WAAP の進化: 「WebアプリとAPI」から「Web、API、AI」の保護へ

当社の年次調査を詳しく調査していくと、AI があらゆるものに与える影響によって主に導かれた、避けられない結論がいくつか出てきます。

避けられない結論の 1 つは、WAAP が「Web アプリと API の保護」から「Web、API、および AI の保護」に移行する時期が来ているということです。

私は言った通りだ。

このように述べる理由はたくさんありますが、まず第一に「Web」と「アプリ」は冗長であるということです。 推定値は方法論や期間によって異なる場合がありますが、いくつかの業界筋によると、インターネット トラフィックのおよそ 80% は HTTP プロトコル (HTTP と HTTPS の両方を含む) 経由で配信されています。 たとえば、 Cisco Visual Networking Index (VNI)レポートやAkamaiなどのコンテンツ配信ネットワークによる同様の分析では、主に HTTP/HTTPS 経由で送信される Web トラフィックが、世界のインターネット トラフィックの大部分を占めていることが一貫して示されています。

「HTTP/S」経由で配信されるトラフィックは、通常、配信およびセキュリティ サービスの観点から「アプリ」と見なされます。 生成されたコンテンツが最新のapplicationから生成されたものか、静的か動的かは、そのコンテンツを配信および保護するために使用される多数のサービスとはほとんど関係ありません。 HTTP/S 経由で配信される DNS などのインフラストラクチャ サービスの割合も増加しています。 Cloudflare の業界推定によれば、現在DNS トラフィックのおよそ 10～20% が HTTPS (DoH) 経由で配信されているとされています。

そこで、「Web アプリ」という言葉を捨てて、「Web」だけにしましょう。

WAAP の API は依然として重要です。 API トラフィックは増加しており、現在 API が主流であると主張するすべてのソースを引用する必要はありません。 しかし、もし必要なら、2021年にRapidAPIのAPIの現状レポートで、さまざまなサービスにわたって毎月数十億件のAPI呼び出しが行われていたことが示されました。 これらの数値を 1 か月間 (約 260 万秒) 平均すると、世界全体で1 秒あたり平均 40 万回の API 呼び出しが行われたことになります。

それは、生成 AI が登場する 4 年前のことでした。 

ここで、この投稿の本当のポイントである、WAAP に AI を組み込むことについて説明します。

さて、私は冗長にならないようにと言ったばかりなので、AI の消費はほぼ例外なく API 経由で行われるという現実を考えると、それは不要であるように思えますが、配信サービスとセキュリティ サービスが非決定論的で主にテキストベースのコンテンツを処理する必要がある方法の多様性は、指摘する価値があるほど重要です。 少なくとも今のところは。

ご存知のとおり、AI 推論の保護に使用するために計画されている主要な配信サービスとセキュリティ サービスは、WAAP に含まれるサービスとほぼ同じです。

さて、過去 1 年間に新しいセキュリティ サービスである AI ゲートウェイが登場したことを無視しないでください。 AI ゲートウェイは、プロンプト インジェクション、ジェイルブレイク、さらには幻覚など、存在する AI 固有の脆弱性の一部に対処するために必要なプロンプトと応答に関する AI 固有の保護を追加します。