F5 NGINX ModSecurity WAF はサポート終了へ移行中

過去 5 年間、F5 NGINX は、OWASP ModSecurity Core Rule Set (CRS) を使用して標準クラスの脆弱性に対するサポートを備えた NGINX Plus 用の NGINX ModSecurity WAF モジュールをお客様に提供してきました。 ただし、ModSecurity WAF のサードパーティ サポートに関する最近の変更により、残念ながら、NGINX ModSecurity WAF は2024 年 3 月 31 日をもってサポート終了(EoL) となります。

私たちの決定は、ModSecurity を管理してきた組織であるTrustwave が最近発表した、 2024 年 7 月 1 日時点で以下の方針を発表したことに一部起因しています。

• ModSecurityオープンソースコードとWAFのサポートを停止する
• ModSecurityコードの保守責任をオープンソースコミュニティに返す
• 商業規則の提供は終了しました

さらに、OWASP ModSecurity Core Rule Set (CRS) プロジェクトは ModSecurity のサポートを継続する予定ですが、Trustwave によるサポートの変更に関するアクションと発表を考慮すると、ModSecurity プロジェクトの実行可能性に懸念があるため、 Coraza と呼ばれる新しい WAFに重点を移行しています。

NGINX ModSecurity WAF はオープンソースの ModSecurity v3 をベースとしており、NGINX ModSecurity WAF モジュールが NGINX Plus で正しく動作することを保証するサポートとテストによって支えられています。 ただし、当社は ModSecurity コード自体を保守しておらず、Trustwave からのサポート不足とオープンソースの ModSecurity プロジェクトへの貢献の減少により、NGINX Plus のお客様には、セキュリティと安定性の要件を満たさない製品が提供されることになります。

NGINX は2022 年 4 月 1 日に販売終了(EoS) となり、NGINX ModSecurity WAF の販売を停止しました。 有効なライセンスをお持ちのお客様は、サブスクリプションを更新して、EoL 日(2024 年 3 月 31 日)まで、NGINX ModSecurity WAF パッケージの更新を含む完全なサポートを受けることができます。 NGINX は、顧客に新しいソリューションへの移行に十分な時間を提供することを目標に、NGINX ModSecurity パッケージの更新を2024 年 3 月 31 日まで実施する予定です。 担当のアカウント マネージャーがお客様に直接連絡し、今後のアプリケーション セキュリティ ソリューションのニーズについてご相談させていただきます。 いつでもアカウントマネージャーに連絡を取りたい場合は、当社までご連絡ください。 2023年4月1日以降は更新はお受けできません。

オープンソースへのこだわりはNGINX DNAの重要な要素であり続ける

NGINX ModSecurity WAF 製品は EoL に移行しますが、当社はオープンソース コミュニティへの参加とサポートに引き続き尽力します。 NGINX は、テクノロジーの進歩と改善に尽力するオープンソース コミュニティ メンバーのコラボレーションとイノベーションを重視しています。 オープンソースは、コアとなる基礎セキュリティの幅広い利用を促進し、グローバルなアプリケーション インフラストラクチャの攻撃対象領域を減らすことで私たち全員に利益をもたらすと信じています。

これらの価値観に沿って、NGINX はNGINX Open SourceおよびNGINX Unitプロジェクトを引き続きリードしていきます。 当社はセキュリティへの取り組みに大きな誇りを持っていますが、同時に、日々の生活でますます依存度が高まっているテクノロジー基盤のセキュリティを確保するには、より幅広いチームが必要であることも認識しています。 そのため、当社は、OWASP Core Rule Set (CRS)、 Let's Encrypt、Open SSLプロジェクトのスポンサーシップなど、インターネットのセキュリティを直接強化する OSS プロジェクトをサポートできることを嬉しく思います。

デジタルトランスフォーメーションによってセキュリティのニーズは変わりましたか?

OWASP CRS による一般的なクラスの脆弱性からアプリを保護するため、または標準 WAF 実装で PCI DSS コンプライアンス要件に準拠するために、最初にオープン ソース ModSecurity WAF のサポート対象バージョンとして NGINX ModSecurity WAF を選択した可能性があります。 しかし、過去2年間、COVID-19パンデミックにより、企業と消費者の両方が商品やサービスのオンラインでの購入と消費に移行するにつれて、組織は需要に対応するためにデジタル変革を加速する必要に迫られました。

Web アプリケーションや API に対するサイバー攻撃が増加している今こそ、WAF に何が必要かを再評価し、ビジネスの成長を促進するために必要な、より包括的なレベルの保護、信頼性、パフォーマンスを実装する適切な時期かもしれません。 当社では、ビジネスに合わせて拡張できる代替セキュリティ ソリューションとして、 F5 NGINX App Protect WAF を提供しています。

NGINX App Protect WAF – 最新のアプリと API のための高度なセキュリティ

NGINX App Protect WAF にはいくつかの利点があります。

• NGINX App Protect WAF は、数十年にわたって何千もの企業顧客によって実証されてきた F5 の Advanced WAF エンジンをベースにしています。 他の F5 製品を導入すると、迅速なバグ修正やルール更新、長期的なロードマップへの影響など、セキュリティ ソリューション スイート全体に対する単一のサポート ポイントが得られます。 さらに、F5 ソリューション間で WAF ルールを簡単に移植できるため、インフラストラクチャ全体で一貫した保護を実現できます。
• デフォルトの ModSecurity ルールは、オープンソース コミュニティのメンバーによって作成および管理されており、一般的な脆弱性をカバーするように設計されています。 NGINX App Protect WAF ルールは、F5 Labs によって追跡された幅広い脆弱性と脅威のレポートに基づいています。 その結果、より豊富なルールセットが実現し、進化する脅威に対応するためのより強力なアプリケーション セキュリティ保護が実現します。
• ModSecurity ルールには正規表現の評価が含まれるため、有効にする追加のコントロールごとにパフォーマンスが直接低下し、優れたパフォーマンスと包括的な保護のどちらかを選択する必要があります。 NGINX App Protect WAF ルールはバイトコードに事前コンパイルされているため、有効にするルールの数に関係なく、高いパフォーマンスが得られます。
• NGINX App Protect WAF はプラットフォームに依存せず、フットプリントが小さく、リソース要件も低いため、クラウド展開に最適です。
• NGINX App Protect WAF は、「コードとしてのセキュリティ」の宣言型ポリシーと CI/CD ツール チェーンへの簡単な統合により、DevOps チームの要求を満たします。
• NGINX App Protect WAF は、Web アプリ、マイクロサービス、コンテナ、API に対して一貫したセキュリティ制御を提供します。

自動車タイヤベンダーのReifen.com が、オンライン パフォーマンスを改善し、社内外のセキュリティとコンプライアンスの標準を満たす必要があったときに、NGINX ModSecurity WAF ではなく NGINX App Protect WAF を選択した理由をご覧ください。 Reifen.com の e コマース コンサルタントである Sascha Petranka 氏は、次のように説明しています。「NGINX App Protect WAF の採用を決定したのは、最高のパフォーマンス、最高の長期的ソリューション、そして NGINX と F5 の専門知識の組み合わせを提供してくれたからです。」

最適なアプリセキュリティでビジネスを強化

NGINX App Protect WAF は、DevOps チームと SecOps チームの連携を強化しながら、組織がアプリケーションと API のセキュリティとパフォーマンスを向上させるのに役立ちます。 これは、収益に影響を与える攻撃、データの盗難、評判の失墜、規制違反から企業を保護できる軽量のセキュリティ ソリューションです。 NGINX App Protect WAF を実際に試用するには、 30 日間の無料トライアルを開始するか、弊社にお問い合わせの上、使用事例についてご相談ください。