BLOG

F5のマネージド ルールによるAWS WAFのレベルアップ

Tom Atkins サムネール
Tom Atkins
Published October 21, 2021


Forresterの『2021年版アプリケーション セキュリティの状況レポート』によると、昨年のサイバー攻撃のうち39%がWebアプリケーションを標的としていたとのことですが、これには理由があります。Webアプリケーションは公開されているという性質上、その攻撃対象の広さや、コードの脆弱性が常に存在することから、保護が難しく、攻撃者が攻撃を成功させる可能性が高くなっています。Positive Technologiesの調査によると、侵入テストを行ったワークロードには、平均して22個の潜在的なセキュリティ脆弱性が含まれており、その5個に1個は深刻度が高いと判断されました。当然のことながら、この調査で発見された脆弱性は、図1に示すように、OWASP Top 10を構成する脆弱性が大半を占めていました。

確認された最も一般的なOWASP Top 10の脆弱性
図1:Positive TechnologiesのWebアプリケーション調査で確認された最も一般的なOWASP Top 10の脆弱性

AWSクラウド上でアプリケーションを実行する際、アプリケーション開発者は、ワークロードをできるだけ早く立ち上げて運用することを優先し、「ジョブ ゼロ」対策としてのアプリケーション セキュリティの実装の重要性を見落としてしまうことがあります。AWSは、アプリケーション セキュリティを見落としがちな傾向と、多くの企業が社内にセキュリティに関する専門知識を持たないことを考慮し、使いやすさと迅速な運用を目的とした独自のネイティブWeb Application Firewall(WAF)を開発しました。AWS WAFは簡単に導入できる一方で、リソースを保護するためにユーザーが設定したWebアクセス コントロール リスト(ACL)を必要とし、多様なワークロードのニーズに合わせて大幅にカスタマイズできるようになっています。しかし、WAFのカスタマイズには、特定のアプリケーションやドメインの知識に加えて、現在の脅威の状況をしっかりと把握する必要があるため、難しいプロセスとなる可能性があります。

そのため、AWSはF5を含むさまざまなセキュリティ ベンダーと提携して、AWS WAFインスタンスに適用できる多様なマネージド ルールセットを提供し、WebアプリケーションやAPIのさまざまな攻撃タイプを軽減できるようにレベルアップしています。AWS WAFをご利用のお客様がF5のカスタムWAFルールセットをWAFインスタンスに適用することで、AWSユーザーはシンプルさと使いやすさを維持しながら、さらに巧妙化した脅威を軽減できます。

図2:F5のマネージド ルールをAWS WAFに適用して脅威を軽減
図2:F5のマネージド ルールをAWS WAFに適用して脅威を軽減

F5は現在、4つのユニークなルールセットを提供しており、それぞれが異なる脅威タイプに対する保護を実現しています。

  1. OWASP Top 10 Webエクスプロイト対策ルールセット:クロスサイト スクリプティング(XSS)攻撃やインジェクション攻撃など、OWASP Top 10に含まれる脆弱性を悪用しようとする攻撃を緩和します。
  2. ボット対策ルールセット:すべての受信リクエストを分析し、DDoSツール、脆弱性スキャナ、Webスクレーパ、フォーラム スパム ツールなど、悪意のあるボット活動をブロックします。
  3. APIセキュリティ ルールセット:APIレベルの攻撃、XML外部エンティティ攻撃、サーバーサイド リクエスト フォージェリ(SSRF)の悪用に対してセキュリティを確保し、XMLとJSONの両方のペイロードと一般的なWeb APIフレームワークをサポートします。
  4. Common Vulnerability and Exposures(CVE)対策ルールセット:Apache、Java、MySQL、WordPressなどの一般的なシステムで発見される、注目度の高いCVEに対して防御します。

これらのルールセットは、F5のセキュリティ スペシャリストによって作成および管理され、定期的に更新されるため、お客様はAWS WAFユーザーを介入させることなく、巧妙化する脅威からアプリケーションを保護できます。ルールが新規または既存のAWS WAFインスタンス、AWSアプリケーション ロード バランサ、AWS CloudFrontのいずれに適用されるかに関わらず、F5のルールセットのいずれも、数回クリックするだけでAWS WAFコンソールから数分で適用できます。

当社のルールセットの詳細は、それぞれのAWS Marketplaceのリストで確認できます。

お使いのAWS WAFで当社のルールのいずれかを試すことを検討しており、質問がある場合やサポートが必要な場合は、F5 DevCentralコミュニティ サイトにサインインして質問してください。テクニカル エキスパートや優秀なコミュニティ メンバーがお客様をお手伝いいたします。以下のサポート リソースで詳細を確認したり、F5の販売担当員に連絡して詳細なサポートを受けたりすることもできます。

 

その他のリソース: