すべてのプロダクト
Search

このプロダクト

    Security Center:軽減ポリシーの管理

    ドキュメントセンター

    Security Center:軽減ポリシーの管理

    最終更新日:Oct 21, 2025

    さまざまなビジネスシナリオのセキュリティニーズを満たすために、アプリケーション保護機能は監視モードと防止モードを提供します。また、ビジネス優先グループなどの階層化された攻撃検出ルールとさまざまな軽減ポリシーグループを提供し、詳細なセキュリティ保護を実現します。このトピックでは、軽減ポリシーとその設定方法について説明します。

    防止モード

    アプリケーション保護機能は、次の 2 つの防止モードを提供します。

    • 監視: 攻撃動作を監視しますが、ブロックはしません。攻撃が検出されると、操作が 監視 に設定されたアラートが生成されます。

    • 保護: 攻撃動作を監視してブロックし、重要な操作も監視します。攻撃がブロックされると、操作が ブロッキング に設定されたアラートが生成されます。

    アプリケーショングループを作成すると、防止モードはデフォルトで 監視 に設定されます。アプリケーショングループを 監視 モードで 2〜5 日間実行することをお勧めします。誤検知が報告されない場合は、防止モードを 保護 に切り替えることができます。誤検知が報告された場合は、保護ホワイトリストルールを追加して、誤検知の原因となる検出タイプを無視できます。詳細については、「アラートをホワイトリストに追加する」をご参照ください。

    軽減ポリシーグループ

    デフォルトの軽減ポリシーグループ

    さまざまなビジネスシナリオのセキュリティニーズを満たすために、アプリケーション保護機能は、階層化された攻撃検出ルールと、ビジネス優先 (デフォルトの緩いルールグループ)、通常運用 (デフォルトの標準ルールグループ)、保護優先 (デフォルトの厳格なルールグループ) という組み込みの軽減ポリシーグループを提供します。

    デフォルトの軽減ポリシーグループ内のすべてのルールの検出モードは同じです。たとえば、ビジネス優先 (デフォルトの緩いルールグループ) のすべての攻撃ルールは、緩い検出モードを使用します。必要に応じて、適切なルールグループを使用するか、カスタムルールグループを作成できます。

    検出モード

    さまざまなビジネスシナリオの誤検知率と攻撃防止の強度のバランスをとるために、アプリケーション保護機能は、緩い、標準、厳格という複数の検出モードを定義しています。これらのモードは、軽減能力と誤検知率の昇順でリストされています。

    • 緩い: 既知の攻撃の特徴のみをカバーし、誤検知率は非常に低いです。

    • 標準 (デフォルト): 一般的な攻撃の特徴をカバーし、いくつかの一般化された推論能力を持っています。このモードは、日常の O&M シナリオに適しています。

    • 厳格: より隠れた攻撃動作を検出します。このモードは、重要イベントサポートのシナリオに適していますが、誤検知の特定のリスクがあります。

    image.png

    軽減ポリシーグループの作成

    組み込みの軽減ポリシーグループがニーズを満たさない場合は、カスタムポリシーグループを作成できます。また、既存の軽減ポリシーグループの操作列にある [コピー] をクリックして、新しいポリシーグループをすばやく作成することもできます。

    1. Security Center コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、保護設定 > アプリケーション保護 を選択します。コンソールの左上隅で、アセットが配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。

    3. アプリケーションの設定 タブで、右上隅にある Management Settings をクリックします。

    4. Management Settings パネルの Manage Protection Policy タブで、保護ポリシーグループの作成 をクリックします。

    5. 保護ポリシーグループの作成 パネルで、ポリシーグループの名前を入力し、アプリケーション言語を選択し、検出タイプ の右側にある 選択 をクリックして検出タイプを設定します。

    6. 検出タイプの選択 パネルで、必要な検出タイプを選択し、[検出モード] を設定してから、OK をクリックします。

      たとえば、既存のアラートで SQL インジェクションの誤検知が多数発生した場合は、SQL インジェクションチェック項目の検出モードを ゆるい に変更できます。

      image.png

    7. OK をクリックします。

    保護ホワイトリストの設定

    アラートに基づく保護ホワイトリストルールの追加

    攻撃アラートが正当なビジネスアクセスによってトリガーされた誤検知であると確認した場合、アラートを保護ホワイトリストに追加して、同様のアラートを防ぐことができます。アラートを保護ホワイトリストに追加すると、アラート情報に基づいてルールが自動的に作成されます。このルールは、攻撃されたプロセスを含むアプリケーショングループに適用されます。詳細については、「アラートをホワイトリストに追加する」をご参照ください。

    保護ホワイトリストルールの一覧表示

    1. Security Center コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、保護設定 > アプリケーション保護 を選択します。コンソールの左上隅で、アセットが配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。

    3. アプリケーションの設定 タブで、右上隅にある Management Settings をクリックします。

      または、攻撃アラート タブで Protection Whitelist をクリックして、保護ホワイトリストルールの一覧を表示することもできます。

    4. Management Settings パネルの Manage Protection Policy タブにある Protection Whitelist タブで、ホワイトリストルールの一覧を表示できます。

      次の方法でホワイトリストルールを管理できます。

      • 有効化または無効化: ホワイトリストルールの ルールスイッチ 列のスイッチを切り替えて、ルールを有効または無効にします。

      • 編集または削除: ホワイトリストルールの操作列にある [編集] または 削除 をクリックして、ルールを修正または削除します。

    保護ホワイトリストの作成

    ホワイトリストルールを作成して、複数のアプリケーショングループにまたがる複数の検出タイプを無視できます。

    1. Security Center コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、保護設定 > アプリケーション保護 を選択します。コンソールの左上隅で、アセットが配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。

    3. アプリケーションの設定 タブで、右上隅にある Management Settings をクリックします。

      または、攻撃アラート タブで Protection Whitelist をクリックします。

    4. Management Settings パネルの Manage Protection Policy タブにある Protection Whitelist タブで、Create Whitelist をクリックします。

    5. Create Whitelist パネルで、ホワイトリストルールを設定し、OK をクリックします。

      次の表に、一部のパラメーターを示します。その他のパラメーターについては、コンソールの説明をご参照ください。

      • [一致メソッド]: ホワイトリストルールの一致メソッドを選択します。次の一致メソッドが利用可能です。

        • 完全一致: 送信されたコンテンツが一致コンテンツと同一の場合、アラートは生成されません。

        • 部分一致: 送信されたコンテンツに一致コンテンツが含まれている場合、アラートは生成されません。

        • Prefix Match: 送信されたコンテンツが一致コンテンツで始まる場合、アラートは生成されません。

        • Suffix Match: 送信されたコンテンツが一致コンテンツで終わる場合、アラートは生成されません。

      • [一致コンテンツ]: 選択した一致メソッドに基づいて、一致させるコンテンツを指定します。アラート詳細ページの 悪意のある機能着信パラメーター、または リクエスト URL の値を一致コンテンツとして使用できます。

    アプリケーショングループの軽減ポリシーの変更

    アプリケーショングループの軽減ポリシーを変更するには、次の手順を実行します。

    1. アプリケーション保護 ページの アプリケーションの設定 タブで、目的のアプリケーショングループの操作列にある 保護ポリシー をクリックします。

    2. 保護ポリシー パネルで、Protection Status保護モード保護ポリシーグループ[検出ポリシー][共通設定] などのパラメーターを変更します。

    3. OK をクリックします。

    4. (オプション) アプリケーションの設定 タブで、以下に説明するようにバッチ操作を実行できます。

      • 防止モードへの変更: 1 つ以上のアプリケーショングループを選択し、リストの下にある Protect All をクリックして、選択したアプリケーショングループの防止モードを [防止] に変更します。

      • 監視モードへの変更: 1 つ以上のアプリケーショングループを選択し、リストの下にある Monitor All をクリックして、選択したアプリケーショングループの防止モードを [監視] に変更します。

      • 検出または防止の無効化: 1 つ以上のアプリケーショングループを選択し、リストの下にある Cancel Protection をクリックして、選択したアプリケーショングループの軽減機能を無効にします。この操作により、選択したアプリケーショングループ内のアプリケーションインスタンスの保護機能が無効になります。攻撃動作は検出もブロックもされません。

      • 検出または防止の有効化: 1 つ以上のアプリケーショングループを選択し、リストの下にある Enable All をクリックして、選択したアプリケーショングループを有効にします。