BIG-IP® AWAF(AdvancedWAF)
BIG-IP AdvancedWAF
概要
BIG-IP AdvancedWAF(AWAF)は、Webアプリケーションファイアウォールです。AWAFはWebアプリケーション特有の攻撃に対する防御が可能となります。また、L7レベルのDoS攻撃に対する防御機能も兼ね備えています。AWAFとLTMを一つの筐体内に実装することができるので、高度なサーバロードバランシングを行いつつ、Webアプリケーションファイアウォールとしても利用することができます。
特長
BIG-IP AdvancedWAF(以下、AWAF)はハッカーや悪意ある攻撃からアプリケーションを保護する「Webアプリケーションファイアウォール(WAF)」です。BIG-IP AWAFは、ネットワークレベルの攻撃からの保護に重点を置いたネットワークファイアウォール製品や、絶えず増え続ける既知の攻撃を回避することに重点を置いた侵入防止システム(IDS/IDP)とは異なり、ネットワーク、Webインフラ、Webアプリケーションへの広範囲な攻撃をブロックします。
クレデンシャルスタッフィング対策
クレデンシャル情報(ユーザ認証情報)の取り扱いについて、AWAFでは盗まれない・使わせない対策を実現します。- 盗まれない対策
AWAFはクレデンシャル情報に暗号モジュールにてパラメータ暗号することができます。これにより、第3者にクレデンシャル情報が漏洩した場合でも、不正利用させないことができます。
- 使わせない対策
WAFの導入について
WAFの導入について、Webアプリケーション作成時に利用する以下ドキュメントに、WAFの導入や効果が記載されております。Webアプリケーション導入時は、WAFの導入に加えてこれらのドキュメントもご参照ください。PCIDSS
PCIDSSは、カード会員情報の保護を目的として、国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)が共同で策定したカード情報セキュリティの国際統一基準です。要件としては、以下12項目があります。
要件 1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件 2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
要件 3: 保存されるカード会員データを保護する
要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
要件 5: ウィルス対策ソフトウェアまたはプログラムを使用し、定期的に更新する
要件 6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件 7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件 8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件 9: カード会員データへの物理アクセスを制限する
要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件 11: セキュリティシステムおよびプロセスを定期的にテストする
要件 12: すべての担当者の情報セキュリティポリシーを整備する
この中で、以下の要件6.6にWAFについての言及があり、定期的なレビューが実施できない場合においては、WAFの導入が効果的となります。
要件6.6
一般公開されているウェブアプリケーションで、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが、次のいずれかの方法によって、既知の攻撃から保護されていることを確認する。
・一般公開されているウェブアプリケーションは、アプリケーションのセキュリティ脆弱性を手動/自動で評価するツールまたは手法によって、少なくとも年 1 回および何らかの変更を加えた後にレビューする。
注: この評価は、要件 11.2 で実施する脆弱性スキャンとは異なる。
・ウェブベースの攻撃を検知および回避するために、一般公開されているウェブアプリケーションの手前に、ウェブアプリケーションファイアウォールをインストールする。
IPA(独立行政法人 情報処理推進機構) 「安全なウェブサイトの作り方」
WAFによるWebアプリケーション保護に関する記載があり、WAFの有効性について言及されています。
2.6 WAF によるウェブアプリケーションの保護
2.6 WAF によるウェブアプリケーションの保護
ウェブアプリケーションの安全を確保するには、脆弱性を作り込まないことや、脆弱性が発見されたら早期に該当箇所を修正することが重要です。一方、そのようなウェブアプリケーションの実装面での対策とは別に、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護する運用面での対策として、WAF(Web Application Firewall)の使用があります。WAF は、ウェブアプリケーションを含むウェブサイトと利用者の間で交わされる HTTP(HTTPS 通信を含む)を検査し、攻撃等の不正な通信を自動的に遮断するソフトウェア、もしくはハードウェアです。
WAF を使用することで以下の効果を期待できます。
- 脆弱性を悪用した攻撃からウェブアプリケーションを防御する
- 脆弱性を悪用した攻撃を検出する
- 複数のウェブアプリケーションへの攻撃をまとめて防御する
F5、F5 Networks、F5のロゴ、及び本文中に記載されている製品名は、米国および他の国におけるF5, Inc.の商標または登録商標です。
カタログ | 4.91MB | ダウンロード |
---|