Web Application and API Protection(WAAP)

業界をリードするF5のSaaSベースのWeb Application Firewall(WAF)とボット対策、高度なAPIセキュリティ、およびL3~L7のDDoS防御策を使用して、クラウドとエッジ サイト全体に導入されたアプリケーションとAPIを保護します。

WAAPとは?

WAAPとは、「Web Application and API Protection」の略で、ガートナー社が2017年に提唱したクラウド型、SaaS型のWAFの次世代版ソリューションのことです。

Webアプリケーションセキュリティの対策としてはWAF(Web Application Firewall)の導入が一般的ですが、近年高度化するサイバー攻撃からWebアプリケーション・APIを保護するためには、従来のWAFでは対策が十分ではなくなってきている、という背景があります。

ーWAAPに含まれる4つの機能

WAAPには4つの主要な機能が含まれます。

【WAF(Web Application Firewall)、APIセキュリティ、Bot対策、DDoS対策】

クラウド型サービスであるWAAPの大きなメリットの一つは、これらの機能を容易に展開できることができる点であると言えます。

WAF(Web Application Firewall)

SQLインジェクション、クロスサイトスクリプティング攻撃、パス トラバーサルやCookieポイズニングといった、悪意ある攻撃からWebサーバやWebアプリケーションを保護する機能。これらの攻撃を回避するには、入力フォームのサニタイズ(攻撃に使用される文字列を無効化すること)や、Cookieの慎重な利用といったWebアプリケーションの改修、Webサーバ設定の適正化が必要になります。これらを全てのWebアプリケーションやWebサーバで行うのは、決して簡単ではありません。

>関連サービス:F5 Distributed Cloud WAF

APIセキュリティ

APIエンドポイントがもたらす、アプリケーションの攻撃対象領域を拡大、新たなリスクと脆弱性から、アプリケーションを保護する機能。最新のアプリケーションは常に進化しており、APIへの依存度は高まっています。新たな脆弱性が出現して機密データが漏洩する危険性があります。セキュリティ チームは、インフラストラクチャ全体で指数関数的に増加するエンドポイントや接続の管理および識別に苦労しています。アプリケーションに接続されているAPIエンドポイントを自動的に検出し、許可リストを作成して異常な動作を監視することが必要です。

>関連サービス:F5 Distributed Cloud API Security

Bot Defense

悪質なボット、自動化された攻撃、Webスクレーパー、エクスプロイトなどから、アプリケーション、機密データを守る機能。ボット攻撃者は、ビジネスを狙って執拗に攻撃を仕掛けてきます。サイバー犯罪者はその手口を変えることで一般的なボット対策をくぐり抜けるため、セキュリティ チームは守勢に立たされ、貴重なリソースが消耗されます。ボットを効果的に管理できなければ、アプリケーションのパフォーマンス、カスタマ エクスペリエンス、ビジネスに大きな影響が及ぶ可能性があります。

>関連サービス:F5 Distributed Cloud Bot Defense

DDos攻撃対策

UDPパケットを大量に送信する「UDPフラッド攻撃」、送信元IPアドレスを偽装したTCPセッションリクエスト(SYNパケット)を大量に送りつける「SYNフラッド攻撃」などから、ネットワーク帯域やサーバー資源を保護する機能。攻撃のパターンは、大きく2種類に分類でき、いずれの攻撃パターンにも対応できる対策が必要です。第1は大量のパケットを集中的に送信し、ネットワーク帯域を枯渇させる方法で、第2は、TCPやHTTPの特性を利用し、サーバー資源を枯渇させる方法です。

>関連サービス:F5 Distributed Cloud DDoS Mitigation

Distributed Cloud WAAPが重要な理由

新たな脅威への対策

新たな脅威への対策

アプリケーションが進化し、APIの導入が増えるにつれて、攻撃対象となる領域が増え、リスクが高まります。

運用が大幅にシンプル化

運用が大幅にシンプル化

ポイントソリューションの数を減らし、分散した環境でのセキュリティ ポリシーの実施を一元化できます。

クラス最高レベルのボット検出とWAF

クラス最高レベルのボット検出とWAF

市場をリードするボット検出技術により、悪意のあるボットに対して高精度の保護を実現します。

アプリケーション全体の保護

アプリケーション全体の保護

選択的にカバーするだけではもはや十分ではありません。アプリケーションは、WAF、APIセキュリティ、DDoS、ボットに対する保護を必要としています。

どこからでも一貫したセキュリティポリシー

どこからでも一貫したセキュリティポリシー

ホストされている場所に関わらず、アプリケーション資産全体に一貫したポリシーを導入します。

エンドツーエンドの可観測性

エンドツーエンドの可観測性

分散されたアプリケーションインフラストラクチャを、一元化されたユーザー インターフェースで管理することにより、重要なインサイトとテレメトリを得ることができます。


Distributed Cloud WAAPと従来のCDNの比較

機能

従来のCDN

Distributed Cloud WAAP

導入とポリシー変更の自動化
違反、トラフィック パターン、DDoS攻撃の可視化
APIの自動検出と許可リスト
シグネチャスキャンとAI/MLによる、異常および悪意のあるユーザーの検知
AI/MLによる誤検知の識別と排除
バックボーン、スマートルーティング、オリジントンネリング
Some
オンプレミス(顧客のエッジ)、パブリック クラウド、F5グローバル ネットワークに対応した導入モード
脅威と意図に高精度に的を絞った脅威キャンペーン
1つの共通プラットフォームでのアプリケーションの導入と保護

Distributed Cloud WAAPの使用事例を見る

マルチクラウドやエッジ環境におけるアプリケーションのセキュリティを合理化

シャドーAPIを特定して、レガシーおよび最新のアプリケーションのゼロトラスト実装でAPIの脅威を軽減します。APIマッピング用のSwaggerファイルをエクスポートし、これらのファイルをインポートすることで、セキュリティポリシーの設定を簡素化できます。



図


可視性を向上させ、自動化された悪意のあるトラフィックパターンを特定

最先端のボット防御策と高度なセキュリティの監視を企業に提供し、ユーザー アカウント、コンテンツ スクレイピング、広告詐欺を狙う悪質なトラフィックを根絶します。

Distributed Cloud WAAPの使用事例を見る

APIの自動検出、ポリシーの実施、アプリケーションとAPI全体における制御により、最新のAPIの課題に対応します。

シャドーAPIを特定して、レガシーおよび最新のアプリケーションのゼロトラスト実装でAPIの脅威を軽減します。APIマッピング用のSwaggerファイルをエクスポートし、これらのファイルをインポートすることで、セキュリティポリシーの設定を簡素化できます。

Distributed Cloud WAAPの使用事例を見る

DDoS攻撃に対するアプリケーションとインフラストラクチャのアップタイムと信頼性を確保

Distributed Cloud WAAPは、ネットワーク エッジにおけるL3~L7のボリューム型DDoS攻撃からアプリケーションを保護し、正当な顧客に影響を与えることなく、アプリケーションがグローバルな可用性を維持できるようにします。また、Distributed Cloud WAAPは、過去に軽減された攻撃とアクティブな攻撃の両方を可視化することで、プロアクティブな制御を有効にし、悪意のある攻撃者をさらに阻止します。


Distributed Cloud WAAPの使用事例を見る

リソース

F5 Distributed Cloud WAAPの概要

ビデオ

F5 Distributed Cloud WAAPの概要

ビデオを見る ›

Distributed Cloud WAAP購入ガイド

Eブック

WAAP購入ガイド

Eブックを読む ›

Protecting Web Apps and APIs in Distributed Cloud

ソリューションの概要

分散環境におけるWebアプリケーションとAPIの保護

さらに詳し ›

ウェビナー

OWASP Top 10 2021: The New Risk Order

今すぐ登録 ›

次のステップ

シミュレータを試す

F5 Distributed Cloud WAAPシミュレータを実行する

トライアルに関するお問い合わせ

デモのご予約やトライアルにつきましては、ぜひ専門チームへご相談ください。