F5 BIG-IP ASM えふふぁいぶ びっぐあいぴー えーえすえむ
WAFWebアプリケーションファイアウォールSQLインジェクションクロスサイトスクリプティングF5 Networksアプリケーションセキュリティ
F5 BIG-IP ASMについて教えて
簡単に言うとこんな感じ!
Webサイトへの「不正な攻撃」を入口で全部チェックして弾いてくれる”門番”だよ!SQLインジェクションとかXSSみたいな危険なリクエストを、実際にサーバーに届く前にブロックしてくれる、企業向けの本格WAF(Webアプリケーションファイアウォール)なんだ!
F5 BIG-IP ASMとは
F5 BIG-IP ASM(Application Security Manager)は、米F5 Networks社が提供するWAF(Web Application Firewall)機能モジュールの名称です。BIG-IPというネットワーク機器プラットフォームの上で動作し、WebアプリケーションへのHTTP/HTTPSトラフィックをリアルタイムで検査・フィルタリングします。
Webアプリへの攻撃は年々巧妙化しており、通常のファイアウォールやIPSでは防ぎきれないアプリケーション層(L7)の脅威が増えています。BIG-IP ASMは、リクエストの中身(SQLの構文、スクリプト、パラメータの異常値など)まで深く解析することで、これらの脅威を検知・遮断します。
2023年以降、F5はBIG-IP ASMをF5 Advanced WAFへ統合・リブランディングする流れを進めていますが、多くの企業で既存のBIG-IP ASMが現役稼働しており、調達・保守の文脈では依然として「ASM」という呼称が広く使われています。
BIG-IP ASMの主な機能と守れる脅威
| 機能カテゴリ | 内容 |
|---|---|
| シグネチャベース検査 | 既知の攻撃パターン(SQLi・XSSなど)をシグネチャDBで照合・遮断 |
| ポジティブセキュリティモデル | 許可するリクエストのルールを定義し、それ以外をすべて拒否 |
| ネガティブセキュリティモデル | 既知の悪意あるパターンのみを拒否。導入初期に向く |
| ボット検知・緩和 | 自動スクレイピングや不正botを識別しブロック |
| レート制限・DDoS緩和 | 短時間に大量アクセスするIPを検知し制御 |
| SSL/TLS復号 | 暗号化通信を一度復号してから検査(SSLオフロード) |
| 学習機能(アダプティブ) | 正常トラフィックを自動学習し、ポリシーを自動チューニング |
守れる主な攻撃カテゴリ(OWASP Top 10対応)
┌─────────────────────────────────────────────┐
│ OWASP Top 10 主な対応攻撃 │
├────────────────────┬────────────────────────┤
│ SQLインジェクション │ DBへの不正命令挿入 │
│ XSS │ 悪意あるスクリプト埋込み │
│ CSRF │ 偽リクエスト送信 │
│ パストラバーサル │ ディレクトリ不正アクセス │
│ コマンドインジェク │ OSコマンド不正実行 │
│ セッションハイジャ │ セッションID詐取 │
└────────────────────┴────────────────────────┘覚え方:「ASMはアプリの盾(Ask Security Manager)」
「Webアプリに何か聞いてきたら、まずASMに聞け(Ask Security Manager)」と覚えると、役割がイメージしやすいですよ。
歴史と背景
- 1996年 — F5 Networks創業。当初はロードバランサー「BIG-IP」を提供
- 2004年頃 — BIG-IPプラットフォームにセキュリティモジュールを追加展開開始
- 2008年 — BIG-IP ASMとして製品ラインナップを明確化。WAF市場でのシェアを拡大
- 2014年 — SSL/TLS復号・再暗号化機能を強化。暗号化通信へのWAF対応が普及
- 2019年 — F5がNGINXを買収。クラウド・コンテナ環境への展開を加速
- 2021年 — F5 Advanced WAFへのリブランディングを開始。機械学習・行動分析を強化
- 2023年〜 — SaaS型WAF「F5 Distributed Cloud WAF」との統合が進み、オンプレ・クラウドの両軸で展開
BIG-IP ASMとWAF製品の比較
他の主要WAF製品とBIG-IP ASMを比較すると、以下のような特徴があります。
| 製品 | 形態 | 強み | 向いている場面 |
|---|---|---|---|
| F5 BIG-IP ASM | アプライアンス/仮想 | 高トラフィック処理・細かいポリシー制御 | 大規模企業・金融・通信 |
| AWS WAF | クラウド(SaaS) | AWSとの親和性・低コスト | AWS環境中心のシステム |
| Cloudflare WAF | クラウド(SaaS) | 導入容易・CDN統合 | スタートアップ・中小企業 |
| Imperva WAF | アプライアンス/クラウド | コンプライアンス対応が豊富 | 金融・医療・官公庁 |
| ModSecurity | OSS | 無償・カスタマイズ自由 | エンジニアリングリソースがある組織 |
BIG-IP ASMの配置イメージ(SVG図解)
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 7230 | HTTP/1.1 メッセージ構文(WAFが解析する対象プロトコル) |
| RFC 7540 | HTTP/2(BIG-IP ASMが対応する通信プロトコル) |
| RFC 8446 | TLS 1.3(SSL復号・再暗号化の基盤となる暗号化規格) |
関連用語
- WAF(Web Application Firewall) — Webアプリへの攻撃をL7で検知・遮断するファイアウォール
- SQLインジェクション — データベースへの不正命令を埋め込む代表的な攻撃手法
- XSS(クロスサイトスクリプティング) — Webページに悪意あるスクリプトを埋め込む攻撃
- OWASP Top 10 — Webアプリの脆弱性リスクをまとめた世界標準リスト
- ロードバランサー — 複数サーバーへ通信を振り分けるネットワーク機器(BIG-IPの本来の役割)
- SSL/TLSオフロード — 暗号化処理を専用機器に委任してサーバー負荷を下げる仕組み
- IPS(不正侵入防止システム) — ネットワーク上の不正通信をリアルタイムで遮断する仕組み
- DDoS攻撃 — 大量のリクエストでサーバーをダウンさせる攻撃