F5 Distributed Cloud Services で実現する Web/APIアプリケーションの脆弱性検知と保護

F5は、2024年の9月に新サービスであるF5 Distributed Cloud Web App Scanningをリリースしました。このサービスは、Web/APIアプリケーションへの脆弱性診断を”簡単”に実現するクラウドサービスです。

具体的には、Web/APIアプリケーションのURLを入力するだけで、脆弱性診断テストが自動で実行され、レポートが作成されます。テストシナリオの作成などは一切不要です。所用時間はアプリケーションの作りにもよりますが、テストは数十分から数時間で完了します。自動化されているとはいえ、テストのカバレッジは非常に広く、例えば任意のユーザを２つまで指定して、それぞれの権限でのテストを同時に行うこともできます。また、エビデンスとしてテスト実行時の動画が録画されており、レポートの一部として確認することが可能です。

また、Web App Scanningのもう一つの機能として、企業のドメインで公開されているWeb/APIアプリケーションを自動的に検出し、使用しているIPアドレスやポート番号やサービス、ホストしている環境（パブリッククラウドやデータセンタのネットワーク情報）を一覧化するといったものがあります。組織のなかで運用されるWeb/APIアプリケーションは増加傾向にあり、システム管理者、セキュリティ管理者が把握してないものが公開されるリスクも高まっています。Web App Scanningのこの機能は、こうしたリスクに対処するASM(Attack Surface Management)の取り組みにも活用できます。

Web/APIアプリケーションの脆弱性診断を自動的に行うクラウドサービスは、他にも存在しますが、F5 Distributed Cloud Servicesでは、検出された脆弱性からWeb/APIアプリケーションを保護するWAAP(Web App and API Protection)も提供している点が特徴です。Web App Scanningで検出した脆弱性を、WAAPを使用した保護するといったワンストップでの運用が可能です。ライセンスも、Web App ScanningとWAAPはともに、Base PackageというF5 Distributed Cloud Servicesを利用するための基本ライセンスに含まれており、即座にこの２つのサービスを使い、「Webアプリケーションの脆弱性検知と保護」を開始することができます。

F5 Distributed Cloud Web App ScanningとF5 Distributed Cloud WAAPは、Web/APIのセキュリティを強化するための強力なツールです。脆弱性の検知と保護をワンストップで提供するこのサービスにより、より安心してアプリケーションを運用することができます。
 Web App Scanning、WAAPともに、PoCを実施いただくことが可能です。もし、ご興味を持っていただけましたら、ぜひ、当社までお問い合わせください。