形式で手動で入力する必要があります。 メモ:セーフオブジェクト式の先頭に開始アンカー (^)、セーフオブジェクト式の末尾に終了アンカー ($) を使用しないでください。これらの PCRE エンティティは Safe Object 式ではサポートされていません。使用すると、式が一致するものと一致しなくなります。
  • [最大一致長]。照合する文字列の最大長を表す正の整数を入力します。たとえば、米国の社会保障番号を照合する場合は、このフィールドに番号 11 (11) を入力します。これにより、正規表現は9つの数字と2つのハイフンを持つ文字列にマッチすることができます。カリフォルニア州の運転免許証番号を照合する場合は、8 と入力します。

    注意:

    このフィールドに最大一致長を入力しない場合、Web App Firewall では、安全なオブジェクト式に一致する文字列をフィルタリングするときに、デフォルト値の 1 が使用されます。その結果、ほとんどの安全なオブジェクト式はターゲット文字列と一致しません。

コマンドラインインターフェイスを使用して、セーフオブジェクトチェックを構成することはできません。Web App Firewall ウィザードまたは GUI を使用して構成する必要があります。

以下は、セーフオブジェクトチェック正規表現の例です。

  • 米国の社会保障番号であると思われる文字列を探します。3つの数字(最初の数字はゼロであってはいけません)、ハイフン、さらに2つの数字、2番目のハイフン、さらに4つの数字で終わる文字列で終わります。

     [1-9][0-9]{3,3}-[0-9]{2,2}-[0-9]{4,4}
     <!--NeedCopy-->
    
  • カリフォルニア州の運転免許証 ID のように見える文字列を探します。文字列は文字で始まり、その後に正確に 7 つの数字の文字列が続きます。

     [A-Za-z][0-9]{7,7}
     <!--NeedCopy-->
    
  • 顧客 ID と思われる文字列を探します。これらの文字列は、5 つの 16 進文字 (すべての数字と A から F までの文字)、ハイフン、3 文字のコード、2 番目のハイフン、10 個の数字の文字列で終わる文字列で構成されます。

     [0-9A-Fa-f]{5,5}-[A-Za-z]{3,3}-[0-9]{10,10}
     <!--NeedCopy-->
    

注意:

正規表現は強力です。特に PCRE-format の正規表現に精通していない場合は、記述する正規表現をダブルチェックして、安全なオブジェクト定義として追加する文字列のタイプを正確に定義していることを確認してください。それ以外は何も定義しません。ワイルドカード、特にドットとアスタリスク (.*) メタキャラクタとワイルドカードの組み合わせを不注意に使用すると、ブロックする意図がなかった Web コンテンツへのアクセスをブロックするなど、望ましくない結果が生じる可能性があります。

セーフオブジェクトチェック

この記事の概要