アプリケーション インフラストラクチャの保護

アプリケーション インフラストラクチャの保護は、アプリケーションが依存するシステムを防御します。TLS、DNSおよびネットワークへの攻撃を防ぐことは、アプリケーションをいつでも安全に利用できるようにする上で重要なことです。

攻撃を受けた場合は+1 (206) 272-7969までお問い合わせください。

主な顧客導入事例

key with arrows

エンドツーエンド暗号化

lock icon

TLS/SSLの保護

magnifying glass

暗号化されたトラフィックの検査

prevent DNS hijacking

DNSハイジャックの防止

アプリケーション インフラストラクチャ攻撃

アプリケーションの各層を調べ、アプリケーション インフラストラクチャ攻撃の標的を探します。

アプリケーション サービス アプリケーション サービス

アプリケーション インフラストラクチャは、アプリケーションが依存するそのアプリケーション外にあるシステムのことです。アプリケーション インフラストラクチャに対する攻撃は、TLS、DNSおよびネットワーク層の弱点が狙われます。攻撃には、TLS/SSLの脆弱な実装の悪用、ユーザ トラフィックを迂回させるDNSスプーフィング、ネットワークへの中間者攻撃、またはこれら任意の層へのDDoS攻撃が含まれます。

Arrow

TLS

鍵開示

機密情報データの復号化および信頼性の確立に使用される鍵は、セキュリティ インフラストラクチャで最も価値のあるアセットです。認証情報と同様、鍵は、アプリケーションまたはネットワークだけでなく、保存または送信時の暗号化されたデータへのアクセスを提供します。鍵マテリアルはさまざまな方法で開示されます。たとえば、鍵マテリアルをホストするシステムへのアクセスを攻撃者が取得する、バックアップまたはセキュリティが不十分なデータ リポジトリの鍵が誤って「漏洩」する、あるいはHeartbleedなどのエクスプロイトが利用されるなどです。一般的に、高セキュリティ環境では、鍵が開示されないように特殊なハードウェア キー ストレージ(FIPS 140など)が使用されます。

プロトコルの悪用

プロトコルは、HTTPSまたは暗号化されたWebトラフィック用のポート443など、目的および使用について定義します。攻撃者は、従来のファイウォールを通過する可能性のある既知のプロトコルをコバート チャネルとして使用して、盗んだデータを転送、またはネットワーク内のマルウェアにコマンドを発行して、これらのプロトコルを悪用できます。暗号化されたトラフィックに使用されるポート(または非HTTPSトラフィックでの使用が想定されていないその他の任意のポート)に対して、攻撃者が非HTTPSトラフィックを送信することをプロトコルの悪用と呼びます。

証明書偽装

デジタル証明書(SSL証明書とも呼ばれます)は、Webサイトとそのユーザの間の暗号化された安全な通信を提供し、機密情報(ログイン認証情報やクレジット カード番号など)が改竄または盗まれるリスクを軽減します。証明書は、信頼できる認証局(CA)により組織に発行され、その組織のWebサイトのアイデンティティをユーザに証明します(証明書はパスポートや運転免許証のようなものです)。証明書偽装とは、攻撃者が悪意のあるWebサイトの偽のデジタル証明書を提供することです。これにより、何も知らないユーザは、悪意のあるWebサイトまたは偽のアプリケーションを信用してしまい、マルウェア感染、中間者攻撃または証明書盗難に対して脆弱になります。

セッション ハイジャック

攻撃者が認証セッションIDの取得または生成に成功した場合、これはセッション ハイジャックです。攻撃者は、窃取、総当たり攻撃またはリバース エンジニアリングにより取得したセッションIDをセッションが有効な状況で使用して、正規ユーザのWebアプリケーション セッションを乗っ取ります。

Arrow

DNS

DDoS

DNSフラッドとも呼ばれます。この種類の攻撃では、攻撃者は、特定のドメインのDNSサーバに大量のリクエストを送り付け過剰な負荷をかけます。攻撃が成功すると、アドレス ルックアップ プロセスが妨害され、ユーザはリクエストしたサイトに接続できなくなります。

DNSハイジャック

トラフィックを攻撃者の意図するWebサイトに強制的に送信させる攻撃です。この攻撃では、銀行のWebサイトに接続していると思っている、何も知らない被害者が、実際には偽の銀行のWebサイトに接続されます。ここで、被害者がログインしようとすると攻撃者にユーザ名とパスワードを盗まれます。通常、この攻撃者は、ユーザのシステムにマルウェアを感染させておき、DNS設定を変えて、ユーザのコンピュータを悪意あるDNSサーバに転送させます。

DNSキャッシュ ポイズニング

これは、攻撃者が偽造DNSエントリをDNSキャッシュにインジェクトする攻撃です。たとえば、ISPとその顧客により使用されるDNSキャッシュ サーバでは、偽のDNSエントリにより、共通ドメイン名が、攻撃者が指定したIPアドレスに解決されます。ユーザがこのIPアドレスに接続しようとすると、偽のWebサイトに接続されます。

DNSスプーフィング

DNSレコードを改竄しようとする攻撃です。この攻撃には、DNSスプーフィング、DNSサーバへの不正アクセス、DNSキャッシュ ポイゾニング攻撃、リクエストのシーケンス番号の推測、または中間者攻撃が関連することがあります。

Arrow

ネットワーク

DDoS

ほぼすべてのDDoS攻撃の目的は、さまざまな方法でサービスを妨害またはユーザが完全に利用できなくすることです。たとえば、処理能力を超えた大量のリクエストでシステムに過剰な負荷をかけます。ネットワーク レベルでは、これらの攻撃は、ネットワーク/境界ファイアウォール、ロード バランサまたはその他のネットワーク デバイスを妨害して、(特定のサーバ、Webサイトまたはアプリケーションではなく)ネットワーク全体を利用できなくします。

中間者攻撃

中間者攻撃では、攻撃者自身が、ネットワーク通信(通常はクライアントとWebアプリケーション間)に介入します。成功すると、攻撃者は、通信のフルアクセスを取得して、気付かれずに通信を変更できます。たとえば、攻撃者は、ユーザとその銀行Webサイト間の通信をハイジャックして、ユーザのログイン認証情報を盗んだり、被害者の銀行口座から攻撃者の口座に現金を送金したりできます。

プロトコルの悪用

プロトコルは、HTTPSまたは暗号化されたWebトラフィック用のポート443など、目的および使用について定義します。攻撃者は、従来のファイウォールを通過する可能性のある既知のプロトコルをコバート チャネルとして使用して、盗んだデータを転送、またはネットワーク内のマルウェアにコマンドを発行して、これらのプロトコルを悪用できます。暗号化されたトラフィックに使用されるポート(または非HTTPSトラフィックでの使用が想定されていないその他の任意のポート)に対して、攻撃者が非HTTPSトラフィックを送信することをプロトコルの悪用と呼びます。

盗聴

この攻撃では、攻撃者は、特殊なネットワーク監視ソフトウェア(スニファとも呼ばれます)を使用して、貴重な機密情報を盗むために、2者間(たとえば2つのホスト間またはクライアントとサーバ間)の通信を妨害および記録します。ワイヤレス ネットワーク環境では、この対策として、プロトコル スタックのできる限り下位の層で機能する強力な暗号化方法を使用します。

Arrow

見えないものは守れない

2018年の9月および10月に機能していたマルウェア サイトの68%は暗号化を利用していました。攻撃者は、これを利用して、悪意のあるペイロードを隠しています。そのため、SSL/TLSトラフィックを検査していない場合、組織は脆弱なままになります。ここでは、暗号化の課題を管理する方法について説明します。

アプリケーション インフラストラクチャ保護ソリューション

暗号化されたトラフィックの検査

SSL/TLSにより、企業は、顧客またはパートナと安全に通信できます。しかし問題もあります。それは、SSL/TLSは、攻撃者がセキュリティ デバイスから攻撃およびマルウェアを隠すトンネルとしても利用できるということです。次世代ファイアウォール、IDS/IPSまたはマルウェア サンドボックスのような検査デバイスは、暗号化されたSSL/TLSトラフィックの内容を確認できない、または復号化するときにパフォーマンスが低下します。F5 SSL Orchestratorは、複雑なアーキテクチャに簡単に統合でき、復号化と再暗号化の単一点を提供して、適切なすべての検査デバイスにトラフィックを戦略的に送信します。

アプリケーション インフラストラクチャ保護製品

アプリケーション インフラストラクチャ保護製品

SSL Orchestrator >

ソリューションの管理

ソリューションの管理

アプリケーション インフラストラクチャ セキュリティ ソリューションの管理のサポートが必要な方のために、F5は、トレーニングの機会およびプロフェッショナル サービスを多数ご用意しています。

さらに詳しく >

セルフマネージド

アプリケーション インフラストラクチャ セキュリティを直接制御できるオンプレミス、データ センタ コロケーションまたはパブリック クラウド環境のためのソフトウェアまたはアプライアンスです。

ソリューションの導入

ソリューションの導入

F5のアプリケーション インフラストラクチャ保護ソリューションは、ソフトウェアおよびハードウェアの両方で利用できます。

F5ソリューションの導入のサポートが必要な方は以下をご覧ください。

さらに詳しく >

オンプレミス:アウトバウンド

アウトバンド リクエストをインラインまたはパッシブ モードで検査するか、あるいはICAPサーバに送信することで、内部ネットワークを保護します。アウトバンドSSLを復号化、誘導、再暗号化および終端する機能によりユーザおよび組織を守ります。

購入方法

購入方法

サブスクリプション

必要なインスタンスの数を指定して、メンテナンスおよびアップデートのサポートを含む1年、2年または3年単位で契約します。

永久ライセンス

必要なインスタンスの数を決めて、ライセンスを契約します。永久ライセンスは、製品ライフタイムを通して適用され、個々のサービス単位またはバンドルで利用できます。

エンタープライズ ライセンス契約(ELA)

1年、2年または3年契約で利用できるELAを利用することで、大規模な企業は、必要に応じて仮想インスタンスを柔軟にスピンアップまたはスピンダウンできます。製品メンテナンスおよびサポートも含まれます。

従量課金

Amazon Web Services(AWS)、Microsoft AzureまたはGoogle Cloud Platformを介して必要なサービスのインスタンスを購入して、利用料金を時間単位で支払います。

エンドツーエンド暗号化

ユーザおよびアプリケーション間のSSL/TLS接続の管理は、時間がかかり煩雑、かつ不十分であればセキュリティ リスクが生じます。F5は、エンドツーエンドの暗号化に使用される鍵、証明書および暗号の管理を一元化および簡素化するソリューションを提供します。これにより、クライアントからサーバに送られるすべてのデータを暗号化して転送中のデータをコスト効率良く保護できます。また、FIPS 140-2標準に準拠し、さらに、壊滅的な打撃を与える可能性があるDDoS攻撃に対応するまでに拡張できます。現在のソリューションを使用して、TLS終端、TLS暗号ポリシー実施またはTLSオフロードを実行できます。

アプリケーション インフラストラクチャ保護製品

アプリケーション インフラストラクチャ保護製品

BIG-IP Local Traffic Manager >

Advanced Web Application Firewall >

ソリューションの管理

ソリューションの管理

アプリケーション インフラストラクチャ セキュリティ ソリューションの管理のサポートが必要な方のために、F5は、トレーニングの機会およびプロフェッショナル サービスを多数ご用意しています。

さらに詳しく >

セルフマネージド

アプリケーション インフラストラクチャ セキュリティを直接制御できるオンプレミス、データ センタ コロケーションまたはパブリック クラウド環境のためのソフトウェアまたはアプライアンスです。

ソリューションの導入

ソリューションの導入

F5のアプリケーション インフラストラクチャ保護ソリューションは、ソフトウェアおよびハードウェアの両方で利用できます。

F5ソリューションの導入のサポートが必要な方は以下をご覧ください。

さらに詳しく >

オンプレミス:インバウンド

すべてのトラフィックに対してインラインに導入し、復号化(分析と修正)および再暗号化によりクリーンなトラフィックを適切に誘導しながら、潜在的なマルウェアをブロックします。また、SSL暗号ポリシー実施ツールを導入、またはSSLをオフロードしてサーバ負荷を軽減することもできます。

 

購入方法

購入方法

サブスクリプション

必要なインスタンスの数を指定して、メンテナンスおよびアップデートのサポートを含む1年、2年または3年単位で契約します。

永久

必要なインスタンスの数を決めて、ライセンスを契約します。永久ライセンスは、製品ライフタイムを通して適用され、個々のサービス単位またはバンドルで利用できます。

エンタープライズ ライセンス契約(ELA)

1年、2年または3年契約で利用できるELAを利用することで、大規模な企業は、必要に応じて仮想インスタンスを柔軟にスピンアップまたはスピンダウンできます。製品メンテナンスおよびサポートも含まれます。

従量課金

Amazon Web Services(AWS)、Microsoft AzureまたはGoogle Cloud Platformを介して必要なサービスのインスタンスを購入して、利用料金を時間単位で支払います。

SSL/TLSプロトコルを保護

攻撃者およびセキュリティ研究者は、転送中のデータを暗号化する現在の一般的な方法を打破する新たな方法を常に模索しています。通常、対象となるのは、プロトコル設計、暗号または基礎となるライブラリの欠陥です。F5のソリューションは、TLS設定の一元管理を提供することで、アプリケーション パフォーマンスを向上して、必要に応じてTLS設定を更新できるシームレスな柔軟性を実現します。

アプリケーション インフラストラクチャ保護製品

アプリケーション インフラストラクチャ保護製品

F5のアプリケーション インフラストラクチャ保護製品スイートは、包括的な保護を提供し、お客様の組織に有益な環境に簡単に適応します。

BIG-IP Local Traffic Manager >

BIG-IP Advanced Firewall Manager >

Advanced Web Application Firewall >
 

ソリューションの管理

ソリューションの管理

アプリケーション インフラストラクチャ セキュリティ ソリューションの管理のサポートが必要な方のために、F5は、トレーニングの機会およびプロフェッショナル サービスを多数ご用意しています。

さらに詳しく >

セルフマネージド

アプリケーション インフラストラクチャ セキュリティを直接制御できるオンプレミス、データ センタ コロケーションまたはパブリック クラウド環境のためのソフトウェアまたはアプライアンスです。

ソリューションの導入

ソリューションの導入

F5のアプリケーション インフラストラクチャ保護ソリューションは、ソフトウェアおよびハードウェアの両方で利用できます。

さらに詳しく >

オンプレミス:インバウンド

すべてのトラフィックに対してインラインに導入し、復号化(分析と修正)および再暗号化によりクリーンなトラフィックを適切に誘導しながら、潜在的なマルウェアをブロックします。また、SSL暗号ポリシー実施ツールを導入、またはSSLをオフロードしてサーバ負荷を軽減することもできます。

オンプレミス:アウトバウンド

アウトバンド リクエストをインラインまたはパッシブ モードで検査するか、あるいはICAPサーバに送信することで、内部ネットワークを保護します。アウトバンドSSLを復号化、誘導、再暗号化および終端する機能によりユーザおよび組織を守ります。

購入方法

購入方法

サブスクリプション

必要なインスタンスの数を指定して、メンテナンスおよびアップデートのサポートを含む1年、2年または3年単位で契約します。

永久

必要なインスタンスの数を決めて、ライセンスを契約します。永久ライセンスは、製品ライフタイムを通して適用され、個々のサービス単位またはバンドルで利用できます。

エンタープライズ ライセンス契約(ELA)

1年、2年または3年契約で利用できるELAを利用することで、大規模な企業は、必要に応じて仮想インスタンスを柔軟にスピンアップまたはスピンダウンできます。製品メンテナンスおよびサポートも含まれます。

従量課金

Amazon Web Services(AWS)、Microsoft AzureまたはGoogle Cloud Platformを介して必要なサービスのインスタンスを購入して、利用料金を時間単位で支払います。

DNSハイジャックの防止

DNSハイジャックは、アプリケーションの可用性を低下させる攻撃です。さらに、顧客が騙されて偽のアプリケーションが使用されると、データの機密性および完全性が損なわれます。F5のDNSセキュリティ ソリューションを使用すると、DNSクエリ応答をデジタルで署名および暗号化できます。これにより、リゾルバは、応答の真偽を判断して、DNSハイジャックおよびキャッシュ ポイゾニングを阻止できます。

アプリケーション インフラストラクチャ保護製品

アプリケーション インフラストラクチャ保護製品

BIG-IP DNS >

大量のクエリおよびDDoS攻撃中でもインフラストラクチャのハイパースケールおよびセキュリティを確保できるので、複数のインスタンス間でも、ハイブリッド環境上でもアプリケーションの高可用性を実現できます。

ソリューションの管理

ソリューションの管理

アプリケーション インフラストラクチャ セキュリティ ソリューションの管理のサポートが必要な方のために、F5は、トレーニングの機会およびプロフェッショナル サービスを多数ご用意しています。

さらに詳しく >

セルフマネージド

アプリケーション インフラストラクチャ セキュリティを直接制御できるオンプレミス、データ センタ コロケーションまたはパブリック クラウド環境のためのソフトウェアまたはアプライアンスです。

ソリューションの導入

ソリューションの導入

F5のアプリケーション インフラストラクチャ保護ソリューションは、ソフトウェアおよびハードウェアの両方で利用できます。

F5ソリューションの導入のサポートが必要な方は以下をご覧ください。

さらに詳しく >

オンプレミス:インバウンド

すべてのトラフィックに対してインラインに導入し、インバウンド トラフィック リクエストを検査して内部ネットワークを保護します。

購入方法

購入方法

サブスクリプション

必要なインスタンスの数を指定して、メンテナンスおよびアップデートのサポートを含む1年、2年または3年単位で契約します。

永久

必要なインスタンスの数を決めて、ライセンスを契約します。永久ライセンスは、製品ライフタイムを通して適用され、個々のサービス単位またはバンドルで利用できます。

エンタープライズ ライセンス契約(ELA)

1年、2年または3年契約で利用できるELAを利用することで、大規模な企業は、必要に応じて仮想インスタンスを柔軟にスピンアップまたはスピンダウンできます。製品メンテナンスおよびサポートも含まれます。

DNS DDOS攻撃の防止

リフレクションおよびアンプ攻撃などのDNSフラッド攻撃は、Webアプリケーションが正規のトラフィックに応答できないようにする、またはその能力を低下させます。これらの攻撃では、大量のトラフィックが複数の一意な場所から送られ、ドメインで実際のレコードのクエリが行われますが、これは正規のトラフィックが大量に発生する状況と似ているため、その区別は困難です。F5のDNS DDoSソリューションは、必要に応じて拡張することで1秒あたりの処理リクエストを増加してこれらの攻撃を停止できます。

アプリケーション インフラストラクチャ保護製品

アプリケーション インフラストラクチャ保護製品

BIG-IP DNS >

大量のクエリおよびDDoS攻撃中でもインフラストラクチャのハイパースケールおよびセキュリティを確保できるので、複数のインスタンス間でも、ハイブリッド環境上でもアプリケーションの高可用性を実現できます。

ソリューションの管理

ソリューションの管理

アプリケーション インフラストラクチャ セキュリティ ソリューションの管理のサポートが必要な方のために、F5は、トレーニングの機会およびプロフェッショナル サービスを多数ご用意しています。

さらに詳しく >

セルフマネージド

アプリケーション インフラストラクチャ セキュリティを直接制御できるオンプレミス、データ センタ コロケーションまたはパブリック クラウド環境のためのソフトウェアまたはアプライアンスです。

ソリューションの導入

ソリューションの導入

F5のアプリケーション インフラストラクチャ保護ソリューションは、ソフトウェアおよびハードウェアの両方で利用できます。

F5ソリューションの導入のサポートが必要な方は以下をご覧ください。

さらに詳しく >

オンプレミス:インバウンド

すべてのトラフィックに対してインラインに導入し、インバウンド トラフィック リクエストを検査して内部ネットワークを保護します。

 

購入方法

購入方法

サブスクリプション

必要なインスタンスの数を指定して、メンテナンスおよびアップデートのサポートを含む1年、2年または3年単位で契約します。

永久ライセンス

必要なインスタンスの数を決めて、ライセンスを契約します。永久ライセンスは、製品ライフタイムを通して適用され、個々のサービス単位またはバンドルで利用できます。

エンタープライズ ライセンス契約(ELA)

1年、2年または3年契約で利用できるELAを利用することで、大規模な企業は、必要に応じて仮想インスタンスを柔軟にスピンアップまたはスピンダウンできます。製品メンテナンスおよびサポートも含まれます。

DNSトンネリングの検知

多くのファイアウォールおよびIPSソリューションは、DNSトンネリングのような、DNSインフラストラクチャへの最新の脅威に対応していません。DNSトンネリングのようなDNS攻撃ベクトルを管理するには、サービス パフォーマンスを低下させることなく、DNSクエリ全体を検査して正常な行動か異常な行動か詳しく調べる必要があります。

アプリケーション インフラストラクチャ保護製品

アプリケーション インフラストラクチャ保護製品

BIG-IP DNS >

大量のクエリおよびDDoS攻撃中でもインフラストラクチャのハイパースケールおよびセキュリティを確保できるので、複数のインスタンス間でも、ハイブリッド環境上でもアプリケーションの高可用性を実現できます。

ソリューションの管理

ソリューションの管理

アプリケーション インフラストラクチャ セキュリティ ソリューションの管理のサポートが必要な方のために、F5は、トレーニングの機会およびプロフェッショナル サービスを多数ご用意しています。

さらに詳しく >

セルフマネージド

アプリケーション インフラストラクチャ セキュリティを直接制御できるオンプレミス、データ センタ コロケーションまたはパブリック クラウド環境のためのソフトウェアまたはアプライアンスです。

ソリューションの導入

ソリューションの導入

F5のアプリケーション インフラストラクチャ保護ソリューションは、ソフトウェアおよびハードウェアの両方で利用できます。

F5ソリューションの導入のサポートが必要な方は以下をご覧ください。

さらに詳しく >

オンプレミス:インバウンド

すべてのトラフィックに対してインラインに導入し、インバウンド トラフィック リクエストを検査して内部ネットワークを保護します。

 

購入方法

購入方法

サブスクリプション

必要なインスタンスの数を指定して、メンテナンスおよびアップデートのサポートを含む1年、2年または3年単位で契約します。

永久ライセンス

必要なデバイスまたはインスタンスの数を決めて、ライセンスを契約します。永久ライセンスは、製品ライフタイムを通して適用され、個々のサービス単位またはバンドルで利用できます。

エンタープライズ ライセンス契約(ELA)

1年、2年または3年契約で利用できるELAを利用することで、大規模な企業は、必要に応じて仮想インスタンスを柔軟にスピンアップまたはスピンダウンできます。製品メンテナンスおよびサポートも含まれます。

ビデオ

前方秘匿性には何が必要か

ビデオを見る(英語)

関連記事

脅威インテリジェンス

DNSは今でもインターネットの弱点

SSLの可視化

究極のインライン検査アーキテクチャについて説明します。

F5 Labs

10年間の情報漏洩から得た教訓

顧客事例:MEDICAL DATA VISION

MDVは、パフォーマンスを犠牲にすることなく、SSLデータに埋め込まれた標的型脅威を検出および阻止しています

事例を読む(英語)

リソースとサポート

セキュリティ製品

「セキュリティ製品」ページでは、お客様のアプリケーション セキュリティのニーズに応えるF5の強力なポートフォリオを紹介しています。

購入前にお試し

対象製品をご確認の上、90日間無料で使えるトライアル版をご利用ください。

実用的な脅威インテリジェンス

サイバー攻撃は誰が、何を、いつ、なぜ、どのように仕掛けるか、また次のサイバー攻撃はどのような攻撃か分析する、実用的なアプリケーション脅威インテリジェンスです。