コンテンツにスキップ
クライアントサイド防御

FAQ

F5 Distributed Cloud クライアントサイド防御に関するよくある質問をデモセッションおよびお客様との対話から収集してまとめました。

違反が検出された際にCSDはアラートを生成しますか?

Section titled “違反が検出された際にCSDはアラートを生成しますか?”

はい、ただしCSD固有のアラートルールを明示的に設定する必要があります。CSDはセットアップ時に提供されたアカウントのメールアドレスを使用して、アラートレシーバーを自動作成します。以下のアラートトリガーを設定できます:

  • 新しい不審なドメインの検出
  • リスクスコアのしきい値超過
  • 保護対象ページでの新しいスクリプトの検出
  • 既知のスクリプトの挙動変化

アラートはドメインごとにスコープを設定することも、保護対象のすべてのドメインにグローバルに適用することもできます。設定の詳細については、CSD コンソール — アラート設定 のセクションを参照してください。

CSDイベントのHTTPリクエストログを確認できますか?

Section titled “CSDイベントのHTTPリクエストログを確認できますか?”

CSDはクライアントサイドJavaScriptテレメトリーを介して動作するため、スクリプト検出や緩和措置の適用に関するサーバーサイドのHTTPログは存在しません。検出パイプラインの動作は以下のとおりです:

  1. CSD JavaScriptタグ(ロードバランサーによって挿入)が訪問者のブラウザ上で実行される
  2. スクリプトの読み込み、DOM変更、およびフォームフィールドへのアクセスを監視する
  3. テレメトリービーコンが分析のためにF5バックエンドに送信される
  4. 検出結果がCSD APIおよびダッシュボードに表示される

ロードバランサーアクセスログ/api/data/namespaces/\{ns\}/access_logs)には、CSDスクリプトタグがレスポンスに挿入されたかどうかを確認する csd_js_injection フィールドが含まれています。CSD検出データについては、APIエンドポイント /scripts/detected_domains、および /formFields を使用してください。

完全なレイヤー7(HTTP)およびレイヤー8(CSDテレメトリー)の検証テストについては、診断 ガイドを参照してください。

CSDはSIEMツール(Splunk、Datadogなど)と統合できますか?

Section titled “CSDはSIEMツール(Splunk、Datadogなど)と統合できますか?”

CSD専用のネイティブSIEM WebhookまたはSyslog統合はドキュメント化されていません。CSD検出データは以下のRESTAPIエンドポイントを通じて取得できます:

  • /scripts — リスクレベル付きの検出スクリプト
  • /detected_domains — カテゴリ分類されたドメイン(CDN、データ持ち出し先など)
  • /formFields — スクリプトによってアクセスされたフォームフィールドと機密性分類

お客様はこれらのAPIエンドポイントをスケジュールに従ってポーリングし、検出データをSIEMに転送することができます。エンドポイントの詳細および認証については、APIリファレンス を参照してください。

CSDの緩和措置は実際に何をブロックしますか?

Section titled “CSDの緩和措置は実際に何をブロックしますか?”

CSDの緩和措置は、src 属性を傍受することで緩和対象ドメインからの <script> タグの読み込みをブロックします。CSD JavaScriptは src を空の文字列にクリアし、ネットワークリクエスト自体を完全に防止します。これはサプライチェーン攻撃ベクターを対象としています。具体的には、<script> タグを介してページに挿入される悪意のあるサードパーティスクリプトです。

CSDの緩和措置は以下をインターセプトしません

  • fetch() 呼び出し
  • XMLHttpRequest 呼び出し
  • <img> または <link> タグの読み込み
  • WebSocket接続

この設計は意図的なものです。CSDは、サプライチェーン攻撃(Magecart、フォームジャッキング、スキミング)が悪意のあるコードを注入する際に使用するスクリプト読み込みメカニズムに焦点を当てています。fetch()XMLHttpRequest を介したアプリケーションレベルのAPI呼び出しはCSDのスコープ外であり、他のF5 XCセキュリティ機能(Web アプリファイアウォール (WAF)、Bot 高度防御、API保護)によって処理されます。

スクリプトブロッキングの動作を示す適用前後の証明については、フェーズ3 — 緩和 を参照してください。

攻撃実行後、検出結果が表示されるまでどのくらいかかりますか?

Section titled “攻撃実行後、検出結果が表示されるまでどのくらいかかりますか?”

検出のタイミングはエンドポイントによって異なります:

エンドポイント一般的なタイミング備考
/detected_domains数分最初にデータが入力されます。CSDパイプラインが処理中であることを示す主要な指標です
/scripts10〜30分バックエンドの処理スケジュールが遅いためです
/formFields20〜30分ML機密性分類(Sensitive vs Not Sensitive)には追加の処理が必要です

検出結果は、同一テナント上で同じ保護対象ドメインが再登録された場合、インフラのティアダウン/再構築をまたいで保持されます。ティアダウンと再構築の後、/detected_domains に対して一度クエリを実行してください。レスポンスにアイテムが含まれている場合、以前の検出結果がまだ利用可能であり、待機は不要です。

推奨されるポーリングプロトコルについては、フェーズ2 — 検出の検証 のセクションを参照してください。