サイト内の現在位置を表示しています。

InfoCage SiteShell

FAQ

脆弱性対策パッケージ(ブラックリスト)について

Q1脆弱性対策パッケージ(ブラックリスト)の更新頻度はどの程度ですか?
A1

不定期更新ですが、概ね3ヶ月~半年に1回程度です。現在のブラックリストで対応できない脆弱性攻撃へ対応した時点で更新版ブラックリストをリリースします。

Q2脆弱性対策パッケージ(ブラックリスト)の更新はどのように行われますか?
A2

保守ご契約ユーザ様へ事前に更新案内(メール)を送付します。自動更新を有効にされているお客様は自動的に、そうでないお客様は手動で更新した時点で、新しいブラックリストが適応されます。

Q3脆弱性対策パッケージ(ブラックリスト)更新時に、サーバの再起動は発生しますか?
A3

再起動は発生しません。

Q4脆弱性対策パッケージ更新後、Webアクセスの不具合は発生しませんか?
A4

発生する可能性はあります。
脆弱性対策パッケージは、様々なWebアクセスに対し検査/対処できるよう一般化したルール定義として配信しておりますが、お客様環境に依存した過剰検知やリソース消費が起因して、正規のWebアクセスに影響を与えてしまうことは否めません。

脆弱性対策パッケージの更新にあたっては、開発環境での事前検証を推奨します。
またInfoCage SiteShell V4.0以降では、本番環境での事前検証やロールバックなど、脆弱性対策パッケージの更新を操作する機能を備えておりますので、万が一の不測の事態にも対処することができます。

ライセンスについて

Q1仮想環境でのライセンスの数え方を教えてください。
A1

ゲストOS毎にライセンスが発生します。2台の仮想マシン上で、それぞれWebサーバを使用している場合には、InfoCage SiteShell のライセンスは2つ必要です。

Q2追加ライセンスの購入条件を教えてください。
A2

追加ライセンスは、InfoCage SiteShell(2サーバ)またはInfoCage SiteShell(10サーバ)をご利用いただいている環境への、SiteShellライセンスの追加にご利用いただけます。

  • 年間ライセンス形態と併せての購入はできません。
  • InfoCage SiteShell(2サーバ)またはInfoCage SiteShell(10サーバ)は、SiteShellの運用管理コンソール単位で必要になります。
    例えば開発/評価環境と本番環境を別々の運用管理コンソールで運用する場合、それぞれに対してInfoCage SiteShell(2サーバ)またはInfoCage SiteShell(10サーバ)が必要になります。

Q3運用管理コンソールは別途購入するのでしょうか?
A3

いいえ。運用管理コンソールは、InfoCage SiteShell 本体に同梱されます。別途購入の必要はありません。

Q4開発環境のサーバにもInfoCage SiteShell をインストールしたいのですが、ライセンスは必要ですか?
A4

開発環境にInfoCage SiteShellをインストールする場合、2通りの利用方法があります。

1.試用版を用いる
https://jpn.nec.com/infocage/siteshell/download.html
上記ページより、試用版をダウンロードして使用する方法です。
ダウンロード後、30日間ご利用頂けます。
ライセンス購入は不要ですが、保守は含まれません。
試用版は商用機能が無効になっており、下記の制限がございます。

・攻撃を検知しますが、防御ができません。(ブロックせずログ出力のみ)
・ブラックリストの自動更新ができません。

商用機能が必要な場合は、正規ライセンスを購入する必要があります。

2.正規ライセンスを用いる
開発環境向けに正規ライセンスを購入頂く必要があります。
ライセンスIDが入手できますので開発環境にインストールしたInfoCage SiteShellに登録することで、本番環境と同様、商用機能がご利用頂けます。
また、保守対応も行います。

Q5Webアプリケーションサーバ2台で冗長構成を組んでいます。必要なライセンス数を教えてください。
A5

InfoCage SiteShellのライセンスはサーバ台数分必要となりますので、2ライセンス必要となります。

Q6サーバがActive-Standbyの構成であった場合、ライセンスはいくつ必要ですか?
A6

Active-Standbyの場合でも、それぞれライセンスを購入頂く必要があります。
NW型SiteShellの場合は、待機系(Standby)専用のライセンスがございます。

Q7InfoCage SiteShellで防御できるWebサイト数に制限はありますか?
A7

ホスト型の場合、1ライセンスあたり、防御対象とすることができるドメイン数は2までとなります。
防御対象とするドメイン数にあわせて、ライセンスをご購入ください。
NW型の場合、防御できるWebサイト数に制限はありませんが、その処理性能はインストールサーバのスペックや、防御対象とするWebサーバ群との流量(bps)に依存します。
インストールサーバのCPUコア数(※)にあわせて、ライセンスをご購入ください。

  • 「論理プロセッサーの数」となります。「物理プロセッサーの数」ではありません。
    マルチコアCPUやハイパースレッディングテクノロジーの利用によって、
    「論理プロセッサーの数」は変わりますのでご注意ください。

Q8ホスト型InfoCage SiteShell(Apache Linux版)をコンテナ環境で利用する際のライセンス数の考え方はどうなりますか?
A8

InfoCage SiteShellをインストールしたコンテナを実行する数が必要ライセンス数となります。

機能について

Q1InfoCage SiteShell は、IPv6 に対応していますか?
A1

はい。InfoCage SiteShell は、IPv6 に対応しています。IPv6環境でも問題なくご利用いただけます。
※ NW型はリバースプロキシ型のみ対応しています。

Q2InfoCage SiteShell を導入すれば、ファイアウォールや IDS/IPS は不要になりますか?
A2

InfoCage SiteShell は、Webアプリケーションの脆弱性を防御する製品です。ファイアウォール、IDS/IPSとは防御するレイヤが異なりますので、ファイアウォール、IDS/IPSは必要です。

Q3InfoCage SiteShell を導入すれば、全てのWebアプリケーションの脆弱性に対応できますか?
A3

InfoCage SiteShell で防御可能な項目は、脆弱性対策パッケージ(ブラックリスト)で検出可能な脆弱性攻撃となります。高精度ブラックリストを搭載しておりますが、全てのWebアプリケーションの脆弱性対策を保証するものではありません。

Q4InfoCage SiteShell を導入すると、Webアクセスの応答速度は遅くなりますか?
A4

お客様の環境にもよりますが、平均して12~20msec/1アクセス程度の遅れとなります。

Q5InfoCage SiteShell はSSL通信に対応しておりますか?
A5

InfoCage SiteShell はWebサーバ上で動作するアプリケーションであり、SSL通信の暗号化/復号化はWebサーバ側が担います。InfoCage SiteShell は Webサーバが復号した「非暗号データ」を検査/対処しております。

Q6運用管理コンソールで使用するWebアプリケーションサーバは、InfoCage SiteShell に同梱されていますか?
A6

同梱しています。お客様はJavaの環境(J2SE)のご準備をお願いします。

Q7運用管理コンソールは、InfoCage SiteShell 導入時の必須コンポーネントですか?
A7

InfoCage SiteShell は大きく2つのコンポーネント( InfoCage SiteShell 本体+運用管理コンソール )で構成されています。InfoCage SiteShell 本体のみで脆弱性対策として有効ですが、設定の変更など一括して行えることや攻撃の状況を分かりやすく確認できることから、運用管理コンソールの導入を推奨しています。

Q8InfoCage SiteShell で攻撃を防御したことを迅速に気付くことはできますか?
A8

メール通知機能を利用して、管理者宛に攻撃検知をメールで送信する事が出来ます。

Q9InfoCage SiteShell は、HTTP/2 に対応していますか?
A9

Apache版は対応していますが、IIS版は対応していません。
IIS版のSiteShellがIISからリクエストを引き継ぐ過程で、IISからブラウザへ RST送信による切断が行われます。
これによりブラウザはHTTP/1.1へダウングレードして再通信する動作となります。

その他

Q1InfoCage SiteShell を導入前に評価したいのですが、貸出はできますか?
A1

ダウンロードページから試用版のダウンロードが可能です。
尚、導入をご希望の場合は直接弊社までお問い合わせください。(お問い合わせの場合は本文中に“製品名”のご記入をお願いいたします。)

Q2InfoCage SiteShell は、PCI DSS(クレジットカード会社が制定したセキュリティ規準)の要件を満たしていますか?
A2

はい。PCI DSSの要件6「安全性の高いシステムとアプリケーションを開発し、保守すること」にWAFの適用が求められています。InfoCage SiteShell は、PCI DSS で必要とされている WAF の機能を提供しています。
詳しくはPCI DSSのページをご覧ください。

Q3InfoCage SiteShellをWebサーバへ導入する際に考慮しておく構成はありますか。
A3

ホスト型SiteShellは、WebサーバであるIISまたはApacheのモジュールとして動作します。そのため導入するWebサーバに競合する機能が動作している場合には動作不良の原因となります。競合する機能の動作が必須である場合は、ホスト型SiteShellではなく、Webサーバの前段に配置するNW型SiteShellの導入をご検討ください。

ホスト型SiteShellと競合する機能(構成)は6つが判明しています。(2022/4/7現在)

  • IISとSharePointが連動した構成
  • IISのApplication Initialization機能を有効にした構成
  • IISのApplication Request Routing機能を有効にした構成
  • Apache HTTP ServerにWebSphere Plugin (mod_was_ap22_http.so)をロードした構成
  • Apache HTTP ServerとPHP-FPM(PHP FastCGI Process Manager)が連動した構成
  • Apache Module mod_remoteip 機能を有効にした構成
該当する構成への導入をご検討の場合は、製品ご購入前に直接弊社までお問い合わせください。
(お問い合わせの場合は本文中に“製品名”のご記入をお願いいたします。)

Q4 InfoCage SiteShellを購入したのですが、保守(PP・サポートサービス)の契約は必要ですか?
A4

必要です。
インストールしたInfoCage SiteShellの商用機能(※)をアクティベーションするためには、PP・サポートサービスのお問い合わせを通じて払い出した、ライセンスIDの投入が必要です。
※①攻撃検知時の対処動作(ライセンスID未投入時は検知動作のみ)
 ②最新脆弱性対策パッケージの取得・適用
 永続ライセンス(プロダクトライセンスのみ)に同梱されるライセンスIDは、①のみをアクティベーションするものです。

Q5InfoCage SiteShellの保守サポートに、InfoCage SiteShellが使っているOSS製品(PostgreSQL、Apache など)の保守サポートは含まれますか?
A5

含まれません。
必要に応じて、別途個別に保守サポートの手配をお願いします。

Q6InfoCage SiteShellのサポートポリシーを教えてください。
A6

NECサポートポータルのサポートサービスご紹介/サポートポリシーを参照ください。
InfoCage SiteShell製品個別のサポートポリシーの掲載もございますので、ご確認下さい。

Q7ホスト型とNW型の違いを教えてください。
A7

ホスト型はお客様のWebサーバに直接インストールするタイプとなるため、お客様システム構成に影響を与えない特長があります。
ホスト型1ライセンスで防御可能なドメイン数は2となります。
NW型はネットワーク上にWAF専用サーバを設置し、InfoCage SiteShellをインストールするタイプとなります。
NW型1ライセンスで防御可能なドメイン数に制限はありませんが、Webサーバ群の最大流量(bps)やインストールサーバスペックに合わせた台数の設置が必要です。
また、インストールサーバのCPUコア数に合わせて、ライセンスをご購入頂く必要があります。
詳細はこちらを参照ください。

Q8他のセキュリティ対策ソフトと同居する場合に考慮すべきことはありますか?
A8

セキュリティ対策ソフトによるリアルタイムスキャンによって、SiteShell製品が提供する機能の性能劣化が考えられます。
この場合、検査対象からSiteShell製品を外すことで回避できる可能性があります。

実際に性能劣化が認められるケースには下記があります。(2021/6/21現在)
 ・Trend Micro Apex One™ により、運用管理コンソールへのブラウザアクセスが著しく遅くなった。
  運用管理コンソールのインストールパスを検査対象外とすることで、事象回避が行えた。