BLOG

日本のお客様がF5の次世代型WAFへ乗り換えた理由

Tomonori Takada サムネール
Tomonori Takada
Published March 09, 2023
  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share via AddThis

2022年にF5は、セキュリティとマルチクラウドに特化した自社クラウドサービスであるF5 Distributed Cloud Services(以下、F5 XC)をリリースしました。この中でも、次世代型WAFであるWAAP(Web Application API Protection)を活用いただく日本のお客様が増えてきており、今回はこれらのお客様で採用いただくにいたったポイントなどをご紹介したいと思います。

目次

お客様の課題

 1.お客様が通信の状況が把握できない

 2.お客様で行える設定が制限されている

お客様が評価されているその他のポイント

導入方法

まとめ

 

お客様の課題

F5 XC WAAPは、基本的なWAF機能に加え、DDoS対策、API Security、Bot対策を包含したサービスです。F5 XC WAAPをご採用いただいたお客様の多くは、それまでに他社様のWAFサービスを利用されていました。その際、お客様が課題と感じられていた点には、以下のようなものがあります。

1.お客様が通信の状況が把握できない
2.お客様自身で行える設定が制限されている

1.お客様が通信の状況が把握できない

こちらのお客様は、他社のWAFサービスを利用している際に通信断が発生する事象に遭遇されていました。利用されていたサービスの管理画面では、原因を調査するための情報が得られず、サポート窓口への問い合わせでも解決することはできませんでした。また、WAFの機能で通信をブロックした際に、「どの通信をなぜブロックしたのか?」という情報を把握する術がないため、運用がブラックボックス化している点を課題と感じられていました。

F5 XC WAAPでは、ポータル画面で通信状況が可視化されます。オリジンサーバの状態(Origin Servers)はもちろんのこと、クライアント>F5 XC WAAP>オリジンサーバ>アプリケーションまでのレイテンシ(End to end Latency)などの値も表示がされますので、通信状態をリアルタイムで把握できる点を評価いただいています。(図1)

図1 F5 XC WAAPのパフォーマンスモニタリング画面

また、WAF機能によるブロックについても、「どの通信をなぜブロックしたのか?」をログで確認いただくことが可能ですし、該当のリクエスト通信の中身(リクエストヘッダ等)も確認いただくことが可能です。(図2)

図2 Security Event(ブロッキングログ)の抜粋

2.お客様で行える設定が制限されている

このお客様が利用されていたWAFサービスでは、提供されている管理画面で設定できる項目が制限されており、それ以外の設定はサポート窓口に依頼する必要があったそうです。このため、今現在の設定内容が把握できないため、トラブルシューティングの際などに、どの設定パラメータが影響しているのか、調査が難航する点を課題と感じられていました。

F5 XC WAAPのすべての設定は、管理ポータルやAPIを通じてお客様にて確認、設定が可能です。すぐに使いはじめることができるように、デフォルト設定が定義されています(図3)が、

図3 WAFポリシーのデフォルト設定

以下のように、デフォルト設定の中身を確認することができ、また、設定をカスタマイズすることも可能です。(図4)

図4 WAFポリシーのカスタマイズ画面

お客様が評価されているその他のポイント

この他に採用いただいたお客様にいただいているポイントとして、ライセンス体系が挙げられます。クラウド型WAFサービスの多くは、ネットワークの使用帯域量で課金が行われますが、F5 WAAPではネットワーク帯域量での課金は行いません。Base Package と 呼ばれる基本利用料に加えて、クラウドに配置するロードバランサー(リバースプロキシ)数への課金のみで、基本的なWAF機能をお使いいただくことが可能です。Base Packageには、予め1台分のロードバランサーのライセンスが含まれています。また、1つのロードバランサーには複数のFQDNを収容することができますので、構成によっては、Base Packageのみで複数のサイトを保護することも可能です。

Base Packageには、WAFサービス以外にも、L3/L4DDoS対策、権威DNSやGSLBサービス、また昨今話題となっているWebスキミング(フォームジャッキング)対策サービスなども含まれていますので、WAFだけでなく、Webアプリケーションを保護するためのインフラとセキュリティサービスを一式、揃えることが可能となっています。(図5)

図5 Base Packegeに含まれるWAF以外の機能例(2023年2月時点)

導入方法

F5 XC WAAPは、一般的なクラウド型WAFと同様に、オリジンサーバの前段に配置し、簡単に導入することができます。F5 XC WAAPにてエンドポイント用のFQDNもしくはIPアドレスが払い出されますので、そちらをDNSにてお客様サイトのFQDNに紐づけていただくことで、クライアントからのトラフィックがF5 XC WAAPを経由するようになります。DNSは、もちろんお客様のDNSサーバを利用いただくこともできますし、先述したF5 XCの権威DNS機能を使っていただくこともできます。

図6 F5 XC WAAPの導入イメージ(F5クラウド設備を利用する場合)

また、F5のクラウド設備でなく、お客様サイト内でWAAP機能を動作させたいという場合にも対応可能です。この場合は、弊社が提供する仮想マシンイメージから生成した仮想マシン(F5XC Meshと呼ばれます)を、お客様のオンプレミス環境やパブリッククラウド上で稼働させ、そのうえで、F5XC WAAPを動作させます。管理については、当社のクラウドの管理ポータルで行うことができます。なお、この構成の場合は、F5のクラウド設備を利用する構成とライセンス体系が異なりますので、詳細は当社営業までお問い合わせください。

まとめ

F5 XC WAAPは日本のお客様にも採用いただく事例が増えてきています。機能や管理性に加えてコスト面でも、他社のクラウド型WAFサービスと比較して優位と感じていただけるポイントがあり、移行されるケースがあります。本記事でご紹介した内容と類似する課題をお持ちでしたら、是非、一度F5 XC WAAPをご検討いただければと思います。