すべてのプロダクト
Search
ドキュメントセンター

Security Center:保護ポリシーの管理

最終更新日:Jun 12, 2026

ビジネスアプリケーションごとに、セキュリティ要件は異なります。アプリケーション保護機能は、2 つの保護モード (監視モードとブロックモード)、階層化された検出ルール、および複数の保護ポリシーグループ (ビジネスファーストなど) を提供します。本トピックでは、保護ポリシーとその設定方法について説明します。

保護モード

アプリケーション保護は、次の 2 つの保護モードを提供します。

  • [監視]: 攻撃行為を検出しますが、攻撃はブロックしません。攻撃が検出されると、アクションが 監視 に設定されたアラートが生成されます。

  • [保護]: 攻撃行為を検出してブロックし、高リスクの操作を監視します。攻撃がブロックされると、アクションが 保護 に設定されたアラートが生成されます。

アプリケーショングループを作成すると、保護モードはデフォルトで 監視 になります。 監視 モードを 2〜5 日間実行することをお勧めします。 誤検知が発生しない場合は、保護モードを 保護 に切り替えます。 誤検知が発生した場合は、保護ホワイトリストルールを設定して、誤ったアラートの原因となる検出タイプを抑制します。 詳細については、「アラートをホワイトリストに追加する」をご参照ください。

保護ポリシーグループ

組み込みポリシーグループ

さまざまなビジネスシナリオのセキュリティ要件を満たすために、アプリケーション保護は、階層化された検出ルールと組み込みの保護ポリシーグループ (ビジネスファースト (デフォルトの緩いルールグループ)、標準オペレーション (デフォルトの標準ルールグループ)、保護優先 (デフォルトの厳格ルールグループ)) を提供します。

組み込みポリシーグループ内のすべてのルールは、同じ検出モードを共有します。たとえば、ビジネスファーストグループ (デフォルトの緩いルールグループ) 内のすべての攻撃ルールは、緩い検出モードを使用します。必要に応じて組み込みのルールグループを使用するか、カスタムルールグループを作成できます。

検出モード

さまざまなビジネスシナリオにおいて誤検知率と保護強度のバランスを取るため、アプリケーション保護では、緩い、標準、厳格という複数の検出モードを定義しています。これら 3 つのモードは、保護能力が高いほど誤検知率も高くなります。

  • 緩い:既知の攻撃シグネチャにのみ一致します。誤検知率は非常に低いです。

  • 標準 (デフォルト):一般的な攻撃パターンに一致し、ある程度の一般化推論を適用します。日常の O&M に適しています。

  • 厳格:より巧妙な攻撃の振る舞いを検出します。大規模イベントのサポートといったシナリオに適していますが、誤検知のリスクが一定程度あります。

保護ポリシーグループの作成

組み込みのポリシーグループでは要件を満たせない場合は、カスタムポリシーグループを作成します。 既存の設定をベースに新しいグループを作成するには、対象グループの [アクション] 列で Copy をクリックします。

  1. Security Center コンソールにログインします。

  2. 左側のナビゲーションペインで、保護設定 > アプリケーション保護 を選択します。 左上隅で、アセットが配置されているリージョンとして中国本土または中国本土以外を選択します。

  3. アプリケーションの設定 タブで、右上隅にある Management Settings をクリックします。

  4. Management Settings パネルの Manage Protection Policy タブで、保護ポリシーグループの作成 をクリックします。

  5. 保護ポリシーグループの作成 パネルで、名前を入力し、アプリケーション言語を選択し、検出タイプ の右側にある 選択 をクリックして検出タイプを設定します。

  6. 検出タイプの選択 パネルで、含める検出タイプを選択し、各タイプの Detection Mode を設定し、OK をクリックします。

    たとえば、SQL インジェクションのアラートに誤検知が多く含まれる場合は、そのタイプの検出モードをゆるいに設定します。

    利用可能な検出タイプには、[Malicious Outbound Connection] (中リスク)、[Expression Injection] (高リスク)、[Arbitrary File Deletion] (低リスク)、[JNI Injection] (高リスク) などがあります。各タイプには、説明とリスクレベルが含まれています。

  7. OK をクリックします。

保護ホワイトリストの設定

アラートからのホワイトリストルールの追加

アラートが誤検知であると確認された場合は、保護ホワイトリストに追加することで、今後同様のアラートは生成されなくなります。アラートをホワイトリストに追加すると、アラートの詳細からルールが自動的に作成され、影響を受けるプロセスを含むアプリケーショングループに適用されます。

手順については、「アラートをホワイトリストに追加」をご参照ください。

ホワイトリストルールの表示と管理

  1. Security Center コンソールにログインします。

  2. 左側のナビゲーションペインで、保護設定 > アプリケーション保護 を選択します。左上隅で、アセットが配置されているリージョンとして [中国本土] または [中国本土以外] を選択します。

  3. アプリケーションの設定 タブで、右上隅の Management Settings をクリックします。

    また、攻撃アラート タブで Protection Whitelist をクリックして、ホワイトリストルールリストを表示することもできます。

  4. Management Settings パネルの Manage Protection Policy タブにある Protection Whitelist タブで、ホワイトリストルールのリストが表示されます。

    ホワイトリストルールは、次の操作で管理できます。

    • 有効化または無効化: ホワイトリストルールを有効化または無効化するには、ルールスイッチ 列のスイッチを切り替えます。

    • 編集または削除:[操作] 列の [編集] または 削除 をクリックして、ホワイトリストルールを変更または削除します。

ホワイトリストルールの手動作成

手動で作成したルールを使用すると、複数のアプリケーショングループにまたがる複数の検出タイプに対してホワイトリストを設定できます。

  1. Security Center コンソールにログインします。

  2. 左側のナビゲーションペインで、保護設定 > アプリケーション保護 を選択します。左上隅で、アセットが配置されているリージョンとして中国本土 または 中国本土以外を選択します。

  3. アプリケーションの設定 タブで、右上隅の Management Settings をクリックします。

    攻撃アラート タブで Protection Whitelist をクリックすることもできます。

  4. Management Settings パネルの Manage Protection Policy タブにある Protection Whitelist タブで、Create Whitelist をクリックします。

  5. Create Whitelist パネルで、ルールパラメーターを設定し、OK をクリックします。

    以下に、一部のパラメータについて説明します。その他のパラメータについては、コンソールの説明をご参照ください。

    • [Match Mode]:ホワイトリストルールの一致方式を選択します。オプション:

      • [Exact Match]:送信されたコンテンツが一致コンテンツと同一である場合にアラートを抑制します。

      • [Partial Match]:送信されたコンテンツに一致コンテンツが含まれている場合にアラートを抑制します。

      • [Prefix Match]:送信されたコンテンツが一致コンテンツで始まる場合にアラートを抑制します。

      • [Suffix Match]:送信されたコンテンツが一致コンテンツで終わる場合にアラートを抑制します。

    • [Content to Match]: 選択した一致方法に基づいて、一致するコンテンツを設定します。 アラート詳細ページの 悪意のある機能着信パラメーター、または リクエスト URL の値を、一致するコンテンツとして使用できます。

アプリケーション グループの保護ポリシーの変更

アプリケーショングループの保護ポリシーは、次の手順で変更できます。

  1. アプリケーション保護 ページの アプリケーションの設定 タブで、対象のアプリケーション グループの操作列にある 保護ポリシー をクリックします。

  2. 保護ポリシー パネルで、必要に応じて Protection Status保護モード保護ポリシーグループ検出ポリシー、および 常用設定 を変更します。

  3. OK をクリックします。

  4. (任意) アプリケーションの設定 タブで、以下のように一括操作を実行します。

    • ブロックモードへの切り替え: 対象のアプリケーション グループを選択し、リストの下にある Protect All をクリックして、保護モードを ブロッキング に変更します。

    • 監視モードへの切り替え: 対象のアプリケーション グループを選択し、リストの下にあるMonitor Allをクリックして、保護モードを監視に変更します。

    • 検出または保護の無効化: 対象のアプリケーション グループを選択し、リストの下にあるCancel Protectionをクリックします。これにより、選択したアプリケーション グループの保護機能が無効になります。攻撃行動は検出もブロックもされません。

    • 検出または保護の有効化: 対象のアプリケーション グループを選択し、リストの下にあるEnable Allをクリックして、選択したアプリケーション グループを再度有効にします。