Web Application Firewall:データ漏洩防止の設定

背景情報

WAFは、中華人民共和国サイバーセキュリティ法で義務付けられている以下の規制に準拠するため、データ漏洩防止機能をサポートしています。ネットワーク事業者は、収集した個人情報のセキュリティを確保し、情報の漏洩、損傷、または損失を防止するための技術的およびその他の必要な措置を講じるものとします。 データが漏洩、破損、または失われた場合、ネットワーク事業者は、できるだけ早い機会に是正措置を講じ、適時にユーザーに通知し、規制に準拠して当局に報告する必要があります。 データ漏洩防止機能は、ウェブサイトのコンテンツ内の電話番号、IDカード番号、銀行カード番号などの機密情報をマスクし、機密情報を検出するとアラートをトリガーします。 この機能を使用して、特定のHTTPステータスコードを含む応答をブロックできます。

機能

ウェブサイトによって維持される情報は、バックエンド管理システムへの不正アクセスなどのURLへの不正アクセス、水平および垂直特権エスカレーション、およびウェブページから機密情報を取得する悪意のあるクローラのシナリオで漏洩する可能性があります。 一般的な機密情報の漏洩を防ぐために、データ漏洩防止機能には次の機能があります。

• webページ上の個人情報を検出して識別し、情報をマスクし、アラートをトリガーしてwebサイトデータを保護します。 個人情報は、IDカード番号、電話番号、および銀行カード番号を含むが、これらに限定されない。

  重要

  データ漏洩防止機能は、IDカード番号、携帯電話番号、銀行カード番号など、中国本土で使用されている形式のデータのみを処理できます。

• webサイトで使用されるwebアプリケーション、オペレーティングシステム、サーバーのバージョンなど、機密サーバー情報をマスクします。

• 禁止および機密キーワードを含むライブラリを維持して、禁止または機密Webサイトのコンテンツを検出およびマスクし、アラートをトリガーします。

機能の仕組み

データ漏洩防止機能は、特定の保護ルールに基づいて、webページにIDカード番号、携帯電話番号、銀行カード番号などの機密情報が含まれているかどうかを検出します。 保護ルールが一致すると、WAFはルールに基づいてアラートをトリガーするか、情報をマスクします。 データ漏洩防止機能は、機密情報をアスタリスク (*) に置き換えます。

データ漏洩防止機能を使用すると、Content-Typeをtext/* 、image/* 、またはapplication/* に設定して、webアプリケーション、ネイティブアプリケーション、およびAPIを保護できます。

手順

1. WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。

2. 左側のナビゲーションウィンドウで、保護設定 > ウェブサイト保護.

3. [Webサイトの保護] ページの上部で、[ドメイン名の切り替え] ドロップダウンリストから保護を設定するドメイン名を選択します。

4. [Webセキュリティ] タブをクリックし、[データ漏洩防止] セクションを見つけます。 次に、[ステータス] をオンにし、設定 をクリックします。

   重要

   • データ漏洩防止ルールを設定する前に、データ漏洩防止機能を有効にする必要があります。

   • データ漏洩防止機能を有効にすると、Webサイト宛てのすべてのリクエストがチェックされます。 特定のリクエストを許可するようにデータセキュリティホワイトリストルールを設定できます。 詳細については、「データセキュリティのホワイトリストの設定」をご参照ください。

5. データ漏洩防止ルールを作成します。

   1. On theデータ漏れ防止ページをクリックします。ルールを追加.

   2. [ルールの作成] ダイアログボックスで、パラメーターを設定します。 下表にパラメーターを示します。

      パラメーター	説明
      ルール名	作成するデータ漏洩防止ルールの名前。
      マッチング条件	検出する情報のタイプ。 有効な値： ステータスコード: 400、401、402、403、404、405-499、500、501、502、503、504、505-599 機密情報: ID カード、クレジットカード、電話番号、およびデフォルト機密ワード 重要 データ漏洩防止機能は、IDカード番号、携帯電話番号、銀行カード番号など、中国本土で使用されている形式のデータのみを処理できます。 [ステータスコード] オプションと [機密情報] オプションに複数の値を選択できます。 [And] を選択した場合、監視するURLを指定できます。 これにより、WAFは指定されたページの機密情報のみを検出します。
      一致アクション	検出された機密情報に対して実行するアクション。 一致条件をステータスコードに設定した場合、次のアクションがサポートされます。 警報: 機密情報が検出されたときにアラートをトリガーします。 ブロック: リクエストをブロックし、デフォルトのブロックページを返します。 一致条件を機密情報に設定した場合、次のアクションがサポートされます。 警報: 機密情報が検出されたときにアラートをトリガーします。 機密情報フィルタリング: 応答の機密情報をマスクします。

      サンプル設定

      • 機密情報のマスク: Webページには、電話番号やIDカード番号などの機密情報が含まれている場合があります。 データ漏洩防止ルールを作成して、機密情報をマスクしたり、機密情報が検出されたときにアラートをトリガーしたりできます。 携帯電話番号とIDカード番号をマスクするデータ漏洩防止ルールの作成例を次に示します。

        • 一致条件: IDカード番号と携帯電話番号

        • アクション: 機密情報のフィルタリング

        重要

        顧客サービスや製品ホットラインなどのビジネス業務のために一般に提供する必要がある携帯電話番号も、データ漏洩防止規則によってマスクされる場合があります。

      • 特定のHTTPステータスコードを含む応答をブロックする: データ漏洩防止ルールを作成して、特定のHTTPステータスコードが検出されたときにアラートをブロックまたは生成し、機密サーバー情報の漏洩を防止できます。 HTTP 404のステータスコードをブロックするデータ漏えい防止ルールの作成例を次に示します。

        • マッチ条件: 404

        • アクション: ブロック

      • 特定のページの特定の機密情報をマスクする: データ漏洩防止ルールを作成して、機密情報をマスクしたり、特定のページで電話番号やIDカード番号などの特定の機密情報が検出されたときにアラートを生成したりできます。 次の例では、URLにadmin.phpが含まれるページのIDカード番号をマスクするデータ漏洩防止ルールを作成する方法について説明します。

        • 一致条件: URLにadmin.phpが含まれているページのIDカード番号

        • アクション: 機密情報のフィルタリング

        データ漏洩防止ルールが有効になると、URLにadmin.phpが含まれているページのIDカード番号がマスクされます。

   3. クリックOK.

      データ漏洩防止ルールを作成すると、ルールは自動的に有効になります。 ビジネス要件に基づいて、ルールリストでデータ漏洩防止ルールを表示、変更、または削除できます。

次のステップ

データ漏洩防止機能を有効にすると、データ漏洩防止ルールに一致するフィルタリングまたはブロックされたリクエストのログデータを表示できます。 ログデータを表示するには、セキュリティレポート ページに移動します。 [Webセキュリティ] タブで、[データ漏洩防止] をクリックします。 次に、セキュリティレポートを表示します。 詳細については、「セキュリティレポートの表示」をご参照ください。