Forresterの『2021年版アプリケーション セキュリティの状況レポート』によると、昨年のサイバー攻撃のうち39%がWebアプリケーションを標的としていたとのことですが、これには理由があります。Webアプリケーションは公開されているという性質上、その攻撃対象の広さや、コードの脆弱性が常に存在することから、保護が難しく、攻撃者が攻撃を成功させる可能性が高くなっています。Positive Technologiesの調査によると、侵入テストを行ったワークロードには、平均して22個の潜在的なセキュリティ脆弱性が含まれており、その5個に1個は深刻度が高いと判断されました。当然のことながら、この調査で発見された脆弱性は、図1に示すように、OWASP Top 10を構成する脆弱性が大半を占めていました。
AWSクラウド上でアプリケーションを実行する際、アプリケーション開発者は、ワークロードをできるだけ早く立ち上げて運用することを優先し、「ジョブ ゼロ」対策としてのアプリケーション セキュリティの実装の重要性を見落としてしまうことがあります。AWSは、アプリケーション セキュリティを見落としがちな傾向と、多くの企業が社内にセキュリティに関する専門知識を持たないことを考慮し、使いやすさと迅速な運用を目的とした独自のネイティブWeb Application Firewall(WAF)を開発しました。AWS WAFは簡単に導入できる一方で、リソースを保護するためにユーザーが設定したWebアクセス コントロール リスト(ACL)を必要とし、多様なワークロードのニーズに合わせて大幅にカスタマイズできるようになっています。しかし、WAFのカスタマイズには、特定のアプリケーションやドメインの知識に加えて、現在の脅威の状況をしっかりと把握する必要があるため、難しいプロセスとなる可能性があります。
そのため、AWSはF5を含むさまざまなセキュリティ ベンダーと提携して、AWS WAFインスタンスに適用できる多様なマネージド ルールセットを提供し、WebアプリケーションやAPIのさまざまな攻撃タイプを軽減できるようにレベルアップしています。AWS WAFをご利用のお客様がF5のカスタムWAFルールセットをWAFインスタンスに適用することで、AWSユーザーはシンプルさと使いやすさを維持しながら、さらに巧妙化した脅威を軽減できます。
F5は現在、4つのユニークなルールセットを提供しており、それぞれが異なる脅威タイプに対する保護を実現しています。
これらのルールセットは、F5のセキュリティ スペシャリストによって作成および管理され、定期的に更新されるため、お客様はAWS WAFユーザーを介入させることなく、巧妙化する脅威からアプリケーションを保護できます。ルールが新規または既存のAWS WAFインスタンス、AWSアプリケーション ロード バランサ、AWS CloudFrontのいずれに適用されるかに関わらず、F5のルールセットのいずれも、数回クリックするだけでAWS WAFコンソールから数分で適用できます。
当社のルールセットの詳細は、それぞれのAWS Marketplaceのリストで確認できます。
お使いのAWS WAFで当社のルールのいずれかを試すことを検討しており、質問がある場合やサポートが必要な場合は、F5 DevCentralコミュニティ サイトにサインインして質問してください。テクニカル エキスパートや優秀なコミュニティ メンバーがお客様をお手伝いいたします。以下のサポート リソースで詳細を確認したり、F5の販売担当員に連絡して詳細なサポートを受けたりすることもできます。