F5 は、SecureIQLab によりセキュリティ効率と運用効率の分野でトップ パフォーマーとして評価されました

企業が業務をクラウドに移行し続けるにつれて、この環境の固有の課題と進化する脅威の状況に対応する強力なアプリケーション セキュリティ制御を導入することがこれまで以上に重要になります。 脆弱性や侵害への対応の迅速性の欠如は、そのような課題の代表的な例です。

2024年F5アプリケーション戦略の現状レポートによると、調査対象者の50%が「影響を受けるすべてのシステム/ソフトウェアにパッチとアップデートを適用するには時間がかかりすぎ、ゼロデイ攻撃に迅速に対応するためのツールやプロセスが不足している」と感じていることがわかりました。 したがって、アプリの健全性を確保するという点において、「スピード」が Security-as-a-Service の最大の利点であることは驚くことではありません。

SecureIQLab は最近、 2024 年クラウド WAAP サイバーリスク検証レポートを公開し、 F5 Distributed Cloud Web Application and API Protection (WAAP) を含む、 Web アプリケーション ファイアウォールとAPI セキュリティの多くのベンダーを評価しました。

具体的には、セキュリティの有効性、運用効率、誤検知の回避をテストし、各テクノロジーベンダーの主な差別化要因を強調しました。 SecureIQLab は、 OWASP Top 10やMITRE ATT&CKなどの業界フレームワークからの 3500 種類の攻撃にアプリケーションとAPI を公開して、クラウドWAAPソリューションをテストしました。 彼らは、導入、管理、拡張性など、WAAP ソリューションの 80 の機能を検証し、AMTSO 標準に基づくサイバーセキュリティ検証の新しい標準を確立しました。

F5 分散クラウド Web アプリケーションおよび API 保護 (WAAP) は、 WAAP 脆弱性評価に満点を付けて合格した 7 つのベンダーの 1 つとして、SecureIQLab の「Secure by Design」評価を獲得しました。 セキュリティの有効性と運用効率の両方で高い評価を得ており、以下を達成しています。

• 完全なセキュリティ スコア 98.54% (上位 2 位にランクイン)
• 運用効率評価93%（上位3位にランクイン）
• WAF OWASP で 99.37 の最高スコア、誤検知ゼロ

評価される主要なセキュリティ領域のそれぞれについて、テスト基準に関する詳細な情報が提供されます。

API保護

API は、インジェクションの欠陥、認証の問題、不適切な入力検証や不十分なセキュリティ対策によるデータ漏洩のリスクなどの脆弱性を共有しているため、Web アプリケーションと同様の攻撃を受けやすくなります。 API セキュリティ テストでは、 2023 OWASP API セキュリティ トップ 10の 70 を超える攻撃を使用して、6 つの API プロトコルにわたる機密データへの不正アクセスを防止するF5 分散クラウド API セキュリティの有効性を評価しました。 セキュリティ有効性のパーセンテージに基づく評価は 1 ～ 5 の範囲で、さまざまなレベルの保護を示しており、その結果は WAAP 業界の API セキュリティ標準のベースラインとして機能します。 このレポートでは、F5 の OWASP API セキュリティ保護が平均よりも優れていることが強調されています。

ボット防御

F5 のドメイン エキスパートとデータ サイエンティストは、攻撃者のツール、行動および環境のシグナルを継続的に調査し、高度な ML を活用して攻撃者のツール変更を迅速に検出し、更新されたモデルを展開して攻撃をリアルタイムで軽減します。 F5 Distributed Cloud Bot Defense は、アジアと北米の地域から発信された 2 つの OWASP による攻撃を含む 5 種類のボット攻撃に対してテストされ、ボット攻撃スコアは 0% から 100% の範囲で、地理的位置は製品のセキュリティ有効性に影響を与えないことが明らかになりました。 F5 はボット保護で満点を獲得し、グループ平均よりも大幅に優れたパフォーマンスを発揮しました。

DDoS防御

有効な TCP 接続を使用したレイヤー 7 分散型サービス拒否 (DDoS) 攻撃とレイヤー 7 サービス拒否 (DoS) 攻撃は検出が困難です。F5 Distributed Cloud DDoS Mitigation を2 つのレイヤー 7 DDoS 攻撃と 5 つのレイヤー 7 DoS 攻撃に対してテストしたところ、57% から 100% のスコアが得られました。

運用の回復力

F5 Distributed Cloud WAAP は、目に見えない攻撃をブロックすることを目的として、3 つの固有の攻撃ベクトルを採用した 103 の回復力テスト ケースに対する運用回復力テストも実施しました。ブロックされた攻撃の合計数の割合を表す回復力スコアは 54.9% から 99.3% の範囲で、さまざまな攻撃のバリエーションに耐え、吸収する能力があることを示しています。 F5 は 99.3% のブロック率を獲得して最高得点を獲得し、平均よりも著しく優れたパフォーマンスを発揮しました。

本質的なセキュリティ

SecureIQLab は、クラウド WAAP 製品のセキュリティを評価し、保護された環境の攻撃対象領域が拡大しないこと、およびその権限が悪用されないことを確認しました。 F5 Distributed Cloud WAAP は 11 種類の脆弱性評価手法に対してテストを受け、12 種類の WAAP ソリューションのうち 7 種類 (F5 を含む) が WAAP 脆弱性評価で 100% という完璧なスコアを達成しました。 WAAP 脆弱性評価スコア 100% を獲得したことにより、SecureIQLab は F5 を「設計によるセキュリティ」と評価しました。

業務効率

運用効率は、WAAP ソリューションを効果的に導入および管理し、リソースの割り当てと運用コストを最小限に抑えるために非常に重要です。 SecureIQLab は、さまざまな領域で WAF と API セキュリティの運用効率を検証し、機能に基づくスコアリング システムを使用して各カテゴリの包括的な評価を提供し、ビジネス ワークフローを中断することなくセキュリティを最適化するソリューションを選択できるように組織を支援します。 SecureIQLab は、F5 が API 運用において平均以上の運用効率を発揮し、7 つのカテゴリのうち 2 つで満点を獲得したことを強調しています。

誤検知を避ける

WAAP ソリューションは、業務運営を妨害する可能性のある誤検知を回避するために、正当なビジネス トランザクションと悪意のあるアクティビティを効果的に区別する必要があります。 F5 の AI/ML ベースの悪意のあるユーザー検出は、動作とシグネチャベースの属性に基づいて、潜在的な脅威に対する動的なリスク評価とスコアリングを提供します。 通常のユーザー動作をシミュレートした 6,500 件を超える誤検知ケースのテストを通じて、F5 Distributed Cloud WAAP は、安全なトラフィックと脅威を正確に区別する能力が評価され、誤検知回避スコアが高いほど、運用効率への影響が少ないことが示されました。