Citrix ADC

セーフオブジェクトチェック

セーフオブジェクトチェックは、顧客番号、注文番号、国固有または地域固有の電話番号または郵便番号など、機密性の高いビジネス情報をユーザーが構成可能な保護を提供します。ユーザー定義の正規表現またはカスタムプラグインは、Web App Firewall にこの情報の形式を伝え、情報を保護するために使用するルールを定義します。ユーザーリクエストの文字列がセーフオブジェクト定義と一致する場合、Web App Firewall は、その特定のセーフオブジェクトルールの構成方法に応じて、レスポンスをブロックするか、保護された情報をマスクするか、またはユーザーに送信する前にレスポンスから保護された情報を削除します。

セーフオブジェクトチェックは、攻撃者が Web サーバーソフトウェアまたは Web サイトのセキュリティ上の欠陥を悪用して、会社のクレジットカード番号や社会保障番号などの機密性の高い個人情報を入手することを防ぎます。Web サイトがこれらの種類の情報にアクセスできない場合は、このチェックを構成する必要はありません。このような情報にアクセスできるショッピングカートやその他のアプリケーションがある場合、または Web サイトがそのような情報を含むデータベースサーバーにアクセスできる場合は、処理および保存する機密性の高い個人情報の種類ごとに保護を構成する必要があります。

注:

SQL データベースにアクセスしないウェブサイトは、通常、機密性の高い個人情報にアクセスできません。

セーフオブジェクトチェックは、他のチェックとは異なります。作成する各セーフオブジェクト式は、クレジットカードチェックと同様に、その種類の情報に対する個別のセキュリティチェックと同等です。

GUI を使用してセーフオブジェクトチェックを構成する

注:

セーフオブジェクトチェックは、GUI を使用してのみ設定する必要があります。コマンドラインインターフェイスはサポートされていません。

GUI を使用してセーフオブジェクトセキュリティー検査を追加するには、次の手順に従います。

  1. セキュリティ]> Citrix Web App Firewall]>[プロファイル]に移動します。

  2. 必要なプロファイルを選択し、[ 編集] をクリックします。

  3. [ 詳細設定 ] ウィンドウで、[ 緩和規則] をクリックします。

  4. [ セーフオブジェクト ] を選択し、[ 編集] をクリックします。

  5. [ 追加 ] をクリックして、以下を構成します。

    • 安全なオブジェクト名。新しいセーフオブジェクトの名前。名前は、英字、数字、またはアンダースコア記号で始めることができます。名前には、1 ~ 255 の英数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等号 (=)、コロン (:)、およびアンダースコア (_) 記号を使用できます。
    • アクション。 ブロックログ統計アクション 、および次のアクションを有効または無効にします。
      • X-Out。セーフオブジェクト式と一致する情報を文字「X」でマスクします。
      • Remove- セーフオブジェクト式と一致する情報をすべて削除します。
    • 正規表現。セーフオブジェクトを定義する PCRE 互換の正規表現を入力します。 正規表現は次のいずれかの方法で作成できます。
      • テキストボックスに正規表現を直接入力する
      • [ 正規表現トークン ] メニューを使用して、正規表現の要素と記号をテキストボックスに直接入力する
      • 正規表現エディタを開き、それを使用して式を作成します。正規表現は ASCII 文字のみで構成されている必要があります。基本的な 128 文字の ASCII セットの一部ではない文字を切り取って貼り付けないでください。非 ASCII 文字を含める場合は、これらの文字を PCRE 16 進文字エンコード形式で手動で入力する必要があります。

      注:

      セーフオブジェクト式の先頭に開始アンカー (^) を使用したり、セーフオブジェクト式の最後に終了アンカー ($) を使用したりしないでください。これらの PCRE エンティティはセーフオブジェクト式ではサポートされていません。使用すると、式が意図したものと一致しなくなります。

    • 最大一致長。一致させる文字列の最大長を表す正の整数を入力します。たとえば、米国の社会保障番号を照合する場合は、このフィールドに番号 11 を入力します。これにより、正規表現で 9 つの数字と 2 つのハイフンを含む文字列に一致させることができます。カリフォルニア州の運転免許証番号と一致させたい場合は、数字の8(8)を入力します。

      注意:

      最大一致長を指定しない場合、Web App Firewall は、セーフオブジェクト式に一致する文字列をフィルタリングするときに、既定値の 1 を使用します。その結果、ほとんどの安全なオブジェクト式はターゲット文字列と一致しません。

既存のエクスプレスを変更するには、必要な式を選択し、[ 開く ] をクリックして、[ セーフオブジェクトの変更 ] ダイアログボックスで式を構成します。

以下は、セーフオブジェクトチェックの正規表現の例です。

  • 米国の社会保障番号 (SSN) のように見える文字列を探します。SSN は、次の文字を上記の順序で構成します。
    • 三つの数字 (最初の数字はゼロであってはならない)
    • ハイフン
    • あと2つの数字
    • 2 つ目のハイフン
    • あと4つの数字の文字列
     [1-9][0-9]{3,3}-[0-9]{2,2}-[0-9]{4,4}
     <!--NeedCopy-->
    
  • カリフォルニア州の運転免許証IDのように見える文字列を探します。文字で始まり、その後に正確に7つの数字の文字列が続きます。

     [A-Za-z][0-9]{7,7}
     <!--NeedCopy-->
    
  • 顧客 ID のように見える文字列を探します。顧客 ID は、次の順序で構成されます。
    • 5 つの 16 進数文字の文字列 (すべての数字と A から F までの英文字)
    • ハイフン
    • 3 文字のコード
    • 2 つ目のハイフン
    • 10個の数字の文字列
     [0-9A-Fa-f]{5,5}-[A-Za-z]{3,3}-[0-9]{10,10}
     <!--NeedCopy-->
    

注意:

正規表現は強力です。PCRE形式の正規表現に慣れていない場合は、記述した正規表現を再確認してください。正規表現が、安全なオブジェクト定義として追加する文字列のタイプを正確に定義していることを確認してください。ワイルドカード、特にドットとアスタリスク (.*) メタキャラクタとワイルドカードの組み合わせを不注意に使用すると、ブロックする意図がなかった Web コンテンツへのアクセスをブロックするなど、望ましくない結果が生じる可能性があります。

セーフオブジェクトチェック