脆弱性診断 ファイアウォール WAF F5 ネットワークスジャパン

侵入前提で内部の脅威を検出--セキュリティの“東西南北”対策を進めるF5の狙い

 F5ネットワークスジャパン(F5)では、企業のセキュリティ対策で“東西南北”という考え方を打ち出している。これはネットワーク図を地図になぞらえたもので、南北は外部対策、東西は内部対策ということになる。

 その東西対策のために、米Illumioとパートナーシップを組んだことは記憶に新しいところだ。F5のセキュリティソリューションアーキテクトである谷村透氏に話を聞いた。

脆弱性にいかに対応するか

――最近の脅威に対してどのような対策をしているのか。

 F5の場合、代表的な製品である「BIG-IP」をユーザーに最も使っていただいているのは外向けのサーバのエリアです。そのため、脅威として最も注目しているのは外部に公開しているサーバに対する攻撃です。

谷村透氏
F5ネットワークスジャパン セキュリティソリューションアーキテクト 谷村透氏

 具体的に言えば、SQLインジェクションやクロスサイトスクリプティングといったウェブアプリケーションを攻撃するもの。それに、帯域を消費してしまうDDoS(分散型サービス妨害)攻撃も挙げられます。また、ネットバンキングの不正送金への対策もF5として非常に注力しているところで「WebSafe」という対応製品も提供しています。

 それから、なりすましなどによる不正アクセスへの対策ですね。F5はもともとSSL VPN装置を提供していまして、リモートアクセスを安全にするというところはすでに成熟していますが、特にアクセスコントロールの部分ですね。これまで多要素認証やシングルサインオンは利便性向上の側面が大きかったのですが、これからは役割認証といいますか、Active Directoryの属性情報と連携したアクセスコントロールの実装などを行っていきます。

 ウェブでのマルウェア感染への対策も注力しているエリアです。ここについては、マルウェア対策とITの健全な利用の2つの観点で、URLフィルタリングを提供しています。

 URLフィルタリングも成熟した市場ですが、最近では業務に関係ない娯楽系のサイトにアクセスするというケースは少なくなっていて、むしろファイル共有サービスやPtoPサービスでの情報漏えい、正規のサイトが改ざんされてマルウェアを仕込まれたようなケースへのニーズが高まっています。そのため、カテゴリでフィルタリングするだけでなく、アクセス先のサイトにマルウェアがあったら止める「Secure Web Gateway(SWG)」という製品を提供しています。

――そういった脅威に対抗するには、どういう考え方が必要か。

 F5として製品戦略的な観点も含めて言えば、ユーザーにはウェブサーバの前にBIG-IPを設置していただいてます。それはロードバランスという可用性の面を重視しているのですが、そこにセキュリティ対策も必要になります。BIG-IPは全製品に、セキュリティの機能としてファイアウォールとDDoS攻撃対策とWAF(ウェブアプリケーションファイアウォール)がモジュールとして組み込まれていますので、シングルポイントで多層の防御ができます。

 SSLについては“強化”と“脆弱性対策”の2つの対策が必要になります。特に脆弱性対策については、「Heartbleed」など多くの重大な脆弱性が発見されています。BIG-IPにはWAFが搭載されていますので、こういった脆弱性に対応できます。

 ウェブサーバをSSLの終端にしていると、SSLを解くことができないのでIPS(侵入防御システム)がマルウェアをチェックできないという問題もあります。そこで、いったんBIG-IPでSSLを終端するという対応ができます。

 さらに、「POODLE」のようにSSLのバージョンの問題もありました。SSL v3には脆弱性があるので使わないようにすると、今度は携帯電話でのアクセスに問題が発生することがあります。この問題についても、BIG-IPではサーバごとにインスタンスを管理できるので、携帯電話向けサイトはSSL v3を残し、PC向けウェブサイトをTLS 1.1以降にするといった対策が可能です。

運用負荷が高いWAF

――WAFはシグネチャの管理やチューニングといった運用の負荷が高いと言われている。

残り本文:約2248文字 ログインして続きを読んでください。

関連記事

一緒に見られている製品

編集部おすすめ

ピックアップ製品

サーバ
PC・モバイル
ストレージ
ネットワーク
仮想化
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ
新興技術
財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
サイト構築
PCソフト
学習

ベンダー座談会

Follow TechRepublic Japan