データストレージとプライバシーについて
- English
- 日本語
私たちは、お客様が Next-Gen WAF とやり取りするために使用するコンソールおよび API を介して、リクエストおよびレスポンスデータを保存し、利用可能にしています。リクエストのうち機密性のない部分または無害な部分のみが、修正プロセスにより Next-Gen WAF のバックエンドに送信されます。
制約と考慮事項
以下の点に注意してください。
データは作成から24時間以内に抽出可能です。
リクエストおよびレスポンスデータの保持はアカウントの権利に基づいていますが、最大30日を超えることはありません。
収集されたリクエストデータは、Web アプリケーションへの攻撃を識別してブロックするために使用されます。私たちは、お客様の組織またはエンドユーザーにデータを帰属させることは一切ございません。
レスポンスデータストレージ
レスポンスレコードからはメタデータ (レスポンスコードやレスポンスヘッダーなど) のみが収集されます。
リクエストデータストレージ
リクエストレコードからは、以下の2種類のデータが収集・保存されます。
時系列データ : 1分間に観測されたシグナル (XSS、SQLi、404 など) の数。すべての時系列データは、Next-Gen WAF へのアクセスに使用するコンソールのグラフを通じて利用できます。
個々のリクエストデータ : リクエストに関する詳細情報 (発信元の IP アドレスやリクエストパラメータなど)。ストレージカテゴリー、しきい値設定、リクエストルールの Request logging 設定の値に基づいて、個別のリクエストデータを保存します。
リクエストデータストレージの仕組み
Web アプリケーションに対してリクエストが行われると、Next-Gen WAF エージェントはそのリクエストに適切なシグナルをタグ付けし、そのシグナルをクラウドエンジンに送信します。次に、クラウドエンジンは、1分間に特定のシグナルでタグ付けされたリクエスト数をカウントし、Next-Gen WAF へのアクセスに使用するコンソールの時系列グラフを介してこのデータを利用できるようにします。
また、Next-Gen WAFエージェントは、個々のリクエストデータを保存すべき受信リクエストを決定します。個々のリクエストデータは、リクエストレコードに関する詳細情報 (例 : 発信元の IP アドレスとパラメータ) です。キャプチャが必要なリクエストを特定するために、エージェントは以下を使用します。
リクエストルールの Request logging メニューの値。具体的には、リクエストルールの条件「Request logging の値が
Sampledである」を満たすリクエストをログに記録します。シグナルタイプに基づくストレージカテゴリー。たとえば、攻撃シグナルでタグ付けされたリクエストはすべてのストレージカテゴリーに分類されるため、
SQLI攻撃シグナルでタグ付けされたすべてのリクエストの個別のリクエストデータが保存されます。
エージェントは、キャプチャが必要なリクエストを特定した後、選択されたリクエストから機密データを修正します。デフォルトでは、エージェントは特定のデータ (パスワード、セッショントークン、トラッキング Cookie など) を修正します。エージェントは、ユーザーが識別したカスタムフィールドも修正します。たとえば、パスワードフィールドが password の代わりに foobar という名前の場合、foobar フィールドのカスタム修正を作成できます。
次に、エージェントは修正済みのリクエストを当社のクラウドエンジンに送信します。クラウドエンジンは、Next-Gen WAF とのやり取りに使用するコンソールおよび API を通じて、個々のリクエストデータを利用できるようにします。
時系列データと個々のリクエストデータは、アカウントの権限に基づいて保存されますが、保存期間はそれぞれ30日間以内です。
ストレージカテゴリー
ストレージカテゴリは、個々のリクエストデータを保存するリクエストレコードを決定するのに役立ちます。これは、リクエストのタグ付けに使用するシグナルの種類に基づいています。
| ストレージカテゴリー | カテゴリーの適用先 | 保存されるデータ |
| すべて | 少なくとも1つの攻撃シグナル (SQLi や XSS など) または1つの CVE シグナルを含むリクエスト。 | このストレージカテゴリに当てはまるすべてのリクエストの個別のリクエストデータと時系列データを保存します。 |
| サンプリング済み | すべてのストレージカテゴリーに当てはまらず、少なくとも1つの異常シグナル (HTTP 404 エラーや Tor トラフィックなど)、ボットシグナル、または高度なレート制限ルールのしきい値シグナルとして使用されないカスタムシグナルを含むリクエスト。 | このストレージカテゴリーに該当するリクエストのランダムサンプルからの個別のリクエストデータを保存します。また、このストレージカテゴリーに該当するすべてのリクエストからの時系列データを保存します。 |
| 時系列のみ | 情報シグナル、API および ATO シグナル、または高度なレート制限ルールのしきい値シグナルとして使用されるカスタムシグナルのみを含むリクエスト。 | このストレージカテゴリに該当するリクエストからの個別のリクエストデータは保存しません。ただし、このストレージカテゴリに該当するすべてのリクエストからの時系列データを保存します。 |
| 保存対象外 | シグナルでタグ付けされていないリクエスト | このストレージカテゴリーに該当するリクエストの個別データは保存しません。 |
ストレージエッジケース
通常、リクエストはシグナルでタグ付けされ、その後、ストレージカテゴリーに従ってストレージの決定が行われます。ただし、HTTP 4xx および 5xx エラーシグナルは、該当する HTTP レスポンスコードを知るために送信されるレスポンスを待つ必要があるため、ストレージの決定が行われた後にリクエストに適用されます。そのため、一部のリクエストでは、実際には削除された情報シグナルがあったにもかかわらず、HTTP 4xx および 5xx エラーシグナルしかないように見える場合があります。
保存されたデータの削除
生データ内に削除したい情報が見つかった場合は、削除する日付の範囲を指定してサポートリクエストを送信してください。
