F5 GLOSSARY

Web App and API Protectionとは?


Web App and API Protection(WAAP)とは、互いに連動してAPIおよびWebアプリケーションのセキュリティ リスクを軽減するセキュリティ サービスの統合セットを指します。
 

Web App and API Protectionとは?

WAAPソリューションは、脆弱性の悪用、ボット、自動化された攻撃、DoS攻撃、不正行為および悪用、セキュリティに問題のあるサードパーティAPI統合など、アプリケーション セキュリティ上のリスクからアプリケーションを保護します。

統合セキュリティ制御によって組織は、実践的な洞察で可視性を向上させ、特定の攻撃を阻止するだけでなく、複数の脅威ベクトルにまたがる組織的な脅威キャンペーンを特定できます。
 

Web App and API Protectionが重要な理由

魅力的で安全性の高いデジタル エクスペリエンスで顧客を引き付けることはビジネスに不可欠であり、セキュリティおよびリスク対策担当者にとっても大きな関心事となっています。リスクか報酬かを計算してセキュリティと使い勝手のバランスをとることは、現在のデジタル経済の時代に入り、これまでになく困難かつ重要でありながら、利益を生むものともなっています。 

これまでにない選択肢、不満または障害に対するお客様の耐性の低さ、規制への影響増大により、コスト センターから競争上のデジタル差別化要因まで、セキュリティの視点は変化しています。また、アプリケーションの脱集中化と分散化が進み、異機種混在およびマルチクラウド アーキテクチャへの導入や複雑なソフトウェア サプライチェーンおよびCI/CD パイプライン内での統合も増えています。

WAAP図1

図1:アプリケーションは脱集中化と分散化が進んでいる

ボットおよび自動化された攻撃の巧妙化とモバイル アプリの利用および最先端アプリ開発によるAPIエンドポイントの増殖により、脅威面が大幅に拡大し、サードパーティ統合から見えないリスクが忍び込んでいます。

産業化された攻撃ライフサイクルは自動化で始まり、アカウント乗っ取りおよび不正行為で終わります。

WAAP図1

図2:アプリケーション攻撃は執拗で巧妙

WAAPソリューションは、WAF市場が隣接分野(具体的にはBot Management、APIセキュリティ、およびDDoS緩和)への進化を反映しています。

クラウドベースのDDoSスクラビング センターが統合されたWAFが歴史的にはWAAPと認定されてきました。この場合、WAFはデータ センター、プライベート クラウド、またはパブリック クラウド内でハードウェアであろうが仮想アプライアンスであろうが関係ありません。しかし、この市場は、As a ServiceセキュリティとしてクラウドベースのWAAPプラットフォームが好まれる転換点にあります。

クラウドベースのWAAPプラットフォームへの関心を高めている要因がいくつか存在します。

  1. 不正行為および悪用を阻止するための特殊なBot Management技術の必要性
  2. サードパーティ統合からのリスクを緩和するAPI検出および実施管理
  3. API、開発フレームワーク、およびCI/CDパイプラインを介した継続的なポリシー管理
  4. 人の手によるAIを使用した自動化保護および誤検知修正

ビジネス成果に照準を合わせたクラウドベースのセキュリティ サービスが統合されたアプライアンスベースのWAFは、銀行および金融サービス(BFSI)などの高度に規制された業界において実行可能な、というよりも望ましいオプションとなるでしょう。
 

Web App and API Protectionの動作原理

WAAPソリューションは、さまざまなセキュリティ制御を統合することでセキュリティ侵害、データ流出、アカウント乗っ取り、およびアプリケーションのダウンタイムを緩和し、以下を含むアプリケーションを保護します。

  • Web Application Firewall(WAF)
  • Bot Management
  • API Security
  • DDoS Mitigation

WAAPソリューションはいくつかのフォーム ファクタで利用可能です。

  1. クラウドベースのセキュリティ サービスが統合された物理/仮想WAFアプライアンス
  2. クラウドベースのセキュリティ サービスが統合されたマイクロサービスベースのWAFインスタンス
  3. WAF、ボット、API、およびDDoSセキュリティ制御が統合されたクラウドベースのWAAPプラットフォーム

WAAPソリューションには、悪意あるスクリプト/スキミング(Magecart攻撃など)を検知するためのクライアントサイド セキュリティ、悪意あるアグリゲータを経由した攻撃を阻止するセキュリティ制御、手動による不正行為からのアカウント乗っ取りを阻止するアカウント保護も含まれます。

Application Infrastructure Protection(AIP)ソリューションはアプリケーション セキュリティを強化し、動的な脆弱性検出およびクラウド ワークロード セキュリティを通じて修正効率を向上させます。その結果、WAAP制御との統合を介して基盤インフラストラクチャの悪用が防止されます。
 

F5によるWeb App and API Protectionの取り扱い方とは?

F5 Distributed Cloud WAAPは、アーキテクチャ、クラウド、および運用モデルと自然に適合し、コアからクラウド、エッジに至るまで、レガシー アプリケーションと最先端アプリケーションを保護するための可視性全般と一貫性のあるポリシー実施をセキュリティおよびリスク対応担当チームに提供します。Distributed Cloud WAAPソリューションには、導入モデルと運用モデルに関連して柔軟性と豊富な選択肢が用意されています。

前例のない可観測性と大規模な現実世界のデータ レイクおよび機械学習アルゴリズムが組み合わさることで、F5のお客様は、パーソナライゼーションを向上させ、不満の排除と顧客の維持、転換率、ロイヤリティの改善により正当な顧客取引を最適化するAuthentication IntelligenceといったAIベースの付加価値サービス(VAS)を導入できます。

WAAP図1

図3:F5 Distributed Cloud Web App and API Protectionプラットフォーム

リソース

記事

WAAP購入ガイド

記事を読む ›

インフォグラフィック

OWASP Top10 2021:リスクの新たな波

インフォグラフィックを見る ›

シミュレータ

F5 Distributed Cloud WAAP

シミュレータを試す ›