PR
写真1●SiteShellのデモを実施している様子
写真1●SiteShellのデモを実施している様子
[画像のクリックで拡大表示]
写真2●SiteShellで検知,防御できる不正リクエストの一覧
写真2●SiteShellで検知,防御できる不正リクエストの一覧
[画像のクリックで拡大表示]

 NECシステムテクノロジーは東京ビッグサイトで開催中の「Security Solution 2008」で,Webアプリケーション・ファイアウォール(WAF)「SiteShell」を展示している。Webアプリケーション・サーバー(APサーバー)にインストールして使う。

 SiteShellでは,SQLインジェクションやクロスサイト・スクリプティング,セッション・ハイジャックといったWebアプリケーションを狙った不正アクセスを検知・防御する。不正リクエストを検知した場合はサニタイジング(不正に埋め込まれた文字列などを除去して無害化)して処理を継続またはユーザーにエラー・ページを返す。過剰検知が心配な場合は,検知した不正リクエストを防御せずにログだけを残すことも可能である。

 対応するAPサーバーは,WebLogic ServerやWebSphere Application Server,TomcatといったJavaベースの各種APサーバーと,Microsoft IIS(Internet Information Services)。ServletフィルタやISAPIフィルタなどAPサーバーのフィルタ機能を活用して実装しているため,汎用的に利用できる。価格は,買い取りの場合で250万円(税別,利用できるAPサーバーは2台まで)から。