[新製品・サービス]
JP-Secure、ホスト型WAF「SiteGuard Server Edition」新版、Cookie保護を強化
2021年8月23日(月)日川 佳三(IT Leaders編集部)
ジェイピー・セキュア(JP-Secure)は2021年8月23日、WAF(Webアプリケーションファイアウォール)「SiteGuard Server Edition」の新版(Ver5.00)を発表した。ホスト型のWAFであり、Webサーバーソフトウェアに組み込んで利用する。新版では、Cookieの暗号化やCookieへのSecure属性の追加など、Cookieの安全性を高めている。
ジェイピー・セキュア(JP-Secure)は、WAF(Webアプリケーションファイアウォール)製品「SiteGuardシリーズ」を提供している。SQLインジェクションなどWebアプリケーションの脆弱性を狙った攻撃を検知し、これらの攻撃からWebアプリケーションを守る。攻撃手法のパターンをデータベース化したシグネチャを用いて不正な攻撃を検出する(関連記事:JP-Secure、Webアプリケーションファイアウォール製品を刷新、検査エンジンの性能を向上)。
動作形態として、ネットワーク上でWebアクセスを仲介するゲートウェイ型(プロキシサーバー型)の「SiteGuard Proxy Edition」と、Webアプリケーションサーバー上で直接動作する「SiteGuard Server Edition」の2つを用意している。SiteGuard Server Editionは、Webサーバー(Apache、Nginx、IIS)の機能拡張モジュール(module)としてWAF機能を実装しており、Webアプリケーション自身にWAF機能を追加できる。
今回、ホスト型WAFをVer4.00からVer5.00へとメジャーバージョンアップを行い、Cookie保護機能や応答ヘッダー追加・削除機能などを追加した。これらの機能は、ゲートウェイ型WAFの現行版「SiteGuard Proxy Edition Ver6.00」にはすでに備わっている。
Cookie保護機能では、Cookieに対して、暗号化、Secure属性の追加(該当のCookieをHTTPS通信に限って利用できるようにする設定)、シグネチャ検査などを実施できるようにした。ログインユーザーのセッション維持をCookieで管理しているケースなどにおいて、Cookie情報を不正に入手した第三者がなりすましてセッションに介入するといった事故が起こりにくくなる。
新版では、HTTPの応答ヘッダーの項目を追加・削除する機能も追加した。Web画面から設定できる(画面1)。
拡大画像表示