すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:API セキュリティポリシーの構成

    ドキュメントセンター

    Web Application Firewall:API セキュリティポリシーの構成

    最終更新日:Nov 16, 2025

    このトピックでは、API Security の組み込みポリシーとカスタムポリシーを構成する方法について説明します。API Security は、組み込みの検出メカニズムに加えて、ビジネス要件に固有のカスタム検出ポリシーを定義できます。リスク検出、セキュリティイベント、機密データ、認証情報、ビジネス目的、ホワイトリスト、ライフサイクル管理、ログサブスクリプション、および有効なオブジェクトのポリシーを構成できます。これらの構成は、ビジネスニーズに合わせて API データ識別を調整します。これにより、API セキュリティ検出の精度と取得率が向上し、脅威に対応して API 資産への攻撃による損失を削減できます。

    1. リスク検出設定

    セキュリティリスクとは、開発、管理、または構成の欠陥によって引き起こされる API の脆弱性です。セキュリティリスクは必ずしも攻撃が発生したことを意味するわけではありませんが、セキュリティイベントは攻撃によって生成されるアラートです。

    組み込みポリシー設定

    [ポリシー構成] ページの [リスク検出設定] タブで、構成済みのリスクポリシーを表示できます。組み込みポリシーについては、有効または無効にしたり、リスクレベルを調整したりできます。必要に応じて、組み込みポリシーのリスクレベルを低、中、または高に設定できます。

    カスタムポリシー設定

    組み込みポリシーに加えて、最大 20 個のカスタムリスク検出ポリシーを作成できます。カスタムポリシーを作成するには、次の手順に従います。

    1. API リクエストセキュリティ ページで、[ポリシー構成] > [リスク検出設定] タブに移動します。

    2. 左側の [カスタムポリシー] セクションで、[追加] をクリックします。表示されるパネルで、次の表で説明されているパラメーターを構成します。

      パラメーター

      説明

      リスクステータス

      ポリシーのステータスを設定します。デフォルト値は [オン] です。

      リスク名

      カスタムリスクの名前を設定します。名前には、漢字、大文字と小文字、数字、ピリオド (.)、アンダースコア (_)、およびハイフン (-) を含めることができます。

      推奨されるアクション

      ビジネスニーズに基づいて、カスタムリスクポリシーの推奨アクションを設定します。

      リスクレベル

      リスクレベルを設定します。有効な値は、低、中、高です。

      検出設定

      カスタムリスクポリシーの検出条件を設定します。最大 10 個の条件を追加できます。

      次の表に、論理演算子や一致コンテンツの例など、検出設定の詳細な構成を示します。

      説明

      • [一致コンテンツ] には最大 50 個の値を入力できます。各値を入力した後、Enter キーを押します。

      • Risk Detection Configurations の一致コンテンツでは、大文字と小文字が区別されます。

      詳細設定

      一致フィールド

      サブ条件 (入力/選択)

      論理演算子

      一致コンテンツの説明

      ドメイン名

      サポートされていません

      次のいずれかである

      値を含まない

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      API

      サポートされていません

      次のいずれかである

      次のいずれでもない

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      リクエストメソッド

      サポートされていません

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      GET、POST、DELETE、PUT などのリクエストメソッドを 1 つ以上選択します。

      ユーザーエージェント

      サポートされていません

      次のいずれかである

      値を含まない

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      リファラー

      サポートされていません

      1 つ以上の値を含む

      値を含まない

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      通信プロトコル

      サポートされていません

      次と等しい

      リストから HTTP または HTTPS を選択します。

      リクエスト Content-Type

      サポートされていません

      次のいずれかである

      値を含まない

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      リクエストのサイズ

      サポートされていません

      等しい

      次より小さい

      より大きい

      0 から 8192 までの整数を入力します。

      レスポンス Content-Type

      サポートされていません

      次のいずれかである

      値なし

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      レスポンスのサイズ

      サポートされていません

      等しい

      次より小さい

      次より大きい

      0 から 8192 までの整数を入力します。

      レスポンスステータスコード

      サポートされていません

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      リクエストヘッダー

      カスタムヘッダー

      存在する

      存在しない

      長さは

      長さが次より短い

      長さが次より大きい

      次のいずれかである

      値を含まない

      Cookie パラメーター

      カスタム Cookie - 完全一致

      存在する

      存在しない

      長さは

      長さが次より短い

      長さが次より大きい

      次のいずれかである

      値を含まない

      -

      GET パラメーター

      カスタムパラメーター

      存在する

      存在しない

      長さは

      長さが次より短い

      長さが次より大きい

      次のいずれかである

      次のいずれでもない

      -

      POST パラメーター

      カスタム Post-Arg

      存在する

      存在しない

      長さは

      長さが次より短い

      長さが次より大きい

      1 つ以上の値を含む

      次のいずれでもない

      -

      レスポンスヘッダー

      レスポンスヘッダー

      存在する

      存在しない

      長さは

      長さが次より短い

      長さが次より大きい

      次のいずれかである

      値を含まない

      -

      レスポンスパラメーター

      レスポンスパラメーター

      存在する

      存在しない

      長さは

      長さが次より短い

      長さが次より大きい

      次のいずれかである

      値を含まない

      -

      ビジネス目的

      サポートされていません

      次のいずれかである

      値を含まない

      リストから 1 つ以上のビジネス目的を選択します。

      説明

      詳細については、「API Security が API のビジネス目的を分類する方法」をご参照ください。

      サービスオブジェクト

      サポートされていません

      次のいずれかを含む

      値を含まない

      リストから 1 つ以上のサービスオブジェクトを選択します。

      説明

      サービスオブジェクトのタイプの詳細については、「API Security が API サービスオブジェクトを分類する方法」をご参照ください。

      認証

      サポートされていません

      です

      はい / いいえ

      リクエスト機密データ型

      サポートされていません

      次のいずれかを含む:

      値を含まない

      タイプの数が次より大きい

      リストから 1 つ以上の機密データの型を選択します。「タイプの数が次より大きい」条件については、0 から 8192 までの整数を入力します。

      リクエスト機密データレベル

      サポートされていません

      次のいずれかを含む

      値を含まない

      S1 から S4 までの 1 つ以上のレベルを選択します。

      レスポンス機密データ型

      サポートされていません

      次のいずれかを含む

      次のいずれでもない

      タイプの数が次より大きい

      リストから 1 つ以上の機密データの型を選択します。「タイプの数が次より大きい」条件については、0 から 8192 までの整数を入力します。

      レスポンス機密データレベル

      サポートされていません

      次のいずれかを含む

      次のいずれでもない

      S1 から S4 までの 1 つ以上のレベルを選択します。

      レスポンスの機密データ

      リストから 1 つ以上のレスポンスの機密データの型を選択します。

      カウントが次より大きい

      0 から 8192 までの整数を入力します。

      ソースの地理的位置

      サポートされていません

      等しい

      CN / NOT-CN

      IP

      サポートされていません

      属する

      属さない

      IP アドレスまたは CIDR ブロック形式の IP アドレス範囲 (例: 1.1.X.X/24) を入力します。正規表現はサポートされていません。カンマ (,) で区切るか、Enter キーを押して、最大 50 個の値を入力できます。

      アカウント (セキュリティイベントのみ)

      サポートされていません

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

    3. カスタム構成が完了したら、[OK] をクリックします。

    2. セキュリティイベント設定

    セキュリティイベントとは、API への異常な呼び出しや攻撃のことです。例としては、ログイン API へのブルートフォース攻撃や、SMS API を悪用したメッセージフラッディング攻撃などがあります。組み込みのイベント検出は、IP アドレスとアカウントのディメンションに基づいて検出を実行します。

    組み込みポリシー設定

    組み込みのセキュリティイベントポリシーがアラートをトリガーした後、同じ攻撃が続行しても新しいアラートは生成されません。代わりに、元のアラートの攻撃時刻が更新されます。アラートレベルは、攻撃量などの要因に基づいて変更される場合もあります。

    [ポリシー構成] ページの [セキュリティイベント設定] タブで、構成済みのセキュリティイベントポリシーを表示できます。組み込みポリシーを編集または削除することはできません。

    カスタムポリシー設定

    組み込みポリシーに加えて、最大 10 個のカスタムセキュリティイベントポリシーを作成できます。カスタムポリシーを作成するには、次の手順に従います。

    1. API リクエストセキュリティ ページで、[ポリシー構成] > [セキュリティイベント設定] タブに移動します。

    2. 左側の [カスタムポリシー] セクションで、[追加] をクリックします。表示されるパネルで、次の表で説明されているパラメーターを構成します。

      パラメーター

      説明

      イベントステータス

      ポリシーのステータスを設定します。デフォルト値は [オン] です。

      イベント名

      カスタムイベントの名前を設定します。名前には、漢字、大文字と小文字、数字、ピリオド (.)、アンダースコア (_)、およびハイフン (-) を含めることができます。

      推奨されるアクション

      ビジネスニーズに基づいて、カスタムセキュリティイベントの推奨アクションを設定します。

      イベントレベル

      リスクレベルを設定します。有効な値は、低、中、高です。

      一致条件

      カスタムセキュリティイベントポリシーの検出条件を設定します。最大 10 個の条件を追加できます。

      説明

      複数の条件を定義した場合、すべての条件が満たされた場合にのみルールがヒットします。

      頻度コントロール

      [統計オブジェクト] を IP またはアカウントに設定します。[統計期間] を分単位で設定します (最大 15 分)。[リクエスト数] を正の整数に設定します。

      データ統計

      カスタムセキュリティイベントポリシーの統計条件を設定します。最大 10 個の条件を追加できます。

      一致条件、論理演算子、および一致コンテンツの例の詳細については、「リスク検出設定」セクションの「詳細設定」テーブルをご参照ください。

      説明

      • [一致コンテンツ] には最大 50 個の値を入力できます。各値を入力した後、Enter キーを押します。

      • Security Event Configurations の一致コンテンツでは、大文字と小文字が区別されます。

      次の表に、論理演算子や一致コンテンツの例など、データ統計の詳細な構成を示します。

      詳細設定

      一致フィールド

      サブ条件 (入力/選択)

      論理演算子

      一致コンテンツの説明

      ステータスコード統計

      ステータスコード (100 から 600 までの整数)

      値が次より大きい

      0 から 8192 までの整数を入力します。

      リクエストヘッダー

      カスタムヘッダー

      重複排除後のカウントが次より小さい

      重複排除後のカウントが次と等しい

      重複排除後のカウントが次より大きい

      0 から 8192 までの整数を入力します。

      Cookie パラメーター

      カスタム Cookie - 完全一致

      重複排除後のカウントが次より小さい

      重複排除後のカウントが次と等しい

      重複排除後のカウントが次より大きい

      0 から 8192 までの整数を入力します。

      GET パラメーター

      カスタムパラメーター

      重複排除後のカウントが次より小さい

      重複排除後のカウントは

      重複排除後のカウントが次より大きい

      0 から 8192 までの整数を入力します。

      POST パラメーター

      カスタム POST 引数

      重複排除後のカウントが次より小さい

      重複排除後のカウントが次と等しい

      重複排除後のカウントが次より大きい

      0 から 8192 までの整数を入力します。

      レスポンス機密データ型

      1 つ以上のレスポンス機密データの型を選択します。

      重複排除後のカウントが次より大きい

      0 から 8192 までの整数を入力します。

      レスポンス機密データレベル

      1 つ以上のレスポンス機密データレベルを選択します。

      重複排除後のカウントが次より大きい

      0 から 8192 までの整数を入力します。

      ソース IP カウント統計

      ソース IP カウント統計の値を設定します。

      値が次より大きい

      0 から 8192 までの整数を入力します。

      説明

      デフォルトでは、API Security はサンプリングを使用してレスポンスの機密データを分析します。カスタムセキュリティイベントポリシーでレスポンスの機密データの型とレベルの検出を構成するには、[ポリシー構成] > [有効なオブジェクトの設定] で対応する保護対象オブジェクトの [追跡と監査] スイッチを有効にする必要があります。これにより、保護対象オブジェクトのすべてのレスポンスの機密データが記録および分析されるようになります。

    3. カスタム構成が完了したら、[OK] をクリックします。

    3. 機密データ設定

    [ポリシー設定] ページの [機密データ設定] タブで、設定済みの機密データポリシーを検索、フィルター、表示できます。

    データマスキング表示

    [機密データ設定] タブには [データマスキング表示] スイッチがあります。このスイッチはデフォルトで無効になっており、データはマスキングされません。

    データマスキングが有効になっている場合、次の情報がマスキングされます。

    • [リスク詳細][API 詳細] では、リクエストとレスポンスサンプルのすべてのフィールドの機密データが、{{Phone}} などのプレースホルダーに置き換えられます。

    • セキュリティイベントの [イベント詳細] では、機密データを含むリクエストとレスポンスのデータサンプルは {} としてマスキングされます。

    • サンプル情報では、リクエスト Cookie は {{Cookie}} としてマスキングされ、トークンを含むリクエストヘッダーは {{XXXToken}} としてマスキングされ、レスポンス Set-Cookie は {{SetCookie}} としてマスキングされます。

    データマスキング機能は、次の項目に適用されます。

    • [リスク詳細] および [API 詳細]: この機能は、新しいリクエストと応答のデータサンプルにのみ適用されます。

    • [イベント詳細]: この機能は、新規および既存のリクエストとレスポンスのデータサンプルの両方に適用されます。

    組み込みポリシー設定

    組み込みポリシーは編集、変更、削除できません。有効化または無効化のみ可能です。

    カスタムポリシー設定

    ビジネスでカスタムの機密データを使用している場合は、カスタムの機密データ検出ルールを構成できます。最大 20 個のカスタムポリシーを作成できます。カスタムポリシーを作成するには、次の手順に従います。

    1. API リクエストセキュリティ ページで、[ポリシー構成] > [機密データ設定] タブに移動します。

    2. [ポリシーの作成] をクリックします。表示されるパネルで、パラメーターを構成します。カスタムポリシーは [シンプルモード] または [エキスパートモード] で作成できます。

      パラメーター

      説明

      名前

      ルールの名前を設定します。

      名前には、漢字、大文字と小文字、数字、ピリオド (.)、アンダースコア (_)、およびハイフン (-) を含めることができます。

      モード

      カスタムポリシーの検出モードを設定します。

      • シンプルモード: 使いやすさを考慮したシンプルな設定インターフェイスを提供します。

        [シンプルモード] を選択した場合は、検出のために [文字][長さ] を設定する必要があります。

        • [文字]: 数字、大文字、小文字など、検出する文字タイプを 1 つ以上選択できます。

        • [長さ]: サポートされている長さの範囲は 6 から 64 です。開始値と終了値は整数である必要があります。

      • エキスパートモード: 正規表現をサポートします。

        [エキスパートモード] を選択した場合は、検出用の正規表現を入力する必要があります。誤検知を避けるために、正規表現が少なくとも 6 文字に一致することを確認してください。

      レベル

      検出する機密データのレベルを設定します。有効な値: S1、S2、S3、S4。

      説明

      詳細については、「API Security が検出できる機密データ」をご参照ください。

    3. カスタム構成が完了したら、[OK] をクリックします。

    4. 認証情報設定

    ビジネスで認証に非標準のフィールドや弱い特徴を持つフィールド (すべて数字の名前など) を使用している場合は、カスタム認証情報を構成できます。組み込みの認証情報検出に加えて、パラメーター名を指定できます。これにより、組み込みモデルがリクエストに認証情報が含まれているかどうかを正確に判断するのに役立ちます。これにより、API セキュリティと認証されていないリスク検出の精度が向上します。

    1. API リクエストセキュリティ ページで、[ポリシー構成] > [認証情報設定] タブに移動します。

    2. [ポリシーの作成] をクリックし、パラメーターを構成してから、[OK] をクリックします。

      パラメーター

      説明

      名前

      ポリシーの名前を設定します。

      名前には、漢字、大文字と小文字、数字、ピリオド (.)、アンダースコア (_)、およびハイフン (-) を含めることができます。

      一致条件

      各条件は、[一致フィールド][論理演算子]、および [一致コンテンツ] で構成されます。最大 10 個の条件を追加できます。構成時には、リクエストヘッダー、リクエスト Cookie、リクエストクエリ、またはリクエスト本文に対して少なくとも 1 つの一致条件を追加します。

      説明

      複数の条件を定義した場合、すべての条件が満たされた場合にのみルールがヒットします。

      次の表に、論理演算子や一致コンテンツの例など、一致条件の詳細な構成を示します。

      説明

      • [一致コンテンツ] には最大 50 個の値を入力できます。各値を入力した後、Enter キーを押します。

      • Authentication Credential Configurations の一致コンテンツでは、大文字と小文字が区別されます。

      詳細設定

      一致フィールド

      サブ条件 (入力/選択)

      論理演算子

      一致コンテンツの説明

      ドメイン名

      サポートされていません

      次のいずれかである

      値を含まない

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      API

      サポートされていません

      次のいずれかを含む

      値を含まない

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      リクエストヘッダー

      カスタムヘッダー

      存在する

      長さは

      長さが次より短い

      長さが次より大きい

      リクエスト Cookie

      カスタム Cookie - 完全一致

      存在する

      長さは

      長さが次より短い

      長さが次より大きい

      リクエストクエリ

      カスタムパラメーター

      存在する

      長さは

      長さが次より短い

      長さが次より大きい

      リクエスト本文

      カスタム POST 引数

      存在する

      長さは

      長さが次より短い

      長さが次より大きい

    5. ビジネス目的設定

    API Security は、2 種類のビジネス目的ポリシー構成を提供します。

    組み込みポリシー設定

    ビジネス目的ポリシーは、データ更新、データ共有、ショートメッセージ送信、情報送信など、複数のシナリオでサポートされています。組み込みポリシーは変更または削除できませんが、必要に応じて有効または無効にすることができます。

    カスタムポリシー設定

    組み込みポリシーがビジネスニーズを満たさない場合は、カスタム URL とパラメーター名の特徴を定義できます。これにより、特定のビジネスシナリオにおける API Security の検出精度が向上します。

    1. API リクエストセキュリティ ページで、[ポリシー構成] > [ビジネス目的設定] タブに移動します。

    2. [カスタムポリシー] タブをクリックしてカスタムポリシーを管理します。[ポリシーの作成] をクリックし、パラメーターを構成してから、[OK] をクリックします。

      3. 説明

      • [一致コンテンツ] には最大 50 個の値を入力できます。各値を入力した後、Enter キーを押します。

      • Business Purpose の一致コンテンツでは、大文字と小文字が区別されます。

      詳細設定

      一致フィールド

      論理演算子

      一致コンテンツ

      ドメイン名

      次のいずれかである

      値を含まない

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      API

      次のいずれかである

      値を含まない

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      リクエストヘッダーパラメーター名

      次のいずれかである (完全一致)

      1 つ以上の値を含む

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      リクエスト Cookie パラメーター名

      次のいずれかである (完全一致)

      次のいずれかである

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      リクエストクエリパラメーター名

      次のいずれかである (完全一致)

      次のいずれかである

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      リクエスト本文パラメーター名

      次のいずれかである (完全一致)

      次のいずれかを含む

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      リクエスト機密データ型

      次のいずれかである (完全一致)

      次のいずれかである

      リストから 1 つ以上のリクエスト機密データの型を選択します。

      レスポンス機密データ型

      次のいずれかである (完全一致)

      次のいずれかである

      リストから 1 つ以上のレスポンス機密データの型を選択します。

      レスポンスパラメーター名

      次のいずれかである (完全一致)

      次のいずれかである

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

    6. ホワイトリスト設定

    API Security のホワイトリスト機能を使用すると、セキュリティイベントやリスク検出用のカスタムホワイトリストを作成できます。これにより、オフィスネットワークの出口 IP アドレスからのアラートなど、ビジネスニーズに基づいてアラートノイズをフィルタリングできます。これにより、運用効率が向上します。

    1. API リクエストセキュリティ ページで、[ポリシー構成] > [ホワイトリスト設定] タブに移動します。

    2. [ポリシーの作成] をクリックし、新しいポリシーの名前を入力し、ホワイトリストを構成する機能タイプを選択します。[リスク検出][セキュリティイベント] のホワイトリストを構成できます。

    3. 選択した機能タイプに基づいて一致条件を設定します。

      説明

      • 最大 10 個の一致条件を追加できます。

      • ホワイトリストの設定 の一致条件では、大文字と小文字が区別されます。

      リスク検出ホワイトリストポリシーの一致条件

      一致フィールド

      論理演算子

      一致内容

      ドメイン名

      次のいずれかである

      値を含まない

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      API

      次のいずれかである

      値を含まない。

      次のいずれかである

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      セキュリティイベントホワイトリストポリシーの一致条件

      一致フィールド

      論理演算子

      一致内容

      ドメイン名

      次のいずれかを含む

      値を含まない

      次のいずれかである

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      API

      1 つ以上の値を含む

      値を含まない

      次のいずれかである (完全一致)

      次のいずれでもない (完全一致)

      最大 50 個の値を入力します。各値の後に Enter キーを押します。

      IP

      属する

      属さない

      IP アドレスまたは CIDR ブロック形式の IP アドレス範囲 (例: 1.1.X.X/24) を入力します。正規表現はサポートされていません。カンマ (,) で区切るか、Enter キーを押して、最大 50 個の値を入力できます。

    4. 無視するリスク検出またはセキュリティイベントの種類を選択し、[OK] をクリックします。

      説明

      複数の組み込みおよびカスタムタイプを選択して無視できます。

    7. ライフサイクル管理

    API Security では、1 日あたりのアクセス量と期間を設定することで、非アクティブな API の基準を定義できます。これにより、非アクティブな API の検出がビジネスにより関連性の高いものになります。API ライフサイクル管理は、カスタム標準に基づいて非アクティブな API を特定し、迅速な対応を支援します。これにより、攻撃者が非アクティブな API を悪用してビジネス上の損失を引き起こすのを防ぐことができます。

    1. API リクエストセキュリティ ページで、[ポリシー構成] > [ライフサイクル管理] タブに移動します。

    2. 非アクティブな API の基準を設定し、[OK] をクリックします。

      • [組み込みモデル] をクリックします。

        API は、過去 8 日間にアクセスされていないか、アクセス量が大幅に減少した場合、組み込みの基準の下で非アクティブと見なされます。

      • [カスタム] をクリックし、1 日あたりのアクセス量と期間 (最大 31 日) を設定します。API は、カスタム期間内に 1 日あたりのアクセス量が指定された値未満である場合、非アクティブと見なされます。

        API は、1 日あたりのアクセス数がカスタム期間にわたって指定された数を下回ったままである場合、非アクティブと見なされます。

    重要

    資産の [最終アクティブ時間] が 30 日を超えると、システムは資産とそれに関連するリスクデータおよびセキュリティイベントレコードを自動的に削除します。

    8. ログサブスクリプション

    資産、リスク、またはイベント情報のログサブスクリプションを有効にすると、配信条件が満たされたときに、対応するログが Simple Log Service コンソール の指定された Logstore に配信されます。これにより、Alibaba Cloud Simple Log Service (SLS) の機能を使用してログを一元的に管理および分析できます。

    説明

    現在、中国本土の Web Application Firewall (WAF) インスタンスは、中国本土の SLS Logstore にのみログを配信できます。中国本土以外の WAF インスタンスは、中国本土以外の SLS Logstore にのみログを配信できます。中国本土と他のリージョン間のクロスリージョンログ配信はサポートされていません。

    サービスリンクロールの有効化

    WAF のサービスリンクロールを有効にしていない場合は、API Security ログサブスクリプションサービスを使用する前に有効にする必要があります。プロンプトに従ってロールを有効にすると、WAF が他のクラウドリソースにアクセスする権限が付与されます。サービスリンクロールの詳細については、「サービスリンクロール」をご参照ください。WAF の Simple Log Service などの機能を有効にしたときにこの権限付与を既に付与している場合は、このステップをスキップできます。

    ログサブスクリプション設定

    1. API Security のログサブスクリプションタスクを構成する前に、Simple Log Service コンソール に移動して、ログを受信するプロジェクトと Logstore を作成します。ターゲット Logstore を既に作成し、命名規則に従っていることを確認した場合は、次のステップに進むことができます。

      説明

      ログサブスクリプション機能は、SLS によって自動的に作成された Logstore、またはサブスクリプションターゲットとして "waf-logstore"、"wafng-logstore"、"wafnew-logstore" という名前を付けた Logstore の使用をサポートしていません。

    2. Logstore を作成したら、ログサブスクリプションタブに戻り、資産情報、リスク情報、攻撃イベント情報のサブスクリプションを構成します。SLS コンソールから指定された Logstore に配信されたログを分析およびクエリする場合は、まずプロンプトに従ってインデックス作成を有効にする必要があります。詳細については、「インデックスの作成」をご参照ください。

    3. サブスクリプションタスクのログタイプを選択し、[構成] ボタンをクリックして構成ページに移動します。

    4. ログサブスクリプションタスクのリージョン、プロジェクト名、Logstore 名を選択し、[OK] ボタンをクリックして構成を保存します。構成が完了し、ログが生成されたら、Simple Log Service コンソール の対応する Logstore に移動してログをクエリおよび分析できます。データマスキングなどのデータ変換を実行する場合は、「データ変換」をご参照ください。

    5. ログサブスクリプションタスクを無効にし、既存のログが不要になり、Logstore の追加料金を回避したい場合は、[ログサブスクリプション] タブでタスクを無効にしてから、対応する Logstore を削除できます。詳細については、「Simple Log Service を無効にするか、課金を停止するにはどうすればよいですか?」をご参照ください。

    次のセクションでは、ログサブスクリプションタスクのトリガー条件と詳細なフィールドについて説明します。

    重要

    • Simple Log Service でクラウドリソースを作成したり、インデックス作成を有効にしたりするなどの操作を行うと、追加料金が発生する場合があります。これらの料金は Simple Log Service によって請求されます。課金項目と価格の詳細については、「Simple Log Service の課金の概要」をご参照ください。

    • ログサブスクリプションタスクが有効になっていなくても、プロジェクトまたは Logstore を作成した後に料金が発生する場合があります。作成した Logstore が不要になった場合は、追加料金を避けるために速やかに削除してください。詳細については、「プロジェクトと Logstore を作成しただけで課金されるのはなぜですか?」をご参照ください。

    アセット情報ログ

    トリガー条件:

    1. 新しい API アセットが追加されると、アセット情報ログがすぐに配信されます。

    2. 新しい API 資産が追加されない場合、資産情報ログはデフォルトで 1 時間ごとに配信されます。

    アセット情報ログのフィールド

    フィールド名

    説明

    フォーマット

    user_id

    お客様の UID

    string

    123456

    service_host

    ドメイン名

    string

    api.aliyun.com

    api_format

    API パス

    string

    /api/v1/getuserbyid/${param}

    request_method

    リクエストメソッド

    string

    GET

    api_tag

    ビジネス目的

    object []

    ['QueryInfo']

    api_type

    サービスオブジェクト

    object []

    ['PublicAPI']

    auth_key

    認証フィールド

    object []

    ['id_token', 'access_token']

    api_status

    ライフサイクル

    string

    NewbornInterface

    api_sensitive_level

    API 感度レベル

    string

    L1

    api_sensitive_req

    リクエストの機密データの型

    object []

    ['1014', '1017', '1002']

    api_sensitive_res

    レスポンスの機密データの型

    object []

    ['1009', '1013', '1003', '1014', '1002']

    farthest_ts

    初回検出時刻

    long

    1713237135

    lastest_ts

    最終アクティブ時刻

    long

    1716452318

    abnormal_num

    リスク数

    integer

    1

    event_num

    イベント数

    integer

    2

    struct_baseline

    パラメーター構造

    object

    ['{"key":"Trace-Id","location":"request_header","format":"string","required":"true"}',

    '{"key":"pageNum","location":"request_query","format":"integer","required":"true"}',

    '{"key":"tlogTraceId","location":"response_header","format":"integer","required":"true"}',

    '{"key":"Strict-Transport-Security","location":"request_header","format":"string","required":"true"}',

    '{"key":"X-Forwarded-ClientSrcPort","location":"request_header","format":"integer","required":"true"}',

    '{"key":"Trace-State","location":"request_header","format":"string","required":"true"}',

    '{"key":"auth","location":"request_header","format":"string","required":"true"}',

    '{"key":"Access-Control-Max-Age","location":"response_header","format":"integer","required":"true"}',

    '{"key":"Enterprise-Hash","location":"request_header","format":"string","required":"true"}',

    '{"key":"X-Request-ID","location":"request_header","format":"string","required":"true"}',

    '{"key":"postName","location":"request_query","format":"string","required":"true"}', '{"key":"pageSize","location":"request_query","format":"integer","required":"true"}']

    matched_hosts

    保護対象オブジェクト

    object []

    ['*.aliyun.com-waf']

    hosts

    ドメイン名

    object []

    ['api.aliyun.com']

    server_port

    ポート

    object []

    ['443']

    server_location

    オリジンサーバーの国

    object []

    ['CN']

    api_id

    一意の API ID

    string

    af418cb31036015fddea71b48d06aa4b

    log_type

    ログタイプ

    string

    asset

    request_header

    リクエストヘッダー

    JSON

    {"Connection":"Keep-Alive","Host":"api.aliyun.com","eagleeye-rpcid":"0.1"}

    querystring

    リクエスト URL パラメーター

    string

    ?token=7464f593205896e23b1286ba7532dcff

    request_body

    リクエスト本文

    string

    xxx=1

    response_header

    レスポンスヘッダー

    JSON

    {"Accept-Ranges":["bytes","bytes"],"Cache-Control":"private, max-age=21600, no-transform"}

    response_body

    レスポンス本文

    string

    xxxx

    example_timestamp

    サンプルタイムスタンプ

    long

    1718546694

    example_traceid

    サンプルトレース ID

    string

    784e2ca717213678365778292e58de

    リスク情報ログ

    トリガー条件: 新しいリスク情報が検出されると、リスク情報ログが指定された Logstore に配信されます。

    リスク情報ログのフィールド

    フィールド名

    説明

    フォーマット

    user_id

    お客様の UID

    string

    123456

    service_host

    ドメイン名

    string

    api.aliyun.com

    api_format

    API パス

    string

    /api/v1/login

    request_method

    リクエストメソッド

    string

    POST

    api_tag

    ビジネス目的

    object []

    ['LoginAPI']

    abnormal_tag

    リスク名

    string

    Risk_DefaultPasswd

    abnormal_type

    リスクタイプ (カスタム/組み込み)

    string

    default

    abnormal_level

    リスクレベル

    string

    medium

    abnormal_discover_ts

    リスク検出時刻

    long

    1716343432

    abnormal_info

    リスク情報

    object

    {'default_passwd':'aliyun123'}

    api_id

    一意の API ID

    string

    2c0f97e10b586208039e60671150bd9b

    abnormal_id

    一意のリスク ID

    string

    8cfccc0e8c3d41aa1221e94a2fdeffe3

    log_type

    ログタイプ

    string

    risk

    matched_hosts

    保護対象オブジェクト

    object []

    ['*.aliyun.com-waf']

    request_header

    リクエストヘッダー

    JSON

    {"Connection":"Keep-Alive","Host":"api.aliyun.com","eagleeye-rpcid":"0.1"}

    querystring

    リクエスト URL パラメーター

    string

    ?token=7464f593205896e23b1286ba7532dcff

    request_body

    リクエスト本文

    string

    xxx=1

    response_header

    レスポンスヘッダー

    JSON

    {"Accept-Ranges":["bytes","bytes"],"Cache-Control":"private, max-age=21600, no-transform"}

    response_body

    レスポンス本文

    string

    xxxx

    example_timestamp

    サンプルタイムスタンプ

    long

    1718546694

    example_traceid

    サンプルトレース ID

    string

    784e2ca717213678365778****58de

    攻撃イベント情報ログ

    トリガー条件:

    1. 新しい攻撃イベントが検出されると、新しい攻撃イベント情報ログが指定された Logstore に配信されます。

    2. 攻撃が継続する場合、攻撃イベント情報ログは 10 分間隔で指定された Logstore に配信されます。

    攻撃イベント情報ログのフィールド

    フィールド名

    説明

    フォーマット

    user_id

    お客様の UID

    文字列

    123456

    service_host

    ドメイン名

    文字列

    api.aliyun.com

    matched_host

    保護対象オブジェクト

    string(文字列)

    api.aliyun.com-waf

    host

    ドメイン名

    文字列

    api.aliyun.com

    api_format

    API パス

    string(文字列)

    /api/admin/login

    request_method

    リクエストメソッド

    文字列

    POST

    api_tag

    ビジネス目的

    オブジェクト []

    ['AdminService', 'LoginService']

    event_tag

    イベント名

    文字列

    Event_LoginCollision

    event_origin

    イベントタイプ (カスタム/組み込み)

    string(文字列)

    default(デフォルト)

    event_level

    イベントレベル

    string(文字列)

    start_ts

    攻撃開始時刻

    ロング

    1713886210

    end_ts

    攻撃終了時刻

    long

    1713887817

    attack_cnt

    総攻撃数

    integer(整数)

    147

    attack_ip_info

    攻撃者の IP 情報

    オブジェクト []

    ['{'ip':'103.44.XX.XXX'', 'country_id':'HK', 'region_id':'-', 'cnt':'147'']

    api_id

    一意の API ID

    文字列

    4dfc73b37d2d645fe2ca7f45c08f7398

    event_id

    イベント ID

    string(文字列)

    f09f6802e9b57a58ebb9f1bea212027e

    log_type

    ログタイプ

    string

    event(イベント)

    request_data

    リクエストデータサンプル

    JSON

    {'1002':['John Doe','Jane Smith','Chen Liu'],'1004':['13200000001','15200000002']}

    response_data

    レスポンスデータサンプル

    JSON

    {'postarg.userId':['lisi111','zhangsan123'],'postarg.corpId':['wx1111111'],'postarg.externalUserid':['wm7_KpDgOm6Bm-BGA']}

    ログサブスクリプションフィールド値の説明

    ログ分析またはクエリ中にログのフィールド値の意味を理解したり、コンソールで対応する説明を表示したりするには、次の表を参照してください。[説明] 列には、WAF コンソールに表示されるログフィールドの名前が表示されます。

    ライフサイクル (api_status)

    フィールド値

    説明

    NewbornInterface

    新規

    OfflineInterface

    非アクティブ

    normal

    正常

    サービスオブジェクト (api_type)

    フィールド値

    説明

    PublicAPI

    パブリック サービス

    ThirdpartAPI

    サードパーティ連携

    InternalAPI

    社内 オフィス

    ビジネス目的 (api_tag)

    フィールド値

    説明

    LoginByUserPasswd

    ユーザー名とパスワードでログイン

    LoginByPhoneCode

    電話の確認コードでログイン

    LoginByMailCode

    メールの確認コードでログイン

    WeChatLogin

    WeChat でログイン

    AliPayLogin

    Alipay でログイン

    OAuthLogin

    OAuth 認証

    OIDCLogin

    OIDC 認証

    SAMLLogin

    SAML 認証

    SSOLogin

    SSO 認証

    LoginAPI

    ログインサービス

    LogoutAPI

    ログオフ

    RegisterByUserPasswd

    ユーザー名とパスワードで登録

    RegisterByPhoneCode

    電話の確認コードで登録

    RegisterByMailCode

    メールの確認コードで登録

    WeChatRegister

    WeChat で登録

    AliPayRegister

    Alipay で登録

    RegisterAPI

    登録サービス

    SendSMS

    ショートメッセージを送信

    SendMail

    メールを送信

    ResetPasswd

    パスワードをリセット

    CheckVerifyCode

    認証コードの確認

    CheckStatus

    ステータスを確認

    QueryOrder

    注文照会

    ExportOrder

    注文をエクスポート

    UpdateOrder

    注文を更新

    PayOrder

    注文を支払う

    QueryLog

    ログクエリ

    UploadLog

    ログアップロード

    DownloadLog

    ログエクスポート

    LogService

    ログサービス

    GraphQL

    GraphQL

    SqlService

    SQL サービス

    FileUpload

    ファイルアップロード

    FileDownload

    ファイルダウンロード

    FileService

    ファイルサービス

    AdminService

    バックエンド管理

    DashBoard

    ダッシュボード

    MonitorService

    監視サービス

    SendInfo

    情報を送信

    CheckInfo

    データを確認

    QueryInfo

    データのクエリ

    UploadInfo

    データをアップロード

    DownloadInfo

    データをダウンロード

    AddInfo

    データを追加

    EditInfo

    データを編集

    UpdateInfo

    データを更新

    ShareInfo

    データを共有

    DeleteInfo

    データを削除

    SyncInfo

    データを同期

    SubmitInfo

    データを送信

    CopyInfo

    データをコピー

    AuditInfo

    監査データ

    SaveInfo

    データを保存

    CancelOp

    キャンセル

    StartOp

    開始

    BatchOp

    バッチ処理

    PauseOp

    一時停止

    BindOp

    バインド

    DebugOp

    デバッグ

    SetOp

    設定

    ShutDown

    シャットダウン

    リクエスト/レスポンスの機密データの型 (api_sensitive_req, api_sensitive_res)

    フィールド値

    説明

    1000

    ID カード (中国本土)

    1001

    デビットカード

    1002

    氏名 (簡体字中国語)

    1003

    住所 (中国本土)

    1004

    携帯電話番号 (中国本土)

    1005

    メールボックス

    1006

    パスポート番号 (中国本土)

    1007

    香港・マカオ通行許可証

    1008

    ナンバープレート番号 (中国本土)

    1009

    電話番号 (中国本土)

    1010

    将校 ID カード

    1011

    性別

    1012

    民族

    1013

    省 (中国本土)

    1014

    市 (中国本土)

    1015

    ID カード (中国香港)

    1016

    氏名 (繁体字中国語)

    1017

    氏名 (英語)

    1018

    ID カード (マレーシア)

    1019

    ID カード (シンガポール)

    1020

    クレジットカードまたはデビットカード

    1022

    SWIFT コード

    1023

    SSN

    1024

    電話番号 (米国)

    1025

    宗教的信条

    2000

    IP アドレス

    2001

    MAC アドレス

    2002

    Java Database Connectivity (JDBC) 接続文字列

    2003

    PEM 証明書

    2004

    秘密キー

    2005

    AccessKey ID

    2006

    AccessKeySecret

    2007

    IPv6 アドレス

    2009

    日付

    2010

    IMEI

    2011

    MEID (Mobile Equipment Identifier)

    2013

    Linux passwd ファイル

    2014

    Linux shadow ファイル

    2015

    URL

    4000

    営業許可証番号

    4001

    税務登録番号

    4002

    組織コード

    4003

    統一社会信用コード

    4004

    車両識別番号 (VIN)

    リスクタイプ (risk)

    フィールド値

    説明

    RiskType_Specification

    セキュリティ仕様

    Risk_UnsafeHttpMethod

    安全でない HTTP メソッド

    Risk_WeakSignAlgorithm

    弱い JWT 署名アルゴリズム

    Risk_UrlParam

    パラメーターが URL である

    RiskType_Account

    アカウントセキュリティ

    Risk_PasswdUnencrypt

    パスワードがプレーンテキストで送信される

    Risk_WeakPasswd

    弱いパスワードが許可されている

    Risk_InternalWeakPasswd

    内部アプリケーションの弱いパスワード

    Risk_DefaultPasswd

    デフォルトのパスワードが存在する

    Risk_PasswdResponse

    プレーンテキストのパスワードを返す

    Risk_PasswdCookie

    パスワードが Cookie に保存されている

    Risk_LoginRestrict

    ログイン API に制限がない

    Risk_LoginPrompt

    不合理なログイン失敗プロンプト

    Risk_PasswdUrl

    ユーザー名とパスワードが URL で送信される

    RiskType_Control

    アクセス制御

    Risk_InternalAPI

    インターネットからアクセス可能な内部アプリケーション

    Risk_SourceRestrict

    API がアクセスソースを制限していない

    Risk_ClientRestrict

    API がアクセスツールを制限していない

    Risk_SpeedRestrict

    API がアクセスレートを制限していない

    RiskType_Permission

    権限管理

    Risk_WeakToken

    弱い認証情報

    Risk_UnauthSensitive

    機密 API が認証されていない

    Risk_UnauthInternalAPI

    内部 API が認証されていないアクセスを許可する

    Risk_TokenUrl

    認証情報が URL で送信される

    Risk_AkLeak

    AccessKey 情報の漏洩

    RiskType_Sensitive

    データ保護

    Risk_SensitiveTypeExcessive

    過剰な種類の機密データを返す

    Risk_SensitiveNumExcessive

    過剰な量の機密データを返す

    Risk_InvalidDesensitize

    機密データが効果的にマスキングされていない

    Risk_ServerInfoLeak

    サーバーの機密情報の漏洩

    Risk_InternalIPLeak

    内部ネットワーク IP アドレスの漏洩

    Risk_SensitiveURL

    機密データが URL で送信される

    RiskType_Design

    API 設計

    Risk_ParamTraverse

    リクエストパラメーターが走査可能

    Risk_PageSize

    返されるデータ量を変更できる

    Risk_SqlAPI

    データベースクエリ

    Risk_RceAPI

    コマンド実行 API

    Risk_SmsContent

    任意のショートメッセージ内容の送信

    Risk_MailContent

    任意のメール内容の送信

    Risk_SmsVerifyCodeLeak

    ショートメッセージ確認コードの漏洩

    Risk_MailVerifyCodeLeak

    メール確認コードの漏洩

    Risk_FileDownload

    指定されたファイルのダウンロード

    Risk_ExceptionLeak

    アプリケーション例外情報の漏洩

    Risk_ExceptionSql

    データベース例外情報の漏洩

    イベントタイプ (event)

    フィールド値

    説明

    Event_AbnormalFrequency

    異常に高頻度のアクセス

    Event_ExceptionIPInvoke

    内部 API にアクセスする異常な IP

    Event_ExceptionRegionInvoke

    内部 API にアクセスする異常なリージョン

    Event_ExceptionClientInvoke

    異常なツールを使用したアクセス

    Event_ExceptionTimeInvoke

    異常な時間帯のアクセス

    Event_AbnormalParamValue

    異常なパラメーター値でのアクセス

    Event_InternalLoginWeakPasswd

    弱いパスワードによる内部アプリケーションへのログイン

    Event_LoginAccountBruteForce

    ブルートフォースによるユーザー名

    Event_LoginPasswdBruteForce

    ブルートフォースによるログインパスワード

    Event_LoginCollision

    辞書攻撃

    Event_MobileVerifyBruteForce

    ブルートフォースによるショートメッセージ確認コード

    Event_MailVerifyBruteForce

    ブルートフォースによるメール確認コード

    Event_AbnormalRegister

    バッチ登録

    Event_SMSInterfaceAbuse

    ショートメッセージリソースの悪意のある消費

    Event_EmailInterfaceAbuse

    メールリソースの悪意のある消費

    Event_AbnormalExport

    バッチダウンロード

    Event_DataTraverse

    API データの走査とスクレイピング

    Event_WebAttackAPI

    API への悪意のある攻撃

    Event_ObtainSensitiveUnauthorized

    機密データへの不正アクセス

    Event_ObtainSensitiveExcessive

    大量の機密データの取得

    Event_CrossborderIPSensitiveExcessive

    海外 IP による大量の機密データの取得

    Event_ExceptionResponse

    API が異常なエラーメッセージを返す

    Event_ExceptionSql

    API がデータベースのエラーメッセージを返す

    Event_SystemInfoResponse

    API がシステムの機密情報を返す

    Event_AbnormalStatus

    異常な API 応答ステータス

    9. 有効なオブジェクトの設定

    サブスクリプション WAF

    API Security は、保護対象オブジェクトまたは保護対象オブジェクトグループレベルで 3 つのスイッチを提供します。

    • 基本検査 スイッチ: このスイッチはデフォルトで有効になっています。すべての組み込みおよびカスタム検出ポリシーが有効かどうかを制御します。

    • Compliance Check スイッチ: このスイッチはデフォルトで無効になっています。基本検査 スイッチが有効になった後にのみ有効にできます。Compliance Check 機能が有効かどうかを制御します。

    • Tracing and Auditing スイッチ: このスイッチはデフォルトで無効になっています。基本検査 スイッチが有効になった後にのみ有効にできます。Tracing and Auditing 機能が有効かどうかを制御します。

    従量課金 WAF

    API Security は、保護対象オブジェクトまたは保護対象オブジェクトグループレベルで 1 つのスイッチを提供します。

    • 基本検査 スイッチ: このスイッチは、すべての組み込みおよびカスタム検出ポリシーが有効かどうかを制御します。API Security 機能を無効にするには、すべての保護対象オブジェクトおよび保護対象オブジェクトグループの 基本検査 スイッチをオフにすることができます。