BLOG

WAFだけではないWebアプリとAPIの保護を含む最新セキュリティF5 WAAPの長崎県立大での紹介活動

Akira Suzuki サムネール
Akira Suzuki
Published June 29, 2022

F5は、今年2022年2月にセキュリティ、マルチクラウド接続、エッジベースコンピューティングのソリューションをクラウド上で一元的に提供するSaaSプラットフォーム「F5 Distributed Cloud Services」を発表し、そのDistributed Cloud Services上のサービスの第1弾として、F5のセキュリティ技術を単一のSaaSサービスへ統合した「F5 Distributed Cloud WAAP(Web Application and API Protection)(以下、WAAP)」サービスの提供を開始しました。

既存のお客様への紹介はもちろん、外部イベントでの登壇やWebinarなど、広く知っていただくため、F5の提供する新SaaSサービスWAAPのプロモーションに力をいれています。
また7月からは、実際に画面を見ていただきながら実践いただける、F5 Distributed Cloud Services (以下、XC Services)のハンズオン・ウェビナー(オンライン)の開催も予定しています。

さらに、業界技術の発展ならびに地域貢献など、セキュリティ技術、ネットワーク技術の提供や提案でも、常に何かお手伝いできることがないか、会社全体としても積極的に取り組んでおり、JANOG(日本ネットワーク・オペレーターズ・グループ)のコミュニティイベントでも実行委員会メンバーとしてプログラムアドバイザーやチェアなど、積極的に活動に参加させていただいています。

今回その活動の中で、JANOGのコアメンバーでもあり、ともにコミッティメンバーとしても日頃より有意義な情報交換をさせていただいている長崎県立大学(以下、長県大) 情報システム学部 情報セキュリティ学科 岡田 雅之教授より、JANOG49@鹿児島のF5ブースで出展していたWAAPソリューションをご覧いただき、従来のWAFを超えるWAAPでのセキュリティ対策について、ぜひ最新の情報セキュリティを学ぶ研究室のゼミにて、その現状と最新トレンドを話してほしいとお声がけいただき、講演が実現しました。

WAFだけではないWebアプリケーションとAPIの保護を含むF5 WAAPと最新セキュリティトレンドの紹介活動

WAFだけではないWebアプリケーションとAPIの保護を含むF5 WAAPと最新セキュリティトレンドの紹介活動

6月15日に訪問しましたが、同日から長県大としての対面授業が開始した日時でした。
当日の授業の様子では、大学へ来る方、リモートでの参加の方が半々の様子でした。

今回のWAAP紹介は、岡田研究室の大学4年生〜修士の方に参加いただきました。
説明した内容としては、下記の通りです。

・昨今のセキュリティインシデント「Log4j」について
・「Log4j」を防ぐ手立てとして、どう言った手法があったのか
・どんな機能があればセキュリティリスクを減らせるか
・分散型アプリケーションの形態で、広範囲にセキュリティを提供できる仕組み(WAAP)
・Demo: アプリケーションへの実際の攻撃(弊社準備試験サイトへの攻撃デモ)
・ログ、メトリクスの管理、可視化の重要性について

昨今のセキュリティインシデント「Log4j」については、なぜその内容が騒がれたのか理由や背景を説明することで対応の大変さや難しさを共感いただき、メーカ側、運用者側、会社側の目線でどのような対応、対策が必要だったのかを交えてお話しし、具体的なイメージを捉えてもらいました。 またDemoでは、実際のアプリケーションへの攻撃となるので、通常、ユーザが提供しているサービスや本番環境のサイトへの攻撃はできないので、とても興味をもっていただき、今回は攻撃パターン「SQL injection」を利用して、Demo用で準備したサイトに設定したWAF(Web Application Firewall)ポリシーにより、きちんと防御されるかのデモを行いました。

その際、岡田教授も議論に加わり、攻撃パターンの解析、なぜSQL injectionの攻撃として成り立つのか、動いているアプリケーションにどんな悪影響を及ぼすかを詳細に説明していただき、攻撃の危険性や対策について重要性を感じてもらいました。

 

WAFだけではないWebアプリケーションとAPIの保護を含むF5 WAAPと最新セキュリティトレンドの紹介活動

 

WAFだけではないWebアプリケーションとAPIの保護を含むF5 WAAPと最新セキュリティトレンドの紹介活動

 

今回のWAAP紹介を通して、学生の中には、実際に触ってみたいとの声もあり、どう設定したらできるのかなど好奇心、探究心を持っていただくことができました。
また、参加いただいた学生の中には、企業インターンを経験している方がおり、知識や経験を既に兼ね揃えている強者もいらっしゃいました。

F5としては、セキュリティ以外にもロードバランサー(BIG-IP)という主力製品もありますので、こちらについても学生の中で、「データセンター内でF5のマークが光ってる製品をみました!」と言った声もあり、弊社製品がデータセンターなど様々なユーザ環境で使われている機器であることを意識付けできた大変貴重な、良い機会となりました。

後日岡田教授より、「大変ためになるお話をありがとうございました。学生の意欲向上にもつながり、F5 Networksの製品についても研究対象にしたい」との意向をいただきました。

 

WAFだけではないWebアプリケーションとAPIの保護を含むF5 WAAPと最新セキュリティトレンドの紹介活動

WAFだけではないWebアプリケーションとAPIの保護を含むF5 WAAPと最新セキュリティトレンドの紹介活動

WAFだけではないWebアプリケーションとAPIの保護を含むF5 WAAPと最新セキュリティトレンドの紹介活動

WAFだけではないWebアプリケーションとAPIの保護を含むF5 WAAPと最新セキュリティトレンドの紹介活動

また、学生向けのWAAPの紹介以外にも、岡田教授から橋渡ししてもらい、長崎県の振興財団の方とお話しさせていただく機会もいただけました。
F5の概要説明からどう長崎県内で展開できるかの話や現状の長崎県の状況や未来の展望の話をいただき、長崎県庁主催の現地ユーザ向けのセミナーへの参加を調整いただけないか調整を進めていきたいと思います。ぜひ、関係性を引き続き続けていけるよう、F5としても協力できることがあれば全力でサポートしていきたいと思います。