お問い合わせ

資料ダウンロード

セキュリティネットワーク

アプリケーション開発者とWAF

先日、F5社のウェビナーを視聴している中で「アプリケーション開発者とWAF」という言葉を耳にしました。あまり聞き慣れない方もいらっしゃるかと思いますので、当社で取り扱っている「NGINX App Protect WAF」を交えてご説明します。

はじめに

東京エレクトロンデバイスでNGINXを担当しているJo Nishikawaです。
 
先日「アプリケーション開発者とWAF」という言葉を耳にしました。
インフラエンジニア目線だと両者は結びつきにくいのかもしれません。ですが
当社で扱っているNGINX App Protect WAFはその表現どおり開発エンジニアに身近なものだと思いましたので、まとめてみたいと思います。
 
 
 

「アプリケーション開発者とWAF」とは?

WAFというとネットワークの境界に配置して、ゲートウェイ型WAFとして活躍しているイメージが強いです。
 
「インフラエンジニアとWAF」であれば、アプライアンス型WAF(ゲートウェイ型WAF)が結びつくのですが「アプリケーション開発者とWAF」の場合はソフトウェア型WAF(ホスト型WAF)の方を指しているようでした。
 
以前、投稿したこちらの記事にWAFの対比表を載せております。
 
 

アプリケーション開発エンジニアのセキュリティレベル、意識向上にWAF?

F5社の調査の結果、アプリケーション開発の現場では近年、以下のようなことが求められているそうです。
 
・モダン(高速)な開発が求められている
・マイクロサービスへの変化
・後付けのセキュリティではなく、開発段階からセキュリティを導入する
・セキュアコーディングの導入
・シフトレフトが推し進められている
・アプリケーション開発エンジニアのセキュリティ意識底上げ
  etc…

 

ただ、上記のことがきちんと進んでいるアプリケーション開発チームは現状まだまだ少ないそうです。
いきなりセキュリティレベルを上げろと言われても具体的に何をしたらいいかわかりませんよね。

 

セキュリティは専門で担当している方がいることが多いですし、一朝一夕で身につくものではありません。

 

どうしたら、アプリケーション開発エンジニアがセキュリティを盛り込んで行けるのでしょうか。

 

ウェビナーを視聴する前は長い時間をかけて学習・トレーニングを繰り返すしかないのでは?と私も思っていました。
 

ツールとしてのWAF

一つの回答として以下のメッセージを聞きました。
 
「アプリケーションエンジニアがツールとしてWAFを利用する」

 

確かに、ソフトウェア型WAF(ホスト型WAF)であればアプリケーション開発環境に導入して利用してもらうことが可能です。

 

OWASP Top 10に挙げられるようなメジャーな脆弱性に関してはポリシーをアプリケーション開発者全員に配ってツールとしてのWAF設定に入れちゃえばいいということのようです。

 

引用元:https://owasp.org/Top10/ja/

 

 

Kubernetesやコンテナ環境でのアプリケーション開発

アプリケーション開発がかなりのスピード感を求められることや、マイクロサービス化が求めらているため、Kubernetes環境やコンテナ環境でのアプリケーション開発も増えてきているそうです。
 
そんな中、KubernetesのIngressとしてのWAFや各PodにWAFを入れることで以下のようなことへの実現がかなり近づくそうです。
 
・モダン(高速)な開発が求められている
・マイクロサービスへの変化
・後付けのセキュリティではなく、開発段階からセキュリティを導入する
・セキュアコーディングの導入
・シフトレフトが推し進められている
・アプリケーション開発エンジニアのセキュリティ意識底上げ
  etc…
 
普段からWAFをツールとして扱うことで徐々にアプリケーション開発エンジニアの方々もセキュリティが身近になり、意識も向上していくとのことでした。

 

 

NGINX App Protect WAFが大活躍?

「WAFをアプリケーション開発環境にいれてみよう!」、となったときに実際どんなWAF製品の導入を進めたらよいのでしょうか?

 

Kubernetes環境でIngressWAFとして使えたり、各Podにも導入できるソフトウェア型WAFがあれば・・・という現場には・・・

 

NGINX App Protect WAF であれば両方の用途で活躍できます!
 
引用元:https://www.nginx.co.jp/products/nginx-ingress-controller/https://owasp.org/Top10/ja/
 
おまけにアプリケーション開発エンジニアの方は、NGINXに慣れ親しんでいる方が多いので操作感を一から学ぶ必要はありません。

 

多数のWAF製品の中でも「アプリケーション開発者とWAF」を実現するためにはNGINX App Protect WAFがオススメということですね。

 

 

NGINX App Protect WAFはNGINX Plusにアドオンすることで機能が使えるようになる製品です。インフラエンジニアの領域以外でも活躍できることがわかりました。

 

私と同じチームのNagaokaさんが検証や紹介をしていますので詳しく知りたい方は、是非こちらの記事もご覧になってください。

 

NGINX WAFを試してみよう!
NGINX WAFを試してみよう!(セキュリティポリシーの設定)
 
また、本記事ではご紹介できませんでしたがDevSecOpsに関してもNGINX App Protect WAFは有効と紹介がありました。
当社でも紹介しているnaraiさんのブログ記事と私の動画がありますので、興味がありましたら是非こちらのコンテンツもご覧になってください。
 
 
DevOps と DevSecOps について調べてみた
 

 
また、質問やお問い合わせなどがございましたら、お気軽にご連絡いただければ幸いです。
 
お問い合わせ
 
今回は以上となります。
また別の記事でお会いしましょう!
Jo Nishikawa

この記事の投稿者Jo Nishikawa

東京エレクトロンデバイスでF5プロダクトのエンジニアをしています。
気づきや学んだことなどを発信していければと思います!

この記事をシェア

  • twitter
  • facebook

この記事に関連する製品・サービス

F5 | NGINX( エンジンエックス )

この記事に関連する記事

NGINX Controllerをインストールしてみた!

NGINX Management Suiteがリリースされました

NGINX PlusでJWT認証をやってみた!

NGINX Plus Ingress Controller を触ってみた

NGINX Plusを選択するポイントとは

NGINX WAFを試してみよう!

NGINX で IP アドレスによるアクセス制限を行う方法

NGINX WAFを試してみよう!(セキュリティポリシーの設定)

NGINXハンズオン(無料)参加者募集中!!

分かりやすく解説!DockerコンテナにNGINX Plusをデプロイする方法

TEDのSE監修・NGINX configの書き方入門書「NGINX Plus 基礎解説」をアップしました。

grasys×F5×TEDが徹底解析!
NGINX Plusの仕組みがよくわかる!

東京エレクトロンデバイス(TED)F5 NGINX始めました。

無料トライアルライセンスで OSSから NGINX Plusへの移行を検証してみよう

ModSecurity WAFのEoL(End-of-Life)について

DevOps と DevSecOps について調べてみた

そういえばWAFってなんだろう?

お問い合わせ

資料ダウンロード