WAF ファイアウォール 脆弱性診断 F5 ネットワークスジャパン

侵入前提で内部の脅威を検出--セキュリティの“東西南北”対策を進めるF5の狙い

セキュリティ対策としてF5ネットワークスは“東西南北”という考え方を打ち出し、戦略的にスタートアップ企業とパートナーシップを組んでいる。その意図はどこにあるのか――。

 F5ネットワークスジャパン(F5)では、企業のセキュリティ対策で“東西南北”という考え方を打ち出している。これはネットワーク図を地図になぞらえたもので、南北は外部対策、東西は内部対策ということになる。

 その東西対策のために、米Illumioとパートナーシップを組んだことは記憶に新しいところだ。F5のセキュリティソリューションアーキテクトである谷村透氏に話を聞いた。

脆弱性にいかに対応するか

――最近の脅威に対してどのような対策をしているのか。

 F5の場合、代表的な製品である「BIG-IP」をユーザーに最も使っていただいているのは外向けのサーバのエリアです。そのため、脅威として最も注目しているのは外部に公開しているサーバに対する攻撃です。

谷村透氏
F5ネットワークスジャパン セキュリティソリューションアーキテクト 谷村透氏

 具体的に言えば、SQLインジェクションやクロスサイトスクリプティングといったウェブアプリケーションを攻撃するもの。それに、帯域を消費してしまうDDoS(分散型サービス妨害)攻撃も挙げられます。また、ネットバンキングの不正送金への対策もF5として非常に注力しているところで「WebSafe」という対応製品も提供しています。

 それから、なりすましなどによる不正アクセスへの対策ですね。F5はもともとSSL VPN装置を提供していまして、リモートアクセスを安全にするというところはすでに成熟していますが、特にアクセスコントロールの部分ですね。これまで多要素認証やシングルサインオンは利便性向上の側面が大きかったのですが、これからは役割認証といいますか、Active Directoryの属性情報と連携したアクセスコントロールの実装などを行っていきます。

 ウェブでのマルウェア感染への対策も注力しているエリアです。ここについては、マルウェア対策とITの健全な利用の2つの観点で、URLフィルタリングを提供しています。

 URLフィルタリングも成熟した市場ですが、最近では業務に関係ない娯楽系のサイトにアクセスするというケースは少なくなっていて、むしろファイル共有サービスやPtoPサービスでの情報漏えい、正規のサイトが改ざんされてマルウェアを仕込まれたようなケースへのニーズが高まっています。そのため、カテゴリでフィルタリングするだけでなく、アクセス先のサイトにマルウェアがあったら止める「Secure Web Gateway(SWG)」という製品を提供しています。

――そういった脅威に対抗するには、どういう考え方が必要か。

 F5として製品戦略的な観点も含めて言えば、ユーザーにはウェブサーバの前にBIG-IPを設置していただいてます。それはロードバランスという可用性の面を重視しているのですが、そこにセキュリティ対策も必要になります。BIG-IPは全製品に、セキュリティの機能としてファイアウォールとDDoS攻撃対策とWAF(ウェブアプリケーションファイアウォール)がモジュールとして組み込まれていますので、シングルポイントで多層の防御ができます。

 SSLについては“強化”と“脆弱性対策”の2つの対策が必要になります。特に脆弱性対策については、「Heartbleed」など多くの重大な脆弱性が発見されています。BIG-IPにはWAFが搭載されていますので、こういった脆弱性に対応できます。

 ウェブサーバをSSLの終端にしていると、SSLを解くことができないのでIPS(侵入防御システム)がマルウェアをチェックできないという問題もあります。そこで、いったんBIG-IPでSSLを終端するという対応ができます。

 さらに、「POODLE」のようにSSLのバージョンの問題もありました。SSL v3には脆弱性があるので使わないようにすると、今度は携帯電話でのアクセスに問題が発生することがあります。この問題についても、BIG-IPではサーバごとにインスタンスを管理できるので、携帯電話向けサイトはSSL v3を残し、PC向けウェブサイトをTLS 1.1以降にするといった対策が可能です。

運用負荷が高いWAF

――WAFはシグネチャの管理やチューニングといった運用の負荷が高いと言われている。

残り本文:約2248文字 ログインして続きを読んでください。

「WAF」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. AWSが提唱する、モダン分析プラットフォームのアーキテクチャと構築手法
  2. AWS資料、ジョブに特化した目的別データベースを選定するためのガイド
  3. Zero Trust Workbook--ゼロ トラストの先にある世界を知るためのガイダンス
  4. 「ゼロトラスト」時代のネットワークセキュリティの思わぬ落とし穴に注意せよ
  5. データ駆動型の組織でビジネスの俊敏性を実現するには?戦略的な意思決定とイノベーションを両立へ

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]