Scutum経由で脆弱性診断等を実施する際の注意点

こんにちは。Scutumサポートデスクです。

お客様のよくあるお問い合わせのひとつに、以下のお問い合わせがあります。
「Scutum経由でスキャンやペネトレーションテスト、脆弱性診断等を実施しても問題ないか？」

回答としては、Scutum経由でスキャンや脆弱性診断＝NG ではあるのですが、本記事ではさらに以下2点について紹介します。

1. Scutum経由でスキャンやペネトレーションテスト、脆弱性診断等を実施NGな理由
2. Scutum経由でスキャンや脆弱性診断実施前に対応してほしい設定

Scutum経由でスキャンやペネトレーションテスト、脆弱性診断等を実施NGな理由

1. 脆弱性診断により他のお客様のWAF環境のパフォーマンスへの影響が懸念されるため

Scutumは同環境上に複数のお客様のScutum環境が共存するマルチテナント型のサービスを基本提供形態としています。
Scutum経由のスキャンやペネトレーションテスト、脆弱性診断によりScutum環境に過剰な負荷がかかると、Scutumのサービス形態上、他お客様のWAF環境のパフォーマンスへの影響が懸念されるため、Scutum経由でスキャンや脆弱性診断＝NG　としています。

2.正しい診断結果が得られなくなる可能性があるため

Scutumは通信に含まれる特徴などから攻撃性の有無を判定し、同一IPアドレスからの多数の攻撃性を有するアクセスを検知した場合に一定時間対象IPアドレスからのアクセスを自動的に遮断する機能を有しています。
そのため、診断のアクセス自体が攻撃としてブロックされ、正しい診断結果が得られなくなる可能性があります。
さらには、診断ができない状態になってしまう可能性があります。

Scutum経由でスキャンや脆弱性診断する際に、やっておきたい設定

Scutum管理画面の脆弱性検査用IPアドレスの管理を活用してください！

WAF防御機能をOFFにすればいいんじゃないの？と思われたかもしれません。

実は「WAF防御機能をOFFにする」のみですと、ブロック機能は無効にはなりますが、検知機能は『有効』な状態を維持する仕様です。
実施NG理由としてあげた「Scutum環境に過剰な負荷を与える可能性が高い」状態から変わらないんです。

「脆弱性検査用IPアドレスの管理」の機能を活用することによって、はじめて対象のIPアドレスから通信はScutumの防御ルールによる検知が行われなくなるため、「Scutum環境に過剰な負荷を与える可能性が高い」状態ではなくなるんです。

操作方法

1. スキャンや脆弱性診断を行うIPアドレスを確認
2. 「脆弱性検査用IPアドレスの管理」の下枠にスキャンや脆弱性診断を行うIPアドレスを記載
3. 反映をクリックし、設定完了

※「脆弱性検査用IPアドレスの管理」の操作方法等は、こちらをご確認ください。

Scutum経由でスキャンや脆弱性診断する際には、「WAF防御機能をOFFにする」ではなく、[脆弱性検査用IPアドレスの管理]の機能の活用をお願いします。

ご不明な点等がありましたら、お気軽にScutumサポートデスクまでお問い合わせください。