F5 は新しい PCI DSS v4.0 要件への対応を支援します

PCI DSS v3.2.1 では、組織は、少なくとも年に 1 回、またはapplicationに大幅な変更があった後に、公開されている Webapplicationsを手動で保護するか、自動化されたapplication脆弱性セキュリティ評価ツールを使用して保護するかを選択できました。 または、公開されている Webapplicationの前に自動化ソリューションをインストールして、Web ベースの攻撃を継続的に検出して防止し、攻撃をブロックしたり、攻撃があった場合にアラートを生成するように構成することもできます。 しかし、PCI DSS v4.x では、組織は、Web ベースの攻撃を継続的に検出、防止し、アラートを生成するソリューションを一般向け Webapplicationsの前に導入する必要があります(PCI DSS v4.0 サブセクション 6.4.2)。

それがまさに Webapplicationファイアウォール (WAF) の機能です。 WAF は、公開されているapplicationsの前にインストールされ、applicationトラフィックをチェックして、Web ベースの攻撃を検出し、保護します。 WAF は、applicationとそのソフトウェア サプライ チェーン (コア コード、サードパーティ ライブラリ、ビルド ツール、および今日の複雑で高度なapplicationsを構成するその他のコード) の一般的な脆弱applicationsや未知の脆弱性を悪用する可能性のある攻撃を含む、アプリケーション層攻撃を防止します。 WAF は、実装や構成の欠陥を悪用しようとする攻撃や、支払い、資格情報、インストールされたapplicationsに対する自動攻撃からも保護します。

F5 はあらゆるapplicationと API をどこでも保護します。 当社の WAF ソリューションは、applicationがどこに存在するかに関係なく、あらゆるapplicationの前面に導入できます。 オンプレミス、データセンター、クラウドのいずれのapplicationsを保護するために WAF が必要な場合でも、F5 には、包括的なapplication層セキュリティと、エクスプロイトや攻撃からの保護を提供する WAF ソリューションがあります。 F5 WAF は、アプライアンス、ソフトウェア、またはセルフサービスまたはマネージド サービス経由のクラウドとして利用でき、コンテナ化されたapplicationsや Kubernetes などを保護します。

F5 製品は、レベル 1 PCI DSS サービス プロバイダーとして認定されています。 PCI SSC の定義によると、サービス プロバイダーとは、ブランド化された支払いカードやその他のフォーム ファクターを提供しないが、別の組織のカード所有者データや機密認証データを処理、保存、または送信する組織です。 F5 Distributed Cloud Servicesを通じて F5 などのカード所有者データや機密認証データのセキュリティを制御または影響を与えるサービスを提供する企業も、PCI DSS v4.0 のサービス プロバイダーとして分類されます。 F5 の製品機能は、お客様が PCI DSS 要件を満たすのに役立ちます。PCI SSC では、加盟店とは、商品やサービスの支払いとしてブランド化された参加支払いのロゴが付いた支払いカードを受け入れるすべてのエンティティと定義されています。

F5 分散クラウド サービスは、支払いカード データを保存、処理、または送信する組織向けに、PCI DSS v4.0 標準の多くのセクションとサブセクションに対応する多数のサービスを提供します。

F5 Distributed Cloud WAF は、クラウド、データ センター、エッジ ロケーションなど、あらゆる場所でアプリを保護します。 中間プロキシとして、Distributed Cloud WAF はapplicationのリクエストと応答を検査し、OWASP トップ 10 カテゴリ、脅威キャンペーン、悪意のあるユーザー、レイヤー 7 DDoS 脅威、ボット、自動攻撃など、さまざまなリスクをブロックして軽減します。 包括的で一貫性のあるセキュリティ制御とポリシーを通じて、Webapplicationへの攻撃と脆弱性を軽減し、簡単に構成、展開、管理、拡張できる観測性を実現します。 F5 Distributed Cloud WAF は、保護機能をアプリ開発プロセスにシンプルかつシームレスに統合し、より高速で安全なapplication配信およびリリース サイクルを実現します。 F5 Distributed Cloud WAF は、シグネチャと AI ベースの検出技術と自動シグネチャ チューニングを活用することで、高速でシンプルなapplication層セキュリティを最大限の効率で実現します。 分散クラウド サービス内の新しいAI アシスタントは、リアルタイムの分析情報、実用的な推奨事項、データ レポートの概要を備えた自然言語インターフェースを通じて、分散アプリと API のセキュリティを簡素化するのに役立ちます。

F5 NGINX App Protect は、分散アーキテクチャとハイブリッド環境全体で API と最新のapplicationsを一貫した保護で保護するように設計された軽量で高性能な WAF です。 プラットフォームに依存しない NGINX App Protect は、application開発プロセスにシームレスに統合され、レイヤー 7 のサービス拒否 (DoS) 攻撃やボットなどのapplication攻撃を検出して保護します。 強力で低レイテンシのアプリ セキュリティ ソリューションである NGINX App Protect を使用すると、Kubernetes クラスターとクラウドでアプリ セキュリティを拡張でき、コンピューティング コストを大幅に削減できます。 多層防御を実現し、アクティブなサイバー攻撃キャンペーンを軽減し、OWASP トップ 10 カテゴリの保護を上回ります。

F5 BIG-IP Advanced WAFは、F5 の主力 Webapplicationファイアウォールです。 受賞歴のあるAdvanced WAF の検出と軽減機能は、Distributed Cloud WAF と NGINX App Protect のエンジンとして機能します。 BIG-IP Advanced WAF は、動作分析、レイヤー 7 DoS 緩和、機密データのapplicationレイヤー暗号化、脅威インテリジェンス サービスを備え、分散ハイブリッド環境全体のapplicationsをさまざまなapplication攻撃から保護します。 BIG-IP Advanced WAF は、OWASP Top 10 にリストされている脅威からのセキュリティを迅速かつ簡単に確保する専用の動的ダッシュボードを提供します。 BIG-IP Advanced WAF には、一般的な WAF ユースケース向けのガイド付き構成と学習エンジンが含まれており、セキュリティ ポリシーのきめ細かいポリシー カスタマイズが可能です。 

さらに、F5 は PCI DSS v4.0 標準に適用可能なより多くの領域に対応できます。

• API は、業界や組織全体のほぼすべてのトランザクションの重要なコンポーネントです。 PCI DSS v4.0.1 では、カスタマイズされたカスタム ソフトウェアの一部として API を保護し、安全に保つことを目的としたいくつかの新しい要件が導入されています。 F5 分散クラウド API セキュリティは、これらの新しい要件の多くに対応し、一般的なソフトウェア攻撃や脆弱性を防止または軽減する API を保護する制御を提供します。 PCI DSS v4.0.1 の API セキュリティ要件の詳細については、Ian Dinno のブログ「PCI DSS 4.0.1 アップデート」をお読みください。 顧客決済プロセッサに必要な主要な新しい API セキュリティ アップグレードについては、2025 年初頭に追加の詳細を記載した新しいブログをご覧ください。
• F5 分散クラウド Web アプリケーション スキャンは、外部の攻撃対象領域を動的かつ継続的にスキャンし、公開されている Webapplicationsと API を明らかにします。 分散クラウド Web アプリ スキャンは、自動化された侵入テスト機能を通じて、ソフトウェア サプライ チェーンの奥深くにある脆弱性であっても、潜在的に悪用される可能性のある脆弱性を特定して報告します。 アプリや API を攻撃や悪用からより安全に保護するのに役立ちます。 分散クラウド Web アプリ スキャンは、PCI DSS v4.0 サブセクション 6.3.2 への対応にも役立ちます。
• F5 Distributed Cloud Mobile App Shield は、コンプライアンス違反、経済的損失、顧客離れ、評判の低下につながるマルウェア、ボット、データ漏洩、不正アクセス、中間者 (MiTM) 攻撃からモバイル アプリをシームレスに保護します。 Distributed Cloud Mobile App Shield は、比類のないランタイム保護と保存時保護を提供し、モバイル アプリを積極的に強化し、改ざんを防止し、悪質なボット、データ流出、API の不正使用をブロックします。
• PCI DSS v4.0 サブセクション 8.4.2 では、カード所有者データ環境 (CDE) へのすべてのアクセスに対して多要素認証 (MFA) を実装することが義務付けられています。CDE は、カード所有者データまたは機密認証データを保存、処理、または送信するシステム コンポーネント、またはそれらのシステムに無制限に接続するシステム コンポーネントで構成される場合があります。 F5 BIG-IP アクセス ポリシー マネージャ (BIG-IP APM) は、日時などのさまざまな要素に基づく権限に応じてapplicationsやデータへのアクセスを制限するゼロ トラストapplicationアクセスを実現します。 BIG-IP APM は、転送中のカード所有者データと機密認証データを保護できます。 また、ステップアップ認証も可能になり、定義されたユーザー (CDE にアクセスするユーザーやリモート ユーザーなど) は、異なる MFA 資格情報を含む、最初のアクセスに使用した認証資格情報とは異なるセットを入力する必要があります。
• IDS/IPS やマルウェア対策ソリューションなどの重要なセキュリティ管理システムの障害を検出し、迅速に対処するために、 F5 BIG-IP SSL Orchestratorがあります。 BIG-IP SSL Orchestrator は、暗号化されたトラフィックを復号化し、カスタマイズ可能な動的サービス チェーンを介して復号化されたトラフィックを既存のセキュリティ スタックに誘導することで、暗号化された脅威からの保護を提供します。 また、セキュリティ スタック内のソリューションへのトラフィックの負荷分散、セキュリティ スタック内のすべてのソリューションの健全性の監視、セキュリティ ソリューションの暗号の更新の管理も行えます。 さらに、セキュリティ ソリューションの 1 つがオフラインになった場合でも、BIG-IP SSL Orchestrator の動的サービス チェーンによって危険を迅速に軽減できるため、オフライン ソリューションをバイパスして、意図しないトラフィックのバイパスなどの悪影響を軽減できます。 また、セキュリティ ソリューションを交換する必要がある場合、BIG-IP SSL Orchestrator はセキュリティ サービスの変更と挿入を効率的に処理し、トラフィック フローを中断することなく、復号化されたトラフィックを検査用にシームレスに転送します。 BIG-IP SSL Orchestrator は、PCI DSS v4.0 サブセクション 10.7.2、10.7.3、および 11.5.1.1 への対応に役立ちます。