F5 BIG-IP ASMを用いたJSONおよび AJAXメッセージ

Solution Profile | セキュリティ
F5 BIG-IP ASM を用いた JSON および
AJAX メッセージの保護
JSON は、AJAX ベースの汎用アプリケーション言語で、高度にダイナミックなコンテンツ
の記述に用いられます。JSON は、Web サイトの HTML ページの、パーソナライズ可能セク
ションのみを書き換えるための急速に人気を拡大しているテクノロジです。しかし残念な
がら、JSON メッセージは、そのダイナミックでリッチな性質のために新たなセキュリティ
脅威を招き、Web ページの特定のセクションや個人を攻撃対象の危険にさらしています。
F5® BIG-IP® Application Security Manager ™（ASM）は、JSON および AJAX メッセージのペイ
ロードを安全に保護して、XSS および JSON ハイジャックを防御します。
AJAX および JSON アプリケーションの保護
非同期の JavaScript および XML（AJAX）は、アプリケーション、ユーザ、システム間でメッ
セージベースのダイナミックなデータを交換する方法です。単一のテクノロジとして言及
されることもよくありますが、AJAX は、HTML や CSS、XML、JavaScript といった Web ベー
スのメッセージ交換テクノロジ、標準、フォーマットの総称です。その 1 つの AJAX 実装が
JavaScript Object Notation（JSON）で、人間が理解しやすい、XML に類似の名前 / 値のペアの
集合です。
従来の同期通信 Web POST イベントでは、データが URI にストレートに名前 - 値の形で埋め
込まれて（param1=name&param2=location& …のように）Web サーバに送られますが、そ
れとは異なり JSON のデータは、これより長く、オブジェクトと呼ばれる名前 - 値の構造化
された階層のメッセージ・フォーマットを利用して、Web アプリケーション間で非同期交
換を実現します。
JSON メッセージの交換では、いわゆる名前 - 値 POST イベントを利用した従来の Web アプ
リケーション通信より、はるかに多くの情報を（構造的にオブジェクトのメッセージにも、
オブジェクトデータのメッセージにも）埋め込めるのが特徴です。さらに、JSON メッセー
ジは画像やデータ、実行ファイルなどバイナリのペイロードを組み込めるため、標準的な
HTML ページで取り扱えないファイルも、非同期でパーソナライズしてやり取りできる利
点があります。たとえば、Web ページでは多くのウィジェットが JSON を利用して、画像の
ストリームや気象情報などパーソナライズした情報をユーザに提供しています。
しかし同時に、JSON あるいは AJAX では、データの柔軟性の高さから、名前 - 値のペアを
ベースにした Web アプリケーション攻撃に絶好の環境を提供する結果を招いています。
JSON コードの記述に弱点があると、名前 - 値のオブジェクトデータを操作するか、あるい
はバイナリペイロードを挿入または変更することでアプリケーションを改ざんし、ユーザ
がカスタマイズしたコンテンツを見られないようにできます。また、AJAX 攻撃には手の
込んだものもあり、XSS あるいは JSON ハイジャック攻撃を仕掛けて、ターゲットユーザの
パーソナライズした個人情報を流出させることもできます。
F5 BIG-IP Application Security Manager（ASM）は、AJAX データの交換に使用される JSON
メッセージおよびアプリケーションを、アプリケーション・レベルで堅牢に保護します。
BIG-IP ASM は、Web アプリケーションの既知の脆弱性すべてをブロックするよう設計され
ており、OWASP Top 10 はもちろん、XSS、SQL インジェクション、クロスサイト・リクエ
スト・フォージェリ（CSRF）といった、AJAX のメッセージ交換に埋め込むことのできる攻
撃にも対応します。
主な機能
• A J A X ポリシー ̶ ダイ ナミックな
AJAX お よ びJSON コ ン テ ンツに
お けるセ キュリティポリシ ー を サ
ポート
• J S O N パ ー サ ̶ オブジェクトレベ
ル の イ ン ス ペ ク ション に お い て
A J A X お よ び J S O N メッセ ー ジ 専
用 パ ー サ を提 供
• レ ス ポ ン ス 挿 入 ̶ 影響を受けた
AJAX コ ン ポ ー ネ ン ト に の み 警 告
メッセージを埋め込んで提供
• あらゆるアプリケーションのサポー
ト̶ オブジェクトレベルで防御性
能を実現してカスタム・アプリケー
ションをサポート
主なメリット
• A J A X お よ びJ S O N メッセ ー ジ を
保 護 ̶ アプリケ ーション全 体 のセ
キュリティポリシーに、
メッセージ、
オブジェクト、ペ イロ ードのリア ル
タイムの スクリー ニングを組 み 込
み 、ダ イ ナ ミック な A J A X お よ び
J S O N コンテンツを保 護
• カスタムビ ルドの J S O N 保 護 ̶
特 別 設 計した J S O N メッセ ー ジ 専
用 パ ー サ を 統 合 す る こ と で 、パ
フォー マンスを 犠 牲にすることな
く、A J A X 対 応 ア プ リ ケ ー ション
を最 高レベ ルで 保 護
• リアルタイムの 警 告 ̶ H T M L ペ ー
ジ 内 の A J A X 要 素 に 関し て、専 用
のレポ ート、警 告 、ユ ー ザレスポン
スを生 成
• 柔軟なセキュリティポリシー設定̶
AJAX 対応アプリケーションに既存の
JSON セキュリティポリシーを適用し、
アプリケーションおよびセキュリティ
のニーズに応じて、管理者権限で微
調整を可能に
Solution Profile | セキュリティ
ソリューション
詳細について
インラインのアプリケーション・プロキシとして、BIG-IP ASM は JSON メッセージを解析
して、アプリケーション、クライアント、サーバ間でデータ転送を行う AJAX アプリケー
ションを保護します。BIG-IP ASM では、セキュリティポリシーを JSON メッセージに適用
して強化することができ、リアルタイムで防御、警告、レポート作成を行います。
BIG-IP APM ソリューションの詳細は、
次のリソースを参照するか、f5.com の
検索機能を使用してください。
BIG-IP ASM には以下の機能があります。
製品概要
BIG-IP Application Security Manager
• JSON ペイロード・プロテクション ̶ BIG-IP ASM は専用の JSON パーサを用いてすべて
の JSON メッセージを検査し、埋め込まれているオブジェクトペアおよびバイナリペイ
ロードにセキュリティポリシーを適用します。BIG-IP ASM を用いれば、URL ワイルドカー
ドおよびパラメータ、不正フォームのデータ、ならびに JSON ペイロード、メソッド、
オブジェクトの制限など、JSON セキュリティ・パラメータの多くが強化されます。
ホワイトペーパー
Application and Data Security with
F5 BIG-IP ASM and Oracle Database
Firewall
• リアルタイムの埋め込み型ブロック警告 ̶ AJAX を用いれば、HTML Web ページ内の全
コンテンツを書き換えることなく、アプリケーション、クライアント、サーバ間の情
報交換を制御できる利点があります。したがって、JSON 違反が検知されたら、BIG-IP
ASM は埋め込み型の警告を返すか、URL をリダイレクトして、その AJAX 管理インスタ
ンスに関してセキュリティ問題が発生したことを、ユーザに知らせることができます。
• アプリケーション・シグネチャ ̶ BIG-IP ASM には豊富なアプリケーション・シグネチャ
が装備されており、定期的に更新されています。BIG-IP ASM のアプリケーション・シグ
ネチャには、AJAX や JSON メッセージを用いたアプリケーションも数多く含まれており、
ASP.NET や JQuery、MooTools などのプラットフォーム上で動作するアプリケーション
のシグネチャも、日常的に追加されています。
F5 BIG-IP ASM は、AJAX の非同期通信や JSON メッセージを用いたアプリケーションも含め
て、Web ベースのいかなるアプリケーションにも対応した、アプリケーション・レベルの
総合プロテクションです。
受信HTTPリクエストに対して
JSONセキュリティルールを強化
デスクトップ
BIG-IP Application
Security Manager
アプリケーション
サーバ
あなたのリクエストは弊社のセキュリティポリシーに
違反しています。管理者にお問い合わせください。
サポートID：971758980902682657
[このメッセージを閉じる]
クライアント上に
ブロックメッセージを表示
AJAX アプリケーションおよび JSON ペイロードの保護
東京本社
〒107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ 19 階
TEL 03-5114-3210 FAX 03-5114-3201
西日本支社
〒530-0017 大阪市北区角田町 8- 47 阪急グランドビル 20 階
TEL 06-7711-1655 FAX 06-7711-1501
www.f5networks.co.jp
© 2011 F5 Networks, Inc. All rights reserved.F5、F5 Networks 、F5 のロゴ、BIG-IP、FirePass 、および iControl は、米国および他の国における F5 Networks, Inc. の商標または登録商標です。本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。
これらの仕様はすべて予告なく変更される場合があります。本発行物の記載内容に誤りがあった場合、あるいは記載内容を更新する義務が生じた場合も、F5 ネットワークスは一切責任を負いません。F5 ネットワークスは、本発行物を予告なく変更、修正、転載または改訂する権利を有します。
July-2011