記事
WAAP購入ガイド
目に見えない脅威が、より身近に。
関連資料
Web Application and API Protection(WAAP)購入ガイド eBook ›
効果的で簡単に運用できるWeb App and API Protectionにより、ビジネスアジリティとカスタマエクスペリエンスを維持し、セキュリティの全体像をコストセンターからデジタルの差別化要因にどのようにして転換させることができるかご紹介します。
はじめに
クラウド、コンテナ、APIをベースとした、新しい分散型コンピューティング アーキテクチャは、新世代のデジタル イノベーションを促進しています。しかし同時に、このような動的な分散型環境は、脅威の対象を拡大し、不正行為につながる侵害、ダウンタイム、および不正使用などの攻撃機会を増やします。効果的なセキュリティ ソリューションによって、運用の複雑さを軽減し、カスタマ エクスペリエンスを最適化しながら、レガシー アプリケーションとモダン アプリケーションをエクスプロイトや不正使用から保護する方法をご紹介します。
Web App and API Protection(WAAP)に至った経緯とは?
Webアプリケーション セキュリティ市場は、新しいデジタル経済に合わせて進化してきました。Web Application Firewall(WAF)は、アプリケーションの脆弱性を緩和するための効果的なツールであることが実証されていますが、APIの普及と巧妙化する攻撃者の高度化に伴い、WAF、APIセキュリティ、ボット対策、DDoS防御をWAAPソリューションに融合させ、アプリケーションを侵害、ダウンタイム、不正行為から保護することが求められています。
競争の激しいデジタル社会では、企業は市場で優位に立つために最新のソフトウェア開発を導入しており、その結果、新機能を導入するためのリリース サイクルの加速化や、統合、フロントエンドのユーザー インターフェース、バックエンドのAPIのマッシュアップにつながっています。ショッピング カートやロイヤリティ プログラムがあることは弱点でも欠陥でもありませんが、コマースや顧客エンゲージメントを促進するエンドポイントは攻撃者にとって格好の標的となります。そのため、すべてのユーザー インタラクションとビジネス ロジックを、ソフトウェアの脆弱性だけでなく、ログオン、アカウント作成、カートへの追加機能を悪用する固有の脆弱性から保護する必要があります。
今日、顧客にはかつてないほどの選択肢があり、悪いエクスペリエンスに対する許容度は低くなっています。セキュリティ インシデントや取引時の煩雑さは、収益の損失や顧客離れにつながる可能性があります。
このように、新しいデジタル経済では、イノベーションを安全に発揮し、リスクを効果的に管理して、業務の複雑さを軽減するWebアプリケーション セキュリティの新時代が求められています。
なぜ、WAAPが早急に必要なのでしょうか?
イノベーションとクラウドの普及により、アプリケーション コンポーネント間のアーキテクチャや、相互依存関係が多様化しています。従来の3層Webスタックやレガシー アプリケーションは、コンテナやマイクロサービスなどの分散型アーキテクチャを活用し、API間の通信を促進する最新のアプリケーションに改良されたり、あるいは置き換えられたりしています。また、クラウドネイティブ ツールキットと事業の継続性により、マルチクラウドの採用が進んでいます。簡単にアクセスできるモバイル アプリケーションと、市場投入までの時間を短縮するAPI統合は、継続的なデジタルイノベーションによって定義される市場で、競争上の優位性を維持するための鍵となります。
アーキテクチャの分散化、アジャイル ソフトウェア開発、サードパーティとの統合により、脅威の対象が拡大し、未知のリスクが発生しています。そのため、脅威のモデル化や、セキュリティおよびアクセス制御のポリシーをアーキテクチャ間で一貫して導入して維持できるようにするなど、シフトレフトの原則に改めて注目する必要があります。InfoSecは、エクスプロイトや設定ミスの軽減に加えて、CI/CDパイプラインの保護、オープン ソース コンポーネントの保護、ビジネス ロジックを悪用した自動化された攻撃からのアプリケーションの防御を行うことが求められています。
顧客と収益の増加
安全なデジタルエクスペリエンスを一貫して提供する企業は、顧客と収益の増加を実現します。
競争上の優位性
サイバーセキュリティインシデントや顧客の不満は、デジタルにおける成功や競争上の優位性にとって最大のリスクです。
脅威対象の拡大
アーキテクチャの拡散と相互依存性により、巧妙化した攻撃者の脅威対象が、大幅に拡大しています。
優れたWAAPの条件とは?
WebアプリケーションやAPIを、エクスプロイトや不正使用の絶え間ない猛攻から保護することの複雑さから、クラウドで提供されるas-a-Service型のWAAPプラットフォームの人気が高まっています。このようなプラットフォームは、CDNの既存企業、アプリケーションデリバリのパイオニア企業、買収により隣接市場に進出したセキュリティベンダーなど、さまざまなベンダーから生まれています。 |
WAAPの主な購入基準として「有効性」と「使いやすさ」がよく挙げられますが、これは主観的なものであり、ベンダーの選定時に確認することは困難です。
より実践的なアプローチは、WAAPの価値提案を定義し、最低限必要なもの、最終候補の機能、差別化要因にグループ化して、組織が最も情報に基づいた選択ができるようにすることです。
| 最低限必要なもの | 最終候補の能力 | 差別化要因 |
|---|---|---|
| 簡単なオンボーディングと、手のかからないモニタリング |
自動学習によるポジティブ セキュリティ モデル
|
アプリケーションとAPI全体の可視性と、一貫したセキュリティ |
包括的なセキュリティ分析
|
行動分析と異常検出 | 最大検出率(有効性) |
| シグネチャ、ルール、評判を超える高度化 |
回避への対応策
|
最小限の誤検出率 |
| API Discoveryとポリシー実施 |
誤検出の修正 |
CXの煩雑さを軽減する、透明性の高い保護機能
|
| 拡張性に優れたボット、DDoS対策 |
セキュリティエコシステムやDevOpsツールとの統合 |
操作、運用、および統合が容易です
|
最適なWAAPの条件
クラス最高レベルのWAAPは、組織がビジネスのスピードに合わせてセキュリティ体制を改善し、運用の複雑さや過度の誤検出に煩わされることなく侵害を軽減し、安全なデジタル エクスペリエンスを大規模に提供できるようにします。 ビジネスのスピードに合わせてセキュリティ体制を改善
煩雑さや誤検出を最小限に抑えながら、侵害を軽減する
運用の複雑さを低減
|
最適なWAAPは、分散型プラットフォーム上で効果的かつ運用しやすいセキュリティを提供します。 |
| 効果的なセキュリティ | 分散型プラットフォーム | 運用の容易さ |
|---|---|---|
| リアルタイムでの侵害軽減 |
クラウドやアーキテクチャ全体の可視性
|
セルフサービスの導入 |
レトロスペクティブ分析
|
自己調整型のセキュリティ
|
|
| 煩雑さを低減 |
一貫したポリシーの実施
|
包括的なダッシュボード |
| 低い誤検出率 |
ドリルダウンによるコンテキスト インサイト
|
F5 WAAPのメリット
F5 WAAPは、アプリケーションや攻撃者の進化に合わせて適応し、新しいデジタル経済におけるカスタマ エクスペリエンスを保護します。 |
リアルタイムでの侵害軽減
堅牢なセキュリティ、脅威インテリジェンス、異常検出により、すべてのアプリケーションとAPIをエクスプロイト、ボット、不正使用から保護して、侵害、ATO、不正行為をリアルタイムで防ぎます。 |
レトロスペクティブ分析
複数のベクター間での相関的なインサイトと、セキュリティイベント、ログイン失敗、ポリシートリガー、行動分析に対するMLベースの評価により、継続的な自己学習が可能になります。 |
自動化された保護機能
ダイナミックな検出とポリシーベースラインにより、開発 / 導入のライフサイクルを通し(および超えて)、自動侵害軽減、調整、誤検出の修正が可能になります。 |
適応型セキュリティ
攻撃者ツールの巧妙化に応じて反応する自律型セキュリティ対策は、カスタマエクスペリエンスを低下させる侵害軽減策に頼ることなく、悪質な攻撃者を検出します。 |
分散型プラットフォーム
宣言型ポリシーにより、基盤となるインフラストラクチャを抽象化して設定ミスを防ぎ、必要に応じてオンデマンドでセキュリティを導入することで、アプリケーションからエッジまで一貫した保護を実現します。 |
エコシステム統合
広範な開発フレームワーク、CI/CDパイプライン、イベント管理システムに容易に統合できるAPI駆動型の導入とメンテナンス。
クレデンシャル スタッフィング攻撃例 |
| 条件 | 識別 |
|---|---|
不正使用
|
異常検出
|
意図
|
行動分析
|
発生元
|
ステージ1 ML
|
回避
|
ステージ2 ML
|
クレデンシャル スタッフィングのプレイブック
