WH

ITE PA

PER

:

powered by Symantec

White Paper

情報漏えい対策簡易マニュアルウェブサイトの脆弱性対策と WAF 導入の手引き

White Paper :情報漏えい対策簡易マニュアル

2

Copyright ©2014 Symantec Corporation. All rights reserved.　Symantec と Symantec ロ ゴ は、Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の登録商標または商標です。

合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行っています。ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、（明示、黙示、または法律によるものを問わず）いかなる種類の保証も行いません。合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれる誤り、省略、または記述によって引き起こされたいかなる（直接または間接の）損失または損害についても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサイトセキュリティは、本書に記述されている製品またはサービスの適用または使用から生じたいかなる責任も負わず、特に本書に記述されている製品またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します。本書は、本書の読者に対し、本書の内容に従って作成された機器または製品の作成、使用、または販売を行うライセンスを与えるものではありません。最後に、本書に記述されているすべての知的所有権に関連するすべての権利と特権は、特許、商標、またはサービス ･ マークの所有者に属するものであり、それ以外の者は、特許、商標、またはサービス ･ マークの所有者による明示的な許可、承認、またはライセンスなしにはそのような権利を行使することができません。

合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を持ちます。

White Paper :情報漏えい対策簡易マニュアル

3

CONTENTS

第一章　ウェブサイトのセキュリティ 4

1. ウェブサイトに関わる脅威 4

2. マネジメントセキュリティ 5

3. システムセキュリティ 6

第二章　ウェブサイトへの攻撃について 7

1. 攻撃対象の変遷 7

2. ウェブサイトで起こるセキュリティ事故 8

第三章　脆弱性対策とその手段について 9

1. ウェブサイト構築から運用の脆弱性対策 9

2. 攻撃手法に対する対策 9

3. WAFの効果的な利用法 9

第四章　WAF導入ノウハウと注意点 11

1. ハードウェアWAFの特徴と導入について 11

2. ソフトウェアWAFの特徴と導入について 11

3. SaaS型WAFの特徴と導入について 11

4. 最後に 12

White Paper :情報漏えい対策簡易マニュアル

4

第一章　ウェブサイトのセキュリティ

インターネットの普及によって、売買から決済、配送状況の確認まで、ウェブサイト経由で簡単に行える時代になりましたが、このように利便性が高まる一方で、ウェブサイトの改ざんやウェブサイト からの情報漏えい事故も後を絶たず、これらが発生した場合の影響度は、非常に深刻なものとなっています。

しかしながら、現在のビジネスにおいて、インターネットを利用しないという選択肢はなく、逆にインターネットを上手に利用して、ビジネスを加速させることの重要性がますます高まりつつあります。すなわち「会社の顔」として、ウェブサイトを展開していくためには、そのセキュリティを高いレベルで確保・維持することが必須の課題となっています。

1. ウェブサイトに関わる脅威

それではウェブサイトのセキュリティを考えるにあたって、ウェブサイト全体を俯瞰的に見てみましょう。その際に、ウェブサイトを 構成している要素を洗い出し、それぞれに必要とされる対策を行なっていくことが重要です。

まず、対策としては、大きく分けて 2 種類の対策を考慮する必要があります。1 つはシステムの管理の仕方に関する対策でマネジメントセキュリティです。もう一つは、システムの物理的な区分で、システムセキュリティです。システムセキュリティは、マネジメントセキュリティの下流に位置し、マネジメントセキュリティの開発 レイヤと運用レイヤのそれぞれで対策を行ないます。

次に、リスクの存在をレイヤに分けて考えてみます。レイヤ毎に セキュリティリスクの内容もさまざまです。例えば、ウェブサーバの脆弱性は、運用されているOS やプログラムによって違いますし、対策パッチは各ベンダーからリリースされていますので自社のサービスでどのようなシステムを利用してサービスを提供しているのかをきちんと把握することが必要です。

以上の説明を図示すると図 1 のようになります。

マネジメントセキュリティ

システムセキュリティ

システムの管理方法に関する区分

物理的な区分

開発

ウェブアプリケーション

ネットワーク、ネットワーク機器

データベースサーバルーム、データセンタ

ウェブサーバ、OS

運用

図1：セキュリティ対策の概念図

White Paper :情報漏えい対策簡易マニュアル

5

では、その具体的な対策例を表 1 にまとめます。

表 1：ウェブサイトの対策例

対策区分 レイヤ 対象 対策例

マネジメント セキュリティ

開発 ウェブアプリケーション、システム セキュア開発、教育、ソースコード検査、調達、設計、各テストフェーズにおける脆弱性検査

運用 社員、ルール 社員管理、情報セキュリティマネジメント、認証取得、クライアント管理、業務委託先管理、バックアップメディアの取り扱い

システム セキュリティ

アプリケーション ウェブアプリケーション WAF、ログ分析、監視

OS OS、ウェブサーバ 設定、パッチの適用、ファイル変更検知、ログ分析、 Symantec DLP※1

ネットワーク ネットワーク、ネットワーク機器、 ファイアウォール

設定、パッチの適用、ログ分析、通信暗号化、IDS/IPS、Firewall、Symantec DLP

データベース データベース ストアドプロシージャ、ログ分析、DB暗号化、Symantec DLP

物理 データセンター、サーバルーム 入退室管理、サーバアクセス管理、ログ分析

2. マネジメントセキュリティ

まず、対策の上流に当たるマネジメントセキュリティを具体的に解説します。マネジメントセキュリティとは、システムにおける管理ルールに関する取り決めで、下流レイヤにあたるシステムセキュリティの全てが対象となります。システムセキュリティの開発レイヤと運用レイヤに分けて以下のような対策を行なうと良いでしょう。

▪セキュア開発教育：システム開発およびウェブアプリケーションのプログラミングを行なうメンバーに対して定期的に、脆弱性のないシステム開発、およびウェブアプリケーション開発を目的とした教育を行います。

▪ソースコード検査：根本から脆弱性を排除する為、開発をしながらソースコードを検査します。検証にはソースコードの脆弱性診断ソフトウェア・サービスを利用することが効果的です。

▪調達：ウェブアプリケーションの開発を外注する場合、提案依頼書などにセキュリティ要件を盛り込みます。システムの開発時にも会社のセキュリティレベルに則したシステムの購入を行ないます。PCIDSS に定められるような、セキュリティ要件を追加することをお勧めします。

▪ 設計：設計の段階から、セキュリティを意識して設計する必要があります。そのウェブサイトを運営するにあたり、顧客に入力してもらう情報を協議し、サービス提供をおこなう際に重要ではない情報を入力させない設計にすることなどが挙げられます。

▪テストフェーズにおける脆弱性検査：公開前に、作成したシステムおよびウェブサイトに脆弱性が存在しないかを検査します。この場合にも、ソースコードの脆弱性診断ソフトウェア・サービスやウェブアプリケーション脆弱性診断サービスを利用することが効果的です。

▪ 社員教育・管理：セキュリティポリシーを社員に遵守させるための教育、さらに、社員のレベルに応じた管理を行います。

▪ 情報セキュリティマネジメント：組織の情報セキュリティを管理する為に、機密性、保全性、可用性をバランスよく維持改善する仕組みを構築します。

▪ 認証取得：情報セキュリティマネジメントを正しく行っているかどうかなど、第 3 者機関の認証基準をクリアしていることを表明することで、提供するウェブサービスやシステム、情報管理プロセスの信頼を得ることが可能となります

（ISO27000(ISMS)、ISO20000、P マークなど）。

▪クライアント管理：社員が利用するクライアント PC などのセキュリティ基準を定め、その基準を満たしているかを管理します。検疫ネットワークやソフトウェアのライセンス管理などもその一つに挙げられます。

▪業務委託先管理：業務委託先の情報アクセス管理も含めてリスクにならないようにルール作りをします。ダイレクトメールの発送や事務局運用など、個人情報に関連する業務を委託する場合は、個人情報の取扱いまでを含めたルールを決めます。

▪ バックアップメディアの取り扱い：バックアップの保管方法、移動方法についてルールを決めておきます。

※ 1： Symantec Data Loss Prevention：保存場所や使用場所に左右されずに機密データを検出、監視、保護する統合 ソリューションです。

http://www.symantec.com/ja/jp/business/data-loss-prevention

White Paper :情報漏えい対策簡易マニュアル

6

3. システムセキュリティ

システムセキュリティは、システム単位で対策を施します。既に対策済みの項目については、現在、どのような位置づけにあるのか整理して考えてください。

▪設定：機 器 が 出 荷 状 態 で 設 定 し て い る ID（「Admin」「Administrator」など）やパスワード設定をデフォルト設定のまま利用しないことが重要です。また、設定したパスワードを変更しないまま長く使い続けることはリスクとなります。定期的な変更を社内ルールとして規定してしまうなど、全社的な仕組みを作ることが望まれます。設定するパスワードには、英数大文字小文字などを用いたり、下限文字数を設定したりするなど、類推し難くするようにします。

▪ファイル変更検知：ファイルの変更が行われた際には、すぐに通知される仕組みを導入します。例えば、シマンテック セーフサイト※ 2 では、ウェブサイトにマルウェアが埋め込まれていないかスキャンする機能があり、万一マルウェアが埋め込まれていた場合には、即座にお客様へお知らせをする仕組みが実装されています。

▪パッチの適用：OS やアプリケーション毎に提供されているセキュリティパッチを適用します。OS やアプリケーションのバージョンやパッチの適用状況を管理・把握し、対象のシステムの情報はこまめにチェックしなければなりません。

▪ログ：アクセスログやイベントログを定期的に確認します。また、ログは情報漏洩が起こった際に被害の規模を素早く特定できるように解析ルールを明確にしておきます。

▪通信の暗号化：通信を暗号化して、通信経路での盗聴を防ぎます。この際に SSL 通信や VPN 通信が有効なソリューションとなります。

▪IDS/IPS/Firewall：通信経路に設置するセキュリティ装置で、ポート単位やパケット単位で通信を監視します。疑わしい通信を見つけた場合は、担当者への連絡と共に、該当の通信を遮断するなどして防御します。

▪WAF：Web Application Firewallのこと。ウェブアプリケーションへの攻撃をブロックするファイアウォールです。ウェブアプリケーションに送信される通信内容やウェブアプリケーションから返されるレスポンスの内容を制御、監視します。

▪DB暗号化：DBの暗号化を行い、DBのデータを丸ごとコピーできないようにします。特に、ストアドプロシージャしか復号データにアクセスできないようにするとセキュリティは強化されます。

▪ストアドプロシージャ：データベースへのアクセスには定型の要求しか出来ないようにします。これにより、データを操作する際にストアドプロシージャの使用を強制することで不正な操作からデータを保護することができます。

▪入退室管理、サーバアクセス管理：システム本体やサーバルームへのアクセスを管理します。アクセス管理の対象には社内ネットワーク上で共有するファイルも含みます。また受付にカメラを設置したり、管理区域へ入室する場合には、身元の確認と入退室時間を記録するなどの対策も重要です。

※ 2： シマンテック セーフサイト：シマンテックがウェブサイト運営者の実在性を確認し、マルウェアスキャンに合格したウェブサイトにはノートン TM セキュアドシールが表示されます。ノートンセキュアドシールは、ウェブサイトの信頼性を目に見える形で表示し、オンラインでの信頼性や顧客ロイヤルティの向上を実現します。

http://www.symantec.com/ja/jp/page.jsp?id=safe-site-information-center

White Paper :情報漏えい対策簡易マニュアル

7

第二章　ウェブサイトへの攻撃について

それでは近年のウェブサイトへの攻撃はどのように行なわれているのでしょうか？攻撃の対象や方法がどのように変わっているかを見ることで、対策方法やどのような対策に重点をおけば良いかが見えてきます。

1. 攻撃対象の変遷

2000 年ごろまでウェブサイトが受ける攻撃は、ウイルスやワームによるものか、官公庁や有名企業のウェブサイトを直接攻撃するようなものが主流であり、技術力を持った攻撃者の手動攻撃が主流でした。しかし、近年は自動攻撃ツール・プログラムを使って、脆弱性のあるウェブサイトを攻撃しており、ターゲットも官公庁や有名企業だけでなく個人情報を持つウェブサイトまでが広く狙われているのが特徴といえます。

また過去によく報道されたような、わかりやすいホームページの改ざん攻撃は減少し、攻撃後に情報が漏洩して初めて改ざんされていたことが判明するような攻撃が増えています。つまり、攻撃されたことに気付かず、ビジネスが継続され、気付いたときには非常に被害が大きくなってしまう例が増えています。

更に 2006 年以降、攻撃のターゲットはウェブアプリケーション側に移りつつあります。図 2「重要なインシデントのターゲット」は、2006 年から 2008 年にかけて、「JSOC 侵入分析レポート Vol.12」※ 3 で確認されたデータを分類したものです。攻撃の対象が占める割合において、ウェブサイトが年々増加しており、 攻撃者のターゲットが明らかにウェブサイトに移っているのがわかります。

図 2：重要インシデントのターゲット

2006年

その他47％

ウェブサイト53％

その他33％ ウェブ

サイト67％

その他7％

ウェブサイト93％

2007年 2008年

重要インシデントのターゲット

また、図 3「2009 年通期の検知傾向推移※ 4」が示すとおり、ガンブラーなどの新種のウイルスを利用した改ざんも多く発生し、攻撃の手法が日々変化しつつある傾向が見られます。

※ 3：LAC『JSOC 侵入傾向分析レポート Vol.12』※ 4：LAC『JSOC 侵入傾向分析レポート Vol.14』

White Paper :情報漏えい対策簡易マニュアル

8

ウェブサイト改ざん手法の変化

外部脅威（SQLインジェクション）

SQLインジェクション攻撃検知数200万

150万

100万

50万

01月

2009年2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月

800

600

400

200

0

Conficker - Gumblar などによる内部ネットワークのインシデント件数

SQLインジェクション攻撃検知数

Conficker - Gumblar などによる内部ネットワークのインシデント件数

内部脅威（Gumblar など）

図 3：2009 年通期の検知傾向推移

2. ウェブサイトで起こるセキュリティ事故

ウェブサイトでセキュリティ事故が起こってしまった場合、そのウェブサイトの運営会社（他社にウェブサイト開発を委託している場合、発注者側）が責任を負うことになります。たびたび報道されている SQL インジェクションによって個人情報が流出してしまった場合には、被害者への賠償やクレジットカード決済の制限といった直接的被害と、信頼の失墜といった間接的な被害を受けます。そして、元通りに運営できるようになるまでに多くのリソースと時間を要します。

White Paper :情報漏えい対策簡易マニュアル

9

第三章　脆弱性対策とその手段について

第二章で述べたとおり、ウェブサイトへの攻撃はウェブアプリケーションに対するものが増えています。そこで、第三章では、ウェブアプリケーションのセキュリティについて取り上げます。

1. ウェブサイト構築から運用の脆弱性対策

ウェブサイトの構築から運用にいたるまでの対策は以下のようにフェーズを分けてそれぞれ対策を行なうことが理想的です。

表 2：ウェブサイト構築フェーズとセキュリティ施策

運用

テスト

実装

設計

要件定義

フェーズ セキュリティ施策

セキュリティ要件を追加する。

セキュリティを考慮した設計をする。

セキュリティを考慮したコーディングをする。

ウェブアプリケーション・システムの脆弱性診断を実施する。ウェブサイトの脆弱性診断を実施する。

WAFを設定する。また、定期的にログを調査する。

ウェブアプリケーションのセキュリティを考える上で重要なのは、そのアプリケーションを開発、運用する際に如何にセキュリティの対策を行なうかです。しかし上記の全てを行なうことは、非常に困難です。なぜならセキュリティの強化は裏返すとアプリケーションの動作を制限するものであり、セキュリティのチューニングはアプリケーションの正常動作と攻撃への対策のぎりぎりのラインを見つける作業だからです。このため全てのフェーズで上記の対策を完璧に行なうのは、コスト・期間的制限から難しいというウェブサイトが多いのが現実です。

2. 攻撃手法に対する対策

そこで、ウェブアプリケーションの直前に WAF を入れることでセキュリティを強化するという考え方が出てきます。実装フェーズで修正が十分にできなかった脆弱性への防御を WAF が担うことで、大量の個人情報流出を引き起こす SQL インジェクション攻撃やクロスサイトスクリプティング攻撃から、ウェブサイトを守ることができます。

この時、WAF は、ウェブアプリケーションの直前に設置され、HTTP、HTTPS のポートへ普通の通信を装ってアクセスしてくる攻撃に対して入力内容を元にブロックしたり、通過させたりします。例えば、ウェブアプリケーションの入力項目に、SQL インジェクションの特徴を示す入力があった場合にはブロックします。その為、ウェブアプリケーション自体に SQL インジェクション拒否ロジックが組まれていない場合でも対策が出来るのです。

3. WAF の効果的な利用法

WAF にも、得意・不得意があり、全ての攻撃を防ぐ万能薬ではありません。つまり、全く他の対策は行なわず WAF だけのみを導入するのは、十分な対策とはいえません。しかし、WAF の特徴を十分に理解したうえで利用することで、より安全なアプリケーションを素早く開発する手助けになることでしょう。

例えば、WAF では対策出来ない「なりすまし」や「権限越え」には、強固な認証の仕組みを作る（二要素認証システムを導入するなど）といった対策を行なうことでより安全なシステムが実現できます。

White Paper :情報漏えい対策簡易マニュアル

10

表 3：WAF の特徴

攻撃区分 代表的攻撃名称 想定される事象 WAFでの防御

認証や承認などのセッション周り・なりすまし・権限越えなど

A さんが B さんの情報を入手できてしまう

防御できない

クライアント側での攻撃・クロスサイトスクリプティングなど

ユーザ側の操作により、そのユーザの情報が漏えいしてしまう

例）メールで送られた URL にアクセスしたら、悪意のあるサイトに飛ばされ、セッション ID を漏えいしてしまった

防御できるものとできないものがある

コマンドの実行・SQL インジェクション・OS コマンドインジェクションなど

攻撃者にウェブサイトにて悪意のあるコマンドを実行され、DB のデータを漏えいしてしまう

防御可能

情報公開・ディレクトリトラバーサル・エラーメッセージからの漏えいなど

ウェブサーバの情報などを想定外に漏えいしてしまう

防御可能

マルウェア対策・ガンブラー・Drive by downloadなど

ウェブの閲覧者が、攻撃者に埋め込まれたコードにより他のウェブサイトからマルウェアをダウンロードさせられる

防御可能（WAF による）

また、WAF は「誤検知、誤動作、見逃しが多い」と言われることがあります。例えば、過去に WAF を導入した企業で、シグニチャを全てオンにしたら正常にウェブサイトの運用が出来なくなった話や、その対策にシグニチャを全てオフにしてしまったという話があります。このことは、WAF の運用にもチューニングが必要であることを示しています。全てのフェーズでぎりぎりのチューニングを行なわなくて良くなった分、面倒であっても WAF ではチューニングを行うことが必要です。

White Paper :情報漏えい対策簡易マニュアル

11

第四章　WAF導入ノウハウと注意点

前章では、WAF の特徴を踏まえた効果的な利用方法をご紹介しましたが、WAF は導入すれば安全というわけではありません。 それぞれのサービスの運用を妨げないようなチューニングが必要です。また、定期的にログを確認することで攻撃の有無を把握することも重要です。

また WAF には複数の提供形態が存在しています。以下に、WAFの種類とその特徴を説明すると共に注意点についてもご説明します。利用する際の参考にしてください。

1. ハードウェア WAF の特徴と導入について

ハードウェア、アプライアンス型は、現在一番普及している製品です。処理能力に強みがあり、大容量のウェブサイトにも対応しています。また、セキュリティのチューニング項目が豊富にあります。

その反面、セキュリティの知識がないと運用が難しく、セキュリティの専任者がウェブアプリケーションの動作を確認しながらぎりぎりの設定を行うことが必要になります。

表 4：ハードウェア WAF の特徴と注意点

詳細

特徴・ 専用アプライアンス。（ロードバランサーと機能一体型もあり）・チューニング項目が多い。・大容量帯域のウェブサイトにも対応。

注意点・設定にセキュリティの知識が必要・高価な初期投資。・運用/サービス費用が掛かる。

2. ソフトウェア WAF の特徴と導入について

ハードウェア同様、セキュリティのチューニング項目が豊富にあります。ウェブサーバにインストールすることから、ハードウェアの費用（データセンタでホスティングをする場合には、ラックスペース も）を抑えることが出来ますが、処理能力はインストールするサーバに依存します。

ハードウェアと同様セキュリティの知識がないと利用は難しく、セキュリティの専任者がウェブアプリケーションの動作を確認しながらぎりぎりの設定を行うことが必要となります。

表 5：ソフトウェア WAF の特徴と注意点

詳細

特徴・チューニング項目が多い。・大容量帯域のウェブサイトにも対応。

注意点・設定にセキュリティの知識が必要・ ハードウェアのスペックに依存。・運用/サービス費用が掛かる。

3. SaaS 型 WAF の特徴と導入について

SaaS 型のサービスの広がりと共に最近出てきた新しいサービスです。ウェブ上にあるサービスを利用するので、初期費用が少なくて済み、短期間で導入が出来るのが特徴です。また、セキュリティの設定やシグニチャの更新を運用会社が行なうので、セキュリティの知識が少ない管理者のウェブサイトへの導入が可能になります。

業務を外部に委託する分、外部システムを経由したサービスの運用になるため DNS の変更が必要です。またアクセスログの確認方法も導入前と変わります。社内の業務がこれらの変更に対応できるかを確認する必要があります。

表 6：SaaS 型 WAF の特徴と注意点

詳細

特徴

・比較的低価格で導入が可能。・短期間で導入が可能。・セキュリティ設定はSaaS運用会社。・Drive by Download攻撃の無効化。

注意点

・DNSを利用して外部システムへ接続可能か確認。・アクセスログ解析が、従来通り動くか確認。・ロードバランスが、従来通り動くか確認。・ クライアント認証を用いた認証がサイトに実装されていないこ

とを確認。

White Paper :情報漏えい対策簡易マニュアル

12

合同会社シマンテック・ウェブサイトセキュリティhttps://www.jp.websecurity.symantec.com/〒104-0028　 東京都港区赤坂1-11-44赤坂インターシティTel : 0120-707-637E-mail : websales_jp@symantec.com

Copyright ©2014 Symantec Corporation. All rights reserved.シマンテック（Symantec）、ノートン（Norton）、およびチェックマークロゴ（the Checkmark Logo）は米国シマンテック・コーポレーション（Symantec Corporation）またはその関連会社の米国またはその他の国における登録商標、または、商標です。その他の名称もそれぞれの所有者による商標である可能性があります。製品の仕様と価格は、都合により予告なしに変更することがあります。 本カタログの記載内容は、2014年4月現在のものです。

4. 最後に

シマンテックでは、最後に紹介した SaaS 型 WAF のサービス「シマンテック クラウド型 WAF」の代理店販売を行なっております。しかしながら、ハードウェア型、ソフトウェア型の WAF にも適しているウェブサイトもありますので、本資料では出来る限り公平な視点で説明させていただいたつもりです。本資料がウェブサイトのセキュリティ全体を見直すきっかけになると共に、全てのウェブユーザに安全な環境の提供が推進出来れば幸いです。

なお、「シマンテック クラウド型 WAF」は日本で開発され、運用が行なわれている Scutum をベースにしたサービスで、クラウド時代のサービスとして比較的低価格で提供されています。ウェブサイトの利用帯域ごとに価格を設定しているサービスのため、顧客規模に合わせたサービスの提供が可能です。脆弱性診断などを行なっているセキュリティの専門業者である株式会社セキュアスカイ・テクノロジー社が WAF のシステム環境の提供からチューニングまでを行ないますので、セキュリティの管理者が存在しない企業でも導入が出来ます。また、既に運用されているサービスを利用しますので、サービスインまでの手間や初期投資を抑えることが出来るだけでなく、導入検討からサービス開始までの期間が短期間で済みます。システムの脆弱性が見つかって対策をすぐに行ないたいお客様にも最適です。

サービスの詳細は、下記のウェブサイトもしくはシマンテックまでお問い合わせください。

ウェブサイト：http://www.symantec.com/ja/jp/verisign/cloud-waf

コンタクト先：株式会社シマンテック Software & Service Product 担当E-mail: cloud_waf@symantec.com

WPWAF2010_1203