WAAP (Web Application and API Protection)とは?
WAAP (Web App and API Protection)とは、互いに連動してAPIとWebアプリケーションのセキュリティ リスクを軽減するセキュリティ サービスの統合セットを指します。
WAAPの意味
WAAPソリューションは、脆弱性の悪用、ボット、自動化された攻撃、DoS攻撃、不正行為および悪用、セキュリティに問題のあるサードパーティAPI統合など、アプリケーション セキュリティ上のリスクからアプリケーションを保護します。
統合セキュリティ制御によって組織は、実践的な洞察で可視性を向上させ、特定の攻撃を阻止するだけでなく、複数の脅威ベクトルにまたがる組織的な脅威キャンペーンを特定できます。
ブウラムさんがこのブライトボードレッスンを提供します。WAAPとは何か、それが何を解決するのか、そしてどのように一つを利用するのかについて。
Web Application and API Protectionが重要な理由
魅力的で安全性の高いデジタル エクスペリエンスで顧客を引き付けることはビジネスに不可欠であり、セキュリティおよびリスク対策担当者にとっても大きな関心事となっています。リスクか報酬かを計算してセキュリティと使い勝手のバランスをとることは、現在のデジタル経済の時代に入り、これまでになく困難かつ重要でありながら、利益を生むものともなっています。
前例のない選択肢が登場し、不満や障害に対するお客様の許容度は低下し、規制の影響は増大しており、従来、コスト センタと考えられていたセキュリティは、競争力のあるデジタル差別化要因へと変わりつつあります。また、アプリケーションは脱集中化と分散化がますます進み、異機種混在のマルチクラウド アーキテクチャに導入され、複雑なソフトウェア サプライ チェーンやCI/CDパイプラインの中で統合されています。
図1:アプリケーションは脱集中化と分散化が進んでいる
ボットや自動化攻撃は巧妙化しており、モバイル アプリケーションの利用や最先端アプリケーション開発の増加によりAPIエンドポイントは急増して、脅威対象が大幅に拡大し、サードパーティとの統合により予期せぬリスクが生じています。
産業化された攻撃ライフサイクルは自動化で始まり、アカウント乗っ取りおよび不正行為で終わります。
図2:アプリケーション攻撃は執拗で巧妙
WAAPソリューションは、WAF市場の隣接分野(具体的にはボット管理、APIセキュリティ、DDoS緩和)への進化を反映しています。
クラウドベースのDDoSスクラビング センタが統合されたWAFは、たとえWAFがデータ センタ、プライベート クラウド、パブリック クラウドのいずれに配置されたハードウェアでも、仮想アプライアンスでも、従来、WAAPと見なされてきました。しかし、多くの組織がAs a ServiceセキュリティとしてクラウドベースのWAAPプラットフォームを望むようになり、この市場は転換期を迎えています。
クラウドベースのWAAPプラットフォームへの関心を高めている要因がいくつか存在します。
- 不正行為および悪用を阻止するための特殊なBot Management技術の必要性
- サードパーティ統合からのリスクを緩和するAPI検出および実施管理
- API、開発フレームワーク、およびCI/CDパイプラインを介した継続的なポリシー管理
- 人の手によるAIを使用した自動化保護および誤検知修正
ビジネス成果に照準を合わせたクラウドベースのセキュリティ サービスが統合されたアプライアンスベースのWAFは、銀行および金融サービス(BFSI)など規制の非常に厳しい業界において有効な選択肢、さらには望ましい選択肢となるでしょう。
クラウドWAAPサービスを評価する方法
WAAPの主な購入基準として、有効性と使いやすさがよく挙げられます。
クラス最高レベルのWAAPは、組織がビジネスのスピードに合わせてセキュリティ体制を改善し、摩擦や過度の誤検出なしで侵害を軽減し、運用をシンプルにして、重大な脆弱性、ビジネス ロジックの悪用、予期しないリスクからハイブリッドのマルチクラウド アーキテクチャを一貫して保護するのに役立ちます。
主な機能は以下のとおりです。
- クラウドネイティブ インフラストラクチャとアプリケーション スタック全体にわたる、共通の可観測性
- ダイナミックなAPI Discoveryと実施
- 攻撃者のツールの巧妙化、エスカレーション、回避時のレジリエンス
Web Application and API Protectionの動作原理
WAAPソリューションは、さまざまなセキュリティ制御を統合することでセキュリティ侵害、データ流出、アカウント乗っ取り、およびアプリケーションのダウンタイムを緩和し、以下を含むアプリケーションを保護します。
WAAPソリューションはいくつかのフォーム ファクタで利用可能です。
- クラウドベースのセキュリティ サービスが統合された物理/仮想WAFアプライアンス
- クラウドベースのセキュリティ サービスが統合されたマイクロサービスベースのWAFインスタンス
- WAF、ボット、API、およびDDoSセキュリティ制御が統合されたクラウドベースのWAAPプラットフォーム
また、WAAPソリューションには、悪意あるスクリプト/スキミング(Magecart攻撃など)を検知するためのクライアントサイドのセキュリティ、悪意あるアグリゲータを経由した攻撃を阻止するセキュリティ制御、手動による不正行為からのアカウント乗っ取りを阻止するアカウント保護も備えています。
Application Infrastructure Protection(AIP)ソリューションはアプリケーション セキュリティをより一層強化し、動的な脆弱性検出とクラウド ワークロード セキュリティを通じて修正効率を向上させます。これにより、WAAP制御との統合を介して基盤インフラストラクチャの悪用が防止されます。
F5によるWeb Application and API Protectionの取り扱い方とは?
F5 WAAPソリューションは、アーキテクチャ、クラウド、運用モデルとネイティブに適合し、セキュリティ・リスク対応チームにコアからクラウド、エッジまで、レガシー アプリケーションと最先端のアプリケーションを保護するための共通の可視性を提供し、一貫性のあるポリシー実施を可能にします。F5 WAAPソリューションは、導入モデルと運用モデルにおいて高い柔軟性を備え、豊富な選択肢が用意されています。
F5 Distributed Cloud WAAPは、前例のない可観測性と、大規模かつ現実的なデータ レイクと機械学習アルゴリズムが統合されています。これにより、F5のお客様は、AIベースの付加価値サービス(VAS)を導入できます。その一例であるAuthentication Intelligenceは、パーソナライゼーションを向上させ、顧客の不満を低減して正当な顧客取引を最適化することで、顧客の維持率、コンバージョン率、ロイヤルティを高めます。
図3:F5 Distributed Cloud Web App and API Protectionプラットフォーム
