アプリケーション インフラストラクチャの保護

アプリケーション インフラストラクチャの保護は、アプリケーションが依存するシステムを防御します。TLS、DNSおよびネットワークへの攻撃を防ぐことは、アプリケーションをいつでも安全に利用できるようにする上で重要なことです。

攻撃を受けた場合は+1 (206) 272-7969までお問い合わせください。

主な顧客導入事例

key with arrows

エンドツーエンド暗号化

lock icon

TLS/SSLの保護

magnifying glass

暗号化されたトラフィックの検査

prevent DNS hijacking

DNSハイジャックの防止

アプリケーション インフラストラクチャ攻撃

アプリケーションの各層を調べ、アプリケーション インフラストラクチャ攻撃の標的を探します。

アプリケーション サービス アプリケーション サービス

アプリケーション インフラストラクチャは、アプリケーションが依存するそのアプリケーション外にあるシステムのことです。アプリケーション インフラストラクチャに対する攻撃は、TLS、DNSおよびネットワーク層の弱点が狙われます。攻撃には、TLS/SSLの脆弱な実装の悪用、ユーザ トラフィックを迂回させるDNSスプーフィング、ネットワークへの中間者攻撃、またはこれら任意の層へのDDoS攻撃が含まれます。

Arrow

TLS

鍵開示

機密情報データの復号化および信頼性の確立に使用される鍵は、セキュリティ インフラストラクチャで最も価値のあるアセットです。認証情報と同様、鍵は、アプリケーションまたはネットワークだけでなく、保存または送信時の暗号化されたデータへのアクセスを提供します。鍵マテリアルはさまざまな方法で開示されます。たとえば、鍵マテリアルをホストするシステムへのアクセスを攻撃者が取得する、バックアップまたはセキュリティが不十分なデータ リポジトリの鍵が誤って「漏洩」する、あるいはHeartbleedなどのエクスプロイトが利用されるなどです。一般的に、高セキュリティ環境では、鍵が開示されないように特殊なハードウェア キー ストレージ(FIPS 140など)が使用されます。

プロトコルの悪用

プロトコルは、HTTPSまたは暗号化されたWebトラフィック用のポート443など、目的および使用について定義します。攻撃者は、従来のファイウォールを通過する可能性のある既知のプロトコルをコバート チャネルとして使用して、盗んだデータを転送、またはネットワーク内のマルウェアにコマンドを発行して、これらのプロトコルを悪用できます。暗号化されたトラフィックに使用されるポート(または非HTTPSトラフィックでの使用が想定されていないその他の任意のポート)に対して、攻撃者が非HTTPSトラフィックを送信することをプロトコルの悪用と呼びます。

証明書偽装

デジタル証明書(SSL証明書とも呼ばれます)は、Webサイトとそのユーザの間の暗号化された安全な通信を提供し、機密情報(ログイン認証情報やクレジット カード番号など)が改竄または盗まれるリスクを軽減します。証明書は、信頼できる認証局(CA)により組織に発行され、その組織のWebサイトのアイデンティティをユーザに証明します(証明書はパスポートや運転免許証のようなものです)。証明書偽装とは、攻撃者が悪意のあるWebサイトの偽のデジタル証明書を提供することです。これにより、何も知らないユーザは、悪意のあるWebサイトまたは偽のアプリケーションを信用してしまい、マルウェア感染、中間者攻撃または証明書盗難に対して脆弱になります。

セッション ハイジャック

攻撃者が認証セッションIDの取得または生成に成功した場合、これはセッション ハイジャックです。攻撃者は、窃取、総当たり攻撃またはリバース エンジニアリングにより取得したセッションIDをセッションが有効な状況で使用して、正規ユーザのWebアプリケーション セッションを乗っ取ります。

Arrow

DNS

DDoS

DNSフラッドとも呼ばれます。この種類の攻撃では、攻撃者は、特定のドメインのDNSサーバに大量のリクエストを送り付け過剰な負荷をかけます。攻撃が成功すると、アドレス ルックアップ プロセスが妨害され、ユーザはリクエストしたサイトに接続できなくなります。

DNSハイジャック

トラフィックを攻撃者の意図するWebサイトに強制的に送信させる攻撃です。この攻撃では、銀行のWebサイトに接続していると思っている、何も知らない被害者が、実際には偽の銀行のWebサイトに接続されます。ここで、被害者がログインしようとすると攻撃者にユーザ名とパスワードを盗まれます。通常、この攻撃者は、ユーザのシステムにマルウェアを感染させておき、DNS設定を変えて、ユーザのコンピュータを悪意あるDNSサーバに転送させます。

DNSキャッシュ ポイズニング

これは、攻撃者が偽造DNSエントリをDNSキャッシュにインジェクトする攻撃です。たとえば、ISPとその顧客により使用されるDNSキャッシュ サーバでは、偽のDNSエントリにより、共通ドメイン名が、攻撃者が指定したIPアドレスに解決されます。ユーザがこのIPアドレスに接続しようとすると、偽のWebサイトに接続されます。

DNSスプーフィング

DNSレコードを改竄しようとする攻撃です。この攻撃には、DNSスプーフィング、DNSサーバへの不正アクセス、DNSキャッシュ ポイゾニング攻撃、リクエストのシーケンス番号の推測、または中間者攻撃が関連することがあります。

Arrow

ネットワーク

DDoS

ほぼすべてのDDoS攻撃の目的は、さまざまな方法でサービスを妨害またはユーザが完全に利用できなくすることです。たとえば、処理能力を超えた大量のリクエストでシステムに過剰な負荷をかけます。ネットワーク レベルでは、これらの攻撃は、ネットワーク/境界ファイアウォール、ロード バランサまたはその他のネットワーク デバイスを妨害して、(特定のサーバ、Webサイトまたはアプリケーションではなく)ネットワーク全体を利用できなくします。

中間者攻撃

中間者攻撃では、攻撃者自身が、ネットワーク通信(通常はクライアントとWebアプリケーション間)に介入します。成功すると、攻撃者は、通信のフルアクセスを取得して、気付かれずに通信を変更できます。たとえば、攻撃者は、ユーザとその銀行Webサイト間の通信をハイジャックして、ユーザのログイン認証情報を盗んだり、被害者の銀行口座から攻撃者の口座に現金を送金したりできます。

プロトコルの悪用

プロトコルは、HTTPSまたは暗号化されたWebトラフィック用のポート443など、目的および使用について定義します。攻撃者は、従来のファイウォールを通過する可能性のある既知のプロトコルをコバート チャネルとして使用して、盗んだデータを転送、またはネットワーク内のマルウェアにコマンドを発行して、これらのプロトコルを悪用できます。暗号化されたトラフィックに使用されるポート(または非HTTPSトラフィックでの使用が想定されていないその他の任意のポート)に対して、攻撃者が非HTTPSトラフィックを送信することをプロトコルの悪用と呼びます。

盗聴

この攻撃では、攻撃者は、特殊なネットワーク監視ソフトウェア(スニファとも呼ばれます)を使用して、貴重な機密情報を盗むために、2者間(たとえば2つのホスト間またはクライアントとサーバ間)の通信を妨害および記録します。ワイヤレス ネットワーク環境では、この対策として、プロトコル スタックのできる限り下位の層で機能する強力な暗号化方法を使用します。

Arrow

見えないものは守れない

2018年の9月および10月に機能していたマルウェア サイトの68%は暗号化を利用していました。攻撃者は、これを利用して、悪意のあるペイロードを隠しています。そのため、SSL/TLSトラフィックを検査していない場合、組織は脆弱なままになります。ここでは、暗号化の課題を管理する方法について説明します。

アプリケーション インフラストラクチャ保護ソリューション

SSL/TLS Visibility

Gain SSL Visibility

SSL/TLS enables businesses to securely communicate with customers and partners. But attackers use this as a way to hide attacks and malware from security devices. Inspection devices like next-gen firewalls, IDS/IPS, and malware sandboxes don’t see into encrypted SSL/TLS traffic or suffer degraded performance when decrypting. 

SSL ORCHESTRATOR

SSL Orchestrator

Maximize infrastructure efficiency and security with policy-based decryption, encryption, and traffic steering through multiple inspection devices.

Learn more >

SSL/TLS Protocol

Protect SSL/TLS Protocol

Attackers are constantly looking for new ways to crack today’s methods of encrypting data-in-transit. Our solution provides for centralized management of your TLS configuration which enables better application performance and allows seamless flexibility in updating your TLS configurations as needed.

BIG-IP LOCAL TRAFFIC MANAGER

BIG-IP Local Traffic Manager

BIG-IP Local Traffic Manager (LTM) intelligently manages network traffic so applications are always fast, available, and secure.

Learn more >

SSL ORCHESTRATOR

SSL Orchestrator

Maximize infrastructure efficiency and security with policy-based decryption, encryption, and traffic steering through multiple inspection devices.

Learn more >

ADVANCED WAF

Advanced WAF

Protect your applications with behavioral analytics, proactive bot defense, and application-layer encryption of sensitive data.

Learn more >

DNS HIJACKING

Prevent DNS Hijacking

DNS hijacking attacks threaten the availability of your apps. They can even compromise the confidentiality and integrity of the data if customers are tricked into using a bogus application. With BIG-IP DNS, you can determine the authenticity of query responses, preventing DNS hijacking as well as cache poisoning.

BIG-IP DNS

BIG-IP DNS

Secure infrastructure at scale during high query volumes and DDoS attacks, and ensure apps are highly available between instances and across environments.

Learn more >

DNS DDOS ATTACKS

Block DNS DDoS Attacks

A DNS flood disables or degrades an app's ability to respond to legitimate traffic. These attacks can be difficult to distinguish from normal traffic because it often comes from several locations, querying for real records on the domain. BIG-IP DNS can stop these attacks by scaling up to process more requests per second when necessary.

BIG-IP DNS

BIG-IP DNS

Secure infrastructure at scale during high query volumes and DDoS attacks, and ensure apps are highly available between instances and across environments.

Learn more >

DNS TUNNELING

Detect DNS Tunneling

Many firewalls and IPS solutions do not address the more modern threats to DNS infrastructure, like DNS tunneling. Managing DNS attack vectors like DNS tunneling requires inspection of the entire DNS query for deeper markers of either good or bad behavior without disrupting service performance.

BIG-IP DNS

BIG-IP DNS

Secure infrastructure at scale during high query volumes and DDoS attacks, and ensure apps are highly available between instances and across environments.

Learn more >

ビデオ

前方秘匿性には何が必要か

関連記事

脅威インテリジェンス

DNSは今でもインターネットの弱点

SSLの可視化

究極のインライン検査アーキテクチャについて説明します。

F5 Labs

10年間の情報漏洩から得た教訓

顧客事例:MEDICAL DATA VISION

MDVは、パフォーマンスを犠牲にすることなく、SSLデータに埋め込まれた標的型脅威を検出および阻止しています

リソースとサポート

セキュリティ製品

「セキュリティ製品」ページでは、お客様のアプリケーション セキュリティのニーズに応えるF5の強力なポートフォリオを紹介しています。

購入前にお試し

対象製品をご確認の上、90日間無料で使えるトライアル版をご利用ください。

実用的な脅威インテリジェンス

サイバー攻撃は誰が、何を、いつ、なぜ、どのように仕掛けるか、また次のサイバー攻撃はどのような攻撃か分析する、実用的なアプリケーション脅威インテリジェンスです。