F5のサイバーセキュリティソリューション
導入企業
PCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報のセキュリティを確保するための国際基準です。
この基準は、クレジットカード情報を扱う全ての企業に適用され、情報漏洩を防ぐための厳格な対策が求められます。
PCI DSS V4.0 への更新の背景
PCI DSSのバージョンは定期的に更新されており、最新版であるV4.0では、技術の進歩や新しい脅威への対応、セキュリティのベストプラクティスの改善が反映されています。V4.0への更新は、より柔軟性のあるコンプライアンス要件を提供し、最新のセキュリティ技術の導入を促進することを目的としています。
対象となる企業や業種
PCI DSSの対象となるのは、クレジットカード情報を「保存、処理、伝送」するすべての企業です。これには、小売業者、オンラインショップ、ホテル、レストラン、支払いゲートウェイの提供者など、幅広い業種が含まれます。また、これらの企業が利用するサービスプロバイダーも含まれます。
V4.0への対応期限
PCI DSS V4.0の公式発表は2022年3月に行われ、2024年3月31日までにはV3.2.1からV4.0への移行が完了している必要があります。この期間は、企業が新しい要件に準拠するための準備と実施を行うためのものです。
必要な対策
- リスク評価と対策計画の策定: 新しい基準に基づいてリスク評価を実施し、適切な対策計画を策定することが重要です。
- 技術的対策の強化: 暗号化技術の更新、不正アクセス防止システムの強化、マルチファクター認証の導入など、技術的なセキュリティ対策を見直し、強化する必要があります。
- ポリシーと手順の見直し: セキュリティポリシーと手順書を最新の基準に合わせて更新し、従業員への教育とトレーニングを実施することが求められます。
- 定期的な監査とレポートの作成: セキュリティ対策の有効性を定期的に監査し、必要に応じて改善を行うこと。また、コンプライアンスの状況を定期的にレポートすることが必要です。
これらの対策を適切に実施することで、企業はクレジットカード情報の安全を確保し、顧客からの信頼を維持することができます。
PCI DSS 4.0対応 ソリューションラインナップ
F5 Distributed Cloud WAFをはじめとした豊富なラインナップ。
要件、セキュリティ課題に応じて最適なソリューションをワンストップで。
| PCI DSS 4.0要件 | 製品名 | サービス概要 | 提供形態 | 詳細 |
|---|---|---|---|---|
| 6.4.1 6.4.2 11.6.1 |
Distributed Cloud WAF | WAF Client Side Defense Webスキミング対策 |
SaaS | セルフマネージSaaS型WAAPサービス。 PCI DSS4.0対応をサポートする、クラウドWAFサービス(6.4.1, 6.4.2)に加え、WebスキミングなどのClient side攻撃対策(11.6.1)も搭載。 また、標準でL3/L4、L7のDDoS対策機能、高機能Bot対策、APIセキュリティ機能を搭載。オプションにて、24時間365日SOCサービスも提供。 |
| 6.4.1 6.4.2 |
Advanced WAF | WAF | HWアプライアンス OR 仮想アプライアンス |
フルスペックWAF。 基本的なWAF機能に加え、Botシグネチャ、Threat Campaigns、Behavioral DoS Protection、クレデンシャルスタッフィング対策を提供可能。 高機能Bot対策サービス(Bot Defense STD/Advance)と連携可能標準でSSL終端機能を具備スクリプト(iRules)により、柔軟な独自パッチを作成可能。 |
| 6.4.1 6.4.2 |
NGINX | WAF | ソフトウェア | NGINX Plus上で動作可能な高性能WAFソフトウェアモジュール。 シグネチャ、ファイルタイプ、IP制限、プロトコルチェック、HTTPメソッド、Threat Campaigns、コンテナとして利用可能。 Mod Securityと比較して、20倍の性能。 |
| 8.3 8.4 8.5 |
BIG-IP Access Policy Manager |
認証許可 | SaaS | 認証認可ソリューション。 クライアントからの接続を終端(リバースプロキシ、SSL-VPN、Webポータル)し、認証機能を提供。 エンドポイントセキュリティ機能、MFA機能を提供。 |
| 5 | BIG-IP SSL Orchestrator |
セキュリティ機器支援 | SaaS | セキュリティ機器支援ソリューション。 SSL通信を高速に処理。柔軟なトラフィック制御により、各種セキュリティ機器で必要な通信の複合化/再暗号化を一手に実施。 マルウェアチェック等を支援。 |
クラウド、オンプレミス、エッジの各拠点でアプリケーションのセキュリティを一貫して確保するための負担や複雑さを軽減します。
製品の概要
次世代のSaaSベースのWeb Application Firewallで、シグネチャと行動ベースの脅威検知機能を提供し、アプリケーションがどこに導入されていても保護できます。
PCI DSS 4.0
要件:6.4.1,6.4.2
SaaS型 WAF
Synthetic Monitoring
Client-Side Defense
オプションでSOCサービスあり
2023年Trust Radius
ベスト・オブ・アワードで入賞
F5 Distributed Cloud WAFは、価格に見合った価値、最高の機能のセット、最高のパートナーとしての関係性、という3つのカテゴリで入賞いたしました。
私たちのソリューション、F5全体に対して多くのユーザーが高く評価していることを光栄に思います。
BIG-IP
Advanced WAF
ゼロデイ脆弱性、アプリケーション層DoS攻撃、脅威キャンペーン、アプリケーション乗っ取り、ボットなど、最も一般的な攻撃からアプリケーション、API、データを保護します。
BIG-IP Advanced WAF
サーバエージェントや専用のアプライアンスを用いることなく、ボットを検出するAdvanced WAF
PCI DSS 4.0
要件:6.4.1,6.4.2
HWアプライアンス
仮想アプライアンス
NGINX
App Protect
NGINXと連携して動作する軽量かつハイパフォーマンスなWAF。
ソフトウェアの特性から、コンテナ環境で動作させたい場合やKubernetesのイングレスにWAFを追加するケースで最適。
シームレスなNGINX統合により時間を節約
既存のNGINX Plusデータプレーン インスタンスに高度なアプリケーション セキュリティをすばやく簡単に統合できます。
WAFもしくはアプリケーションレベルのDoS防御として、DevOps環境でシームレスに機能する最新のアプリケーション セキュリティ ソリューションであり、
コードから顧客へのデリバリまで、セキュアなアプリケーションの実現に役立ちます。
PCI DSS 4.0
要件:6.4.1,6.4.2
導入事例
F5 Distributed Cloud WAFは、多くの企業様で導入実績があります。
ソリューション導入によってどのように課題を解決したのかご紹介いたします。
F5 のWAFソリューションが選ばれる理由
独自開発エンジンで優れた拡張性
BIG-IPで実績豊富な独自開発のWAFエンジンであり、オープンソースのWAFと比べ、誤検知が少なく、拡張性に優れておりアプリケーションに合わせて最適が可能です。
手厚いサポート
世界中に拠点を持っており、24時間365日のサポートが可能です。急なアクシデントが発生した場合でも、WAFのエキスパートがいつでも対応します。
AI・機械学習による
運用コスト削減
AI・機械学習が誤検知を削除します。これにより、運用のために自社のリソースを割く必要がなく、運用コストの削減が可能になります。
F5 のDistributed Cloud Serviceとは?
F5 Distributed Cloud WAFは、一つのプラットフォームに集約し使いやすいSaaS形式にすることで、
アプリケーション攻撃からDDoS攻撃まで、幅広いセキュリティ対策を可能にします。
多角的な攻撃の対策
コスト管理・運用の効率が向上
サポート対象のプラットフォーム
-
幅広いプラットフォームとクラウドプロバイダのサポート
-
サービス検出とサービス メッシュの統合
-
自動化、アラート、SIEMの統合
幅広いプラットフォームとクラウドプロバイダのサポート
Distributed Cloud Services は、あらゆるパブリック/プライベート クラウド上のすべてのプラットフォームで動作するアプリケーションに配信できます。VM、コンテナ、ベアメタル、またはサーバーレスで稼働しているアプリケーションを接続し、保護します。
サービス検出とサービス メッシュの統合
複数のサービス検出プロトコルを同時にサポート。Consul、Kubernetes、DNSはすぐに動作します。IstioやLinkerdのサービス メッシュは、Distributed Cloudサービスのイングレス/エグレス ゲートウェイと統合できます。
自動化、アラート、SIEMの統合
F5のネイティブTerraformプロバイダ、vesctl CLIツール、およびパブリックAPIは、アプリケーション チームの自動化のニーズに対応します。また、OpsgenieやSlackなどのアラート ツール、SplunkやDatadogなどのSIEMツールをサポートすることで、DevOpsチームやSecOpsチームの業務を簡素化します。
よくある質問
Q.PCI DSS v4.0の新要件対応に活用できるソリューションは、どのようなものがありますか?
A.F5では、WAFをはじめWebスキミング対策やSSLサーバ証明書レポートなど、PCI DSS v4.0の新要件の対応に活用できるソリューションを提供しております。ぜひ一度、お気軽にお問い合わせください。
Q. 新要件以外のPCI DSS4.0対応に活用できるソリューションはありますか?
A.F5では、マルウェアチェックに必要なSSL通信の復号化と再暗号化や、認証処理の強化等、PCI DSSの各種要件への対応にご活用いただける各種ソリューションを提供しております。ぜひ一度、お気軽にお問い合わせください。
Q.F5のWAFはクラウド型のみですか?
A.F5では、クラウド型WAF(F5 Distributed Cloud WAAP)以外にも、アプライアンス型(BIG-IP)、ソフトウェア型(NGINX)の計3つの形態のWAFを提供していますので、お客様のニーズに合わせて選択いただくことができます。
Q.Distributed cloud シリーズの契約期間に縛りはありますか。
A.最低契約期間は1年となりますが、必要に応じて本サービスをPoC環境でお試しいただくことが可能です。
Q.Distributed cloud シリーズは、どのくらいの企業規模向けの製品ですか。
A.まずはWebサーバ保護に必要な基本機能をベースパッケージとしてご提供し、お客様のご要件に応じてオプション機能を追加していただく提供形態のため、公開Webサーバをお持ちの全てのお客様に最適なメニューをご提案させていただきます。
Q.Distributed cloud シリーズの管理や保守について、導入後に相談することは可能ですか。
A.ソリューションを導入後、設定や不具合に関する窓口として、弊社サポートをご提供いたします。お客様のご要件に応じてSOCサービスなどの別オプションもご提案させていただきます。
Q.複数の攻撃に対応する場合はどうしたらよいですか?
A.Webアプリケーションを狙う攻撃は多角化しており、WAF機能のみではなく、APIセキュリティ、Bot対策、DDoS対策機能等を含めた検討を行う必要がありますが、F5 Distributed Cloud WAAPではワンパッケージで対応することが可能です。
Q.シミュレーションやトライアルは可能でしょうか?
A.無料のシミュレーションや45日間トライアルが利用いただけます。詳しくはお問い合わせください。
<NRIセキュア & F5ジャパン 共催セミナー>
PCI DSS v4.0準拠に向けたソリューション活用セミナー
~PCI DSS v4.0の注意ポイントと準拠ソリューションとしてのWebアプリケーション保護の対策をご紹介~
