今日のハッカーは手口を巧妙化させており、WebアプリケーションやAPIだけでなく、クライアント側の脆弱性も標的に、ボット、DDoS攻撃請負サービスなどを活用し、さまざまな手口で攻撃を仕掛けるようになっている。

その際は特定の組織を標的にするのではなく、脆弱性を発見した組織に攻撃を仕掛けるというのが一般的で、スキャナーがボットを使用してWebサイトをランダムにクロールし、常に脆弱性を探っている。

脆弱性が発見された際には、ハッカーによってデータベース内の機密が漏洩されたり、悪意のあるファイルがWebサーバーに読み込まれたり、膨大な量のトラフィックでサイトが攻撃されたりする可能性が生じるというわけだ。

中でも、さまざまなシステムやパートナーエコシステムの間をつなぐAPIのセキュリティ対策は重要である。

アカマイテクノロジーズ 提供資料
Webアプリケーションのセキュリティのシンプル化
> > 資料ダウンロードはこちら

セキュリティ対策におけるWAAPの重要性

そもそもWebアプリケーションを防御するには「WAF」(Web Application Firewall)を利用することが多いが、JSONなどのAPIリクエストを正しく認識して検知する機能がWAFに必要になる。また、APIを利用するアプリケーションは、アジャイル型の開発形態を取ることが多く、頻繁な仕様変更が行われるだけでなく、新たなサービスが管理されないまま立ち上がることで思わぬ脆弱性が自然発生してしまうことも、API保護のうえで大きな課題になっている。

こうした課題を解決するには、WebアプリケーションだけでなくAPIを保護する「WAAP」(Web Application and API Protection)と呼ばれるソリューションが適している。

特にアカマイテクノロジーズが提供する「Akamai App & API Protector」は、ボットの可視化や緩和などを行うクラウド型WAAPソリューションで、ネットワーク/アプリケーションレイヤーへの多様な脅威からWebアプリケーションやAPIを保護してくれるのだ。

さらにパッシブなトラフィック分析から、APIエンドポイントを自動で探索し、保護対象としてセキュリティ管理者が簡単にオンボーディングできるウィザードを搭載。また、セルフチューニング機能を備えており、これまで専門のスキルを持ったエンジニアが人手で行っていた、フォールスポジティブ(誤検知)を低減するための例外処理チューニングを機械学習で自動生成し、管理者にリコメンドのうえ簡単に適用できるため、WAF運用上の多くの課題が解消されることだろう。

*  *  *

アカマイテクノロジーズが検知している1日あたりのWebアプリケーション攻撃数は、1,680万件以上にもなる。そうした検知データから日々得られている膨大な知見を防御に活かし、APIを含むさまざまなWebアプリケーションを「面」で守るには、自動化機能を備えたWAAPソリューションが欠かせない。以下からダウンロードできる資料では、Webアプリケーションの脆弱性、WAAPの役割、そしてAkamaiの最新のクラウドWAAPである「App & API Protector」の詳細について解説している。ぜひ参照いただき、セキュリティ対策のノウハウを吸収してほしく思う。

ダウンロード資料のご案内

アカマイテクノロジーズ 提供資料
Webアプリケーションのセキュリティのシンプル化
> > 資料ダウンロードはこちら

[PR]提供:アカマイテクノロジーズ