コンテンツにスキップ

Masking Sensitive Data

リクエスト内のセンシティブデータが、お客様のインフラ内において安全に保たれ、Wallarm Cloudを含む第三者サービスへ送信されないことが重要です。この目的は、shared responsibility modelを用いることで達成されます。Wallarm側では悪質なリクエストに関するデータ以外は一切送信しないため、センシティブデータが漏洩する可能性は極めて低くなっています。一方で、お客様側でセンシティブデータのマスキングを実施する必要があり、これにより保護された情報フィールドが決してセキュリティパリメーターの外へ流出しない運用が保証されます。

Wallarmはデータマスキングを構成するために、Mask sensitive data ruleを提供します。Wallarmノードは、以下のデータをWallarm Cloudに送信します。

  • 攻撃が含まれたシリアライズ済みリクエスト

  • Wallarmシステムカウンター

  • システム統計情報:CPU負荷、RAM使用量など

  • Wallarmシステム統計情報:処理済みNGINXリクエスト数、Tarantool統計など

  • アプリケーション構造を正しく検出するためにWallarmが必要とするトラフィックの性質に関する情報

Mask sensitive dataルールは、postanalyticsモジュールおよびWallarm Cloudへリクエストを送信する前に、指定されたリクエストポイントの元の値を切り詰めます。この方法により、センシティブデータが信頼できる環境の外部へ漏洩することが防がれます。

この設定は、攻撃の表示、攻撃(脅威)のアクティブな検証、およびブルートフォース攻撃の検出に影響を及ぼす可能性があります。

ルールの作成と適用

データマスクを設定して適用するには:

  1. Proceed to Wallarm Console:

    • RulesAdd rule or your branch → Add rule.
    • Attacks / Incidents → attack/incident → hit → Rule.
    • API Discovery (if enabled) → your endpoint → Create rule.

  2. Change requests/responsesMask sensitive data を選択します。

  3. If request is において、ルールを適用する範囲を記述します

  4. In this part of request にて、元の値を切り詰める対象となるリクエストポイントを指定します。

  5. フィルタリングノードへのルールコンパイルおよびアップロードが完了するまでお待ちください。

例:クッキー値のマスキング

例えば、example.comドメインで利用可能なアプリケーションがユーザー認証にPHPSESSIDクッキーを使用しており、Wallarmを利用する従業員がこの情報にアクセスできないようにしたい場合は、スクリーンショットに表示されているように、Mask sensitive dataルールを設定してください。

Note that options you add to In this part of request should go in a particular order to reflect in which order Wallarm will apply parsers to read the required request element.

センシティブデータのマスキング