Web アプリケーションおよび API 保護 (WAAP) とは、Web アプリケーションとアプリケーション プログラミング インターフェイス (API) をさまざまなサイバー脅威から保護することに重点を置いた、包括的なセキュリティ技術とプラクティスのスイートを指します。Web アプリケーションと API は現代のビジネス オペレーションに不可欠なものとなっており、サイバー犯罪者の標的としての魅力を考慮すると、そのセキュリティは非常に重要です。
ローカル デバイスにインストールして初めて実行されるアプリケーションの時代から、私たちは長い道のりを歩んできました。クラウド コンピューティングの台頭、ネットワークの普及、インターネット速度の向上により、最新の Web アプリケーションへのアクセスは、ブラウザーに Web アドレスを入力するのと同じくらい簡単になりました。この用語は、脆弱な API と Web アプリを保護するために作成されたクラウドベースのサービスを表すために、Gartner の Adam Hils と Jeremy D’Hoinne によって造られました。
デジタルの世界では、ウェブアプリケーションやAPIはオンライン取引、通信、データ交換に欠かせないものとなっています。しかし、その重要性ゆえに、さまざまなサイバー攻撃に対して脆弱でもあります。 CDNetworks による 2023 年 Web アプリケーションと API 保護の現状レポート、脅威の状況は驚くべきレベルに達しています。レポートでは、セキュリティ プラットフォームが 4,515 億件の DDoS 攻撃 (前年比 26.05% 増) と 60 億件の Web アプリケーション攻撃 (2022 年から 4% 増) を阻止したことが明らかにされています。おそらく最も懸念されるのは、攻撃全体の 63% が API を具体的に標的にしていることです。ボット攻撃も急増しており、2,393 億件を超える攻撃が阻止され、前年比 46.63% という劇的な増加を記録しています。
上記の統計は、特に生成 AI、機械学習、自動化によって新しい攻撃手法の開発が加速する中で、サイバー脅威がますます巧妙化していることを強調しています。一般的な脅威には、マルウェア、クロスサイト スクリプティング (XSS)、敵対的ボット、ボリューム型分散サービス拒否 (DDoS) キャンペーンなどがあり、いずれも重大なリスクをもたらします。これらの攻撃は、データ侵害、サービス中断、アプリケーションの整合性の侵害につながり、評判の低下や経済的損失につながる可能性があります。
新しい機能や特徴により、攻撃者が攻撃を仕掛ける対象領域が拡大しています。アジャイル手法や DevOps プラクティスの導入により、開発、ソフトウェア更新、新機能のリリースのペースも急速に向上しています。
こうした開発の傾向により、従来の Web アプリケーション ファイアウォール (WAF) ではセキュリティ ニーズに対応できなくなっています。WAF は手動の調整と継続的なメンテナンスに依存しており、通常は Open Web Application Security Project (OWASP Top 10) にリストされている最も重大な脅威のトップ 10 のみを監視します。つまり、今日の開発者、アプリケーション セキュリティ チーム、DevOps には、Web アプリケーションの展開に合わせて拡張できるセキュリティを提供する、より優れたソリューションが必要です。
WAAP サービスは、従来のアプリケーション セキュリティ ソリューションよりも優れています。従来のソリューションでは、Web アプリケーションや API の保護に失敗することが多いためです。WAAP ソリューションがビジネスを保護する方法のいくつかを次に示します。
Web アプリケーションに対する脅威は常に進化しているため、シグネチャ ベースのソリューションを使用してこれらを検出しようとしても効果的ではありません。今日機能するものが翌月には機能しない可能性があり、たとえ機能したとしても、組織全体に拡張することは容易ではありません。 WAAP ソリューションは、継続的な自己学習が可能で、脅威環境の一歩先を行くのに役立ちます。
ファイアウォールのような従来のソリューションは、通常、使用中のポートまたはプロトコルに基づいてトラフィックを除外またはブロックすることで機能します。攻撃者はユーザーと同じ Web ポートとプロトコルを利用するため、これらは Web アプリケーションと Web API を標的とする攻撃に対しては機能しない可能性があります。これは、悪意のあるトラフィックを選択的にフィルタリングすることが非常に難しくなり、WAAP ソリューションによって提供されるより高度な検査機能が必要になることを意味します。
Web アプリケーションは、サイバー犯罪者が悪意のあるコンテンツを隠すために使用できる HTTP トラフィックを使用します。侵入検知および防止システム (IDS/IPS) は、ある程度のアプリケーション セキュリティを提供する可能性がありますが、これらの脅威を検出して Web アプリケーションを保護するには十分ではありません。対照的に、WAAP ソリューションは TLS 接続を検査するため、トラフィックに隠れているマルウェアや悪意のあるコンテンツを特定できます。今日のすべての Web トラフィックの半分以上が TLS 暗号化を使用しているため、これはビジネスにとって重要です。
WAAP ソリューションには、WAF などの従来のセキュリティ対策よりも優れた特定の機能が備わっています。
次世代 WAF は、動作分析や人工知能 (AI) などの独自の機能により、従来の WAF ソリューションよりも優れた保護を提供します。これらは既知の攻撃パターンや設定されたセキュリティ ルールによる手動調整に依存しないため、幅広い攻撃に対する保護が可能になります。
従来のセキュリティ ソリューションでは、多くの場合、正当なトラフィックと悪意のあるトラフィックを区別できませんが、WAAP ソリューションは、疑わしいトラフィックを分離してボット保護を提供しながら、安全なトラフィックを通過させて意図したとおりにアプリケーションに到達させることができます。
DDoS 攻撃は、アプリケーションを標的とする最も一般的な脅威の 1 つです。 WAAP ソリューションは、アプリケーション層での DDoS 攻撃からアプリケーション、API、およびマイクロサービスを保護します。このタイプの保護は、攻撃の量に合わせてスケールアップすることもできます。
レート制限は、アプリケーション レベルで不正行為を制限する 1 つの手法です。基本的に、ボットがアプリケーションへの総当りログインを試行する回数など、特定の期間内に誰かがアクションを繰り返すことができる頻度に上限を設けます。このようなアクティビティを制限することで、WAAP ソリューションの高度なレート制限機能がアプリケーションと API を保護し、パフォーマンスを維持します。
API、マイクロサービス、Web アプリケーションには個別のセキュリティ要件があり、個別の保護が必要です。 WAAP ソリューションは、それぞれにセキュリティを配置し、必要に応じてデータとコンテキストを認識する境界を使用することで、これを実現します。
サイバー犯罪者が機密データにアクセスする方法の 1 つは、以前に取得したデータ ダンプやパスワード リストから侵害された資格情報を使用することです。アカウント乗っ取り防止ツールは、認証 API またはアプリケーションの顧客向け認証プロセスを使用して不正アクセスを検出することで、これを防ぎます。
一部の WAAP ソリューションには、アプリケーションの保護を強化するコンテンツ配信ネットワークが含まれています。CDN は、DDoS 攻撃など、悪意のあるトラフィックが急増した場合に、負荷を世界中に分散されたサーバーのネットワークに分散させることで、サーバーの負荷を軽減するのに役立ちます。このようにして、コンテンツのキャッシュ、負荷分散、フェイルオーバーに役立ち、アプリケーションのパフォーマンスを維持し、世界中のユーザーがアクセスできるようにします。
クラウド コンピューティングの導入拡大、最新の DevOps プラクティス、マイクロサービス アーキテクチャの急増、アプリケーションと API の継続的な進化により、Web アプリケーションと API のセキュリティはさらに複雑になっています。したがって、WAAP ソリューションは、テクノロジ環境の急速な変化に対応できるように、適応性と拡張性を備えている必要があります。最新のデジタル運用に不可欠な俊敏性とパフォーマンスを妨げることなく、堅牢なセキュリティを提供する必要があります。
さらに、WAAP ソリューションでは、その有効性を高めるために人工知能と機械学習がますます取り入れられています。これらのテクノロジーにより、より洗練された脅威検出および対応メカニズムが実現し、攻撃をリアルタイムで識別して軽減し、進化する攻撃パターンに適応できるようになります。
要約すると、Web アプリケーションおよび API 保護 (WAAP) は、Web ベースのテクノロジがビジネス運営の中心となっている時代に、サイバーセキュリティの重要な側面を表しています。包括的で動的かつ適応性の高いセキュリティ ソリューションを提供することで、WAAP は、Web アプリケーションと API を標的とする、絶えず進化し、ますます高度化するサイバー脅威から保護するのに役立ちます。
CDNetworks WAAP Capabilities のコア機能は、ボット軽減、WAF、API 保護、および DDoS 攻撃からの保護を中心としています。これらのクラウド WAAP サービスは、CDNetworks のセキュリティ モジュールで構成されています。サービス特徴 組織が異種のデジタル インフラストラクチャ全体にクラウド インフラストラクチャを展開できるようにします。
CDNetworks のクラウド セキュリティ ソリューションは、コンテンツ配信ネットワーク (CDN) の堅牢なパフォーマンスと強化されたセキュリティを組み合わせて、Web サイトのコンテンツを迅速かつ安全に配信します。 Web サイト、アプリケーション、および API 用の多層セキュリティ テクノロジが付属しており、企業が柔軟かつ経済的な方法で事業運営を保護するのに役立ちます。
CDNetworks も提供しています Application Shield(マルチレイヤWAF)、Bot Shield、API Shield は、Web アプリケーションと API を一緒に保護するソリューションです。アプリケーション シールドは、Web アプリケーション ファイアウォール (WAF)、DDoS 保護、および CDN アクセラレーションを統合して、トロイの木馬、クレデンシャル スタッフィング、Web アプリケーション攻撃などのさまざまな脅威から保護します。Bot対策: Bot Shield はクラウドベースのボット管理ソリューションであり、企業が正当な人間のトラフィックとボット トラフィックを簡単に区別し、善良なボットと悪意のあるボットを区別するのに役立ちます。 API Shield は、組織の API リソースを保護するフルサイクル管理であり、繰り返されるリクエストに対する API 保護も提供します。