BLOG

F5 年頭所感

Adam Judd サムネール
Adam Judd
Published January 05, 2023

F5(本社:米国ワシントン州、NASDAQ:FFIV)は本日、2023年の年頭にあたり、アジア太平洋・中国・日本担当シニア・バイスプレジデントのアダム・ジュッドより、以下に謹んで新年のご挨拶を申し上げます。

新年あけましておめでとうございます。

2022年は昨年度に続き新型コロナウイルス感染症によるパンデミックが継続し、オンラインでのサービスやビジネスが我々の生活を支えた1年となりました。また半導体不足により製造業全体が影響を受け、製品の納期が長くなるなど、IT業界にとってはハードウェアからソフトウェアへの検討・移行が進んだ年でもありました。当社といたしましても、F5の25年の進化の節目となった2022年に、従来からあるハードウェアやソフトウェアに加え、新たにSaaS型サービスであるF5 Distributed Cloud Services(以下、F5 XC)を発表するなど、よりクラウドへシフトし、迅速にお客様を支援させて頂いたことをうれしく思います。

加えて、クラウドプラットフォームであるF5 XCを通じて、モダンアプリケーションに必要とされるセキュリティ(WAAP)、様々なサイトやクラウドを素早くセキュアに接続(MCN), クラウドからコンテナ、アプリ実行環境に対する俯瞰的な監視(AIP)など、数多くの新サービスを立ち上げました。DXを素早く立ち上げる支援をさせて頂き、世界中のお客様のビジネスや暮らしを更に安心・安全にできるよう、今後とも貢献してまいります。

2023年の見通し

2022年度は新型コロナウイルスの影響を受けたものの、部分的にオフィス回帰が進むなど、ハイブリッドなワークスタイルへの変化も見えてきた1年となりました。2023年においては、「オブザーバビリティ」、「ソフトウェア部品表」、「コンフィデンシャルコンピューティング」、「シャドウAPI」、「多要素認証を回避するサイバー攻撃の増加」の5つのテーマが重要なカギを握ると考えています。

[オブザーバビリティ]:サービスを起点とした俯瞰的観測と自動対応

私たちの暮らしを支えるアプリケーションはマルチクラウド・エッジといった分散環境へ配備されるようになり、その実装形態もコンテナ・マイクロサービスを利用した複数の機能コンポーネントを疎結合することで1つのサービスを構成する形に変遷しています。常に快適にサービスをお客様にご利用戴くためにはサービス全体の健康状態を把握。異常値があればアラートを上げ人手を介さずに自動的に処置を実施する機能が望ましいと言えます。より快適なサービスへユーザはシフトするという過去データ(F5 Curve of Convenience)から、「オブザーバビリティ」を有効活用したサービスがますます重要になります。
<参照URL>:https://www.f5.com/ja_jp/company/news/press-releases/f5-curve-of-convenience-2020-jp

【ソフトウェア部品表】:踏み台にされるソフトウェアライブラリ

ソフトウェアのアジャイル開発が進む中で、多くのアプリやサービスはオープンソースライブラリや外部APIを使用して構築されています。一方で利用されている全てのライブラリ、APIを把握している組織は多くありません。攻撃者はアプリ内のライブラリに注目し悪意のあるコードを挿入し内部に足掛かりを作成するなど、従来の境界防御であるファイアウォールやWAFでは防げないアプローチを取るようになってきました。サービスのゼロデイ対策を検討する中、ソフトウェアライブラリやAPIが正常な動作をしているのか、アプリ内部間通信を起点とした監視が今後ますます重要になってきます。

【コンフィデンシャルコンピューティング】:使用中データの暗号化

本年度はエッジ、Web3.0, メタバース等、様々な新テクノロジーの更なる利活用が期待されています。特にメタバースはビジネス、小売り、ヘルスケア等、次のフロンティアになると期待されているため、注目度が高いテクノロジーです。F5の調査では、既に10人に1人はメタバース上で活動しており、51%が5年以内にメタバースに移行すると予想しています。一方でセキュリティ懸念とデータプライバシーのリスクから新テクノロジー採用を見送っている企業もあります。データをどのように保護するのか?コンフィデンシャルコンピューティングは使用中のデータを保護することでセキュリティを強化する新しいテクノロジーです。企業がデータ処理ワークロードをメタバースやエッジに移行するにつれて、そのデータを保護するためにコンフィデンシャルコンピューティングをサポートする必要性が高まると予想されます。

【シャドウAPI】:予期せぬ侵害をもたらすシャドウAPI

アプリケーション・プログラミング・インターフェース(API)は、爆発的に普及しつつあります。モバイルアプリの融合、組織間のデータ共有、増え続けるアプリケーションの自動化など、APIに特化した開発者ツール「Postman」を通じて2021年に11億3000万件のリクエストが行われるようになりました。しかし、今日、多くの組織が自社のAPIを正確に把握しておらず、それが「シャドウAPI」と呼ばれる新たな脅威のベクトルにつながっています。成熟したAPI開発プロセスが存在する組織は、APIインベントリとして知られる資産目録を維持しており、そのインベントリには通常、利用可能なすべてのAPIエンドポイントに関する情報、許容できるパラメータの詳細、認証および認可情報などが含まれています。しかし、多くの組織にはAPIインベントリが存在しない、または、理想的なインベントリからはかけ離れたものしかないのが現状です。その結果、組織が可視化できないAPIが無防備な状態で存在してしまいます。これらのAPIはシャドウAPIと呼ばれ、組織がほとんど理解していない、あるいは意識していないAPIを介して、多くのアプリへ侵入されるリスクを孕んでいます。

【多要素認証を回避するサイバー攻撃の増加】

当社の公開したフィッシングと詐欺のレポートでは、攻撃者がリアルタイムのフィッシング・プロキシを使って多要素認証(MFA)システムを回避していることを示しました。2020年以降、セッションの再利用攻撃やMFAコードを盗むモバイルマルウェアなど、MFAを回避する技術が増加しています。特に、「MFAボミング」とも呼ばれる攻撃手法が増加しており、この手法は、あまりにも多くの認証要求を殺到させることで被害者を困らせ、被害者が偶然に、あるいはフラストレーションから通知要求を承認してしまうことを目的としています。従業員が攻撃の対象となることもあり、この種の攻撃は企業にとって直接的なリスクとなります。MFAなどの他のセキュリティ対策があるため、企業はしばしばパスワードの漏洩を見過ごしたり、必要なパスフレーズの種類を低く設定したりすることがあります。MFAに対応したフィッシングキットやMFAボミングの流行は、パスフレーズ、多重防衛、ゼロトラストアーキテクチャへの移行の重要性を改めて強調します。攻撃者は、タイポスクワッティング、アカウントテイクオーバー、MFAデバイススプーフィング、ソーシャルエンジニアリングなどのさまざまなテクニックを使ってMFAソリューションに適応しており、その結果、アプリケーションとネットワークの防御者は、次の対策を練らなければなりません。サイバーセキュリティの状況の多くは、防御者と攻撃者の間の軍拡競争であり、認証方式も例外ではありません。近い将来、FIDOアライアンスのパスキーソリューションは、ユーザの認証に使用される暗号鍵が訪問先のウェブサイトのアドレスに基づいているため、ソーシャルエンジニアリング攻撃を軽減する、おそらく最初の真に効果的な方法となることが期待されています。

インフレ率の高止まり、エネルギー価格の高騰、地政学リスクの高まりなど、私たちには依然として多くの課題が山積ではあるものの、2023年が皆様にとりまして、そして日本および世界にとりまして、より平和でより安定した成長を遂げる実り多き1年となりますことを心から祈念申し上げます。

F5は引き続き、世界中のお客様の生活の向上に貢献するパートナとして、進化を続けてまいります。本年も皆様の一層のご指導、ご支援を賜りますよう宜しくお願い申し上げます。

F5について

F5はより優れたデジタル世界の実現に取り組む、マルチクラウド・アプリケーション・サービスおよびセキュリティ会社です。F5は、世界最大かつ最先端の組織と提携し、オンプレ・クラウド・エッジなどの場所を問わず、あらゆるアプリとAPIの最適化およびセキュリティの確保を実現します。F5により、これらの組織は顧客に卓越したセキュアなデジタル体験を提供すると共に、常に新たな脅威に対応します。F5やパートナ企業、テクノロジに関する詳細は以下のリンクをご参照ください

報道関係者お問い合わせ先
F5広報代理
アシュトン・コンサルティング・リミテッド
電話:03-5425-7220 Eメール: F5@ashton.jp

免責事項
「F5」はアメリカ合衆国やその他の国のF5 Networks, Inc.のトレードマーク、サービスマーク、及びトレードネームです。記載されたその他すべての商品名や企業名はそれぞれの企業が所有権を有する商標である可能性があります。

将来の見通しに関する事項
本書はイベントや財政業績に関した将来予想に関する記述を含んでいる可能性があり、リスクや不確定要素による影響を伴うことがあります。そのような記述は「可能性がある」「していくだろう」「予想される」「計画する」「期待する」「信じる」「推定する」「予測する」「潜在的な」「続ける」もしくはそれらの否定形や比較級で記されています。このような記述は予想に過ぎず、証券取引委員会に提出する財務諸表や公的文書から確認される多くの要因に基づき、記述内の予想と実際の結果とは異なる可能性があります。