用語集: サイバーセキュリティ用語と定義

Web アプリおよび API 保護 (WAAP) とは何ですか?

Web アプリおよび API 保護 (WAAP) とは、API および Web アプリケーションからのセキュリティ リスクを軽減するために連携して動作するセキュリティ サービスの統合セットを指します。

WAAP の意味

WAAP ソリューションは、脆弱性の悪用、ボット、自動化された攻撃、サービス拒否、詐欺や不正使用、安全でないサードパーティ API 統合によるアプリケーション セキュリティ リスクから保護します。 

統合されたセキュリティ制御により、組織は、特定の攻撃を阻止できる実用的な洞察によって可視性を向上させ、複数の脅威ベクトルにまたがる組織的な脅威キャンペーンを特定できます。

Buu Lam は、WAAP とは何か、WAAP が何を解決するのか、そして WAAP を活用する方法について、Brightboard レッスンで説明します。

API と API ゲートウェイとは何ですか?

アプリケーション プログラミング インターフェイス (API) は、現代の IT 環境でユーザー、アプリケーション、およびサービスを相互に接続するための最も一般的な方法です。 最新のアプリのほとんどは、API を使用して構築されています。API とは、アプリケーションやサービスが通信し、リクエストと応答の形で製品とサービス間の対話を可能にするソフトウェア インターフェイスです。 ただし、API が増えると攻撃対象領域も増えます。 API がより一般的になり、マイクロサービス アーキテクチャ全体に分散されるようになると、スケーラビリティとセキュリティを確保するために追加のインフラストラクチャが必要になります。

マイクロサービス ベースのアプリケーションの場合、API ゲートウェイはシステムへの単一のエントリ ポイントとして機能し、リクエストのルーティング、構成、ポリシーの適用を担当します。 一部のリクエストは適切なバックエンド サービスにルーティングするだけで処理され、その他のリクエストは複数のバックエンド サービスを呼び出して結果を集約することで処理されます。

API ゲートウェイには、一般的な脅威から API を保護するセキュリティ機能が組み込まれており、API のアクセス制御、認証、承認の管理などの重要なセキュリティ機能も提供し、認証され承認されたユーザーのみが API にアクセスできるようにします。

API ゲートウェイは、Kubernetes クラスターの前にロード バランサーとして (マルチ クラスター レベル)、エッジに Ingress コントローラーとして (クラスター レベル)、またはクラスター内にサービス メッシュとして (サービス レベル) デプロイできます。 エッジおよび Kubernetes クラスター内での API ゲートウェイのデプロイメントでは、Kubernetes ネイティブ ツールを API ゲートウェイとして使用するのがベスト プラクティスです。 このようなツールは Kubernetes API と緊密に統合されており、YAML をサポートし、標準の Kubernetes CLI を通じて構成できます。

API ゲートウェイを WAAP ソリューションと併用すると、相互に補完する追加のセキュリティ レイヤーを提供できます。  たとえば、API ゲートウェイは主に API へのアクセスの管理とセキュリティ保護に重点を置いていますが、WAAP ソリューションは、 OWASP トップ 10 の脆弱性、 DDoS 攻撃、ボット トラフィックなどの幅広いセキュリティ脅威から Web アプリケーションと API を保護し、脅威インテリジェンスや動作ベースの異常検出などの高度な機能を提供します。  

Web アプリと API の保護が重要な理由

魅力的で安全なデジタル エクスペリエンスで顧客を引き付けることは、セキュリティおよびリスクのリーダーにとってビジネス上の必須事項であり、重要な焦点です。 現代のデジタル経済において、セキュリティと使いやすさのバランスを取るためのリスクと報酬の計算は、これまでになく困難で、重要で、利益を生むものとなっています。 

前例のない選択肢、摩擦や障害に対する顧客の許容度の低さ、規制の影響の増大により、セキュリティの観点はコスト センターから競争力のあるデジタル差別化要因へと変化しています。 さらに、アプリケーションはますます分散化および分散化され、異機種混在のマルチクラウド アーキテクチャに展開され、複雑なソフトウェア サプライ チェーンや CI/CD パイプライン内に統合されるようになっています。 

WAAP図1

図1: アプリはますます分散化・分散化している

ボットや自動攻撃の高度化、モバイル アプリの使用増加や最新のアプリ開発による API エンドポイントの増加により、脅威の対象範囲が劇的に拡大し、サードパーティ統合による予期しないリスクが生じます。

産業化された攻撃ライフサイクルは自動化から始まり、アカウント乗っ取りと詐欺で終わります。

WAAP図1

図2: アプリケーション攻撃は持続的かつ巧妙である

 

WAAP ソリューションは、 WAF市場が隣接領域、具体的にはボット管理、API セキュリティ、 DDoS緩和へと進化していることを表しています。

クラウドベースの DDoS スクラビング センターと統合される WAF は、データ センター、プライベート クラウド、パブリック クラウド内のハードウェアまたは仮想アプライアンスであるかどうかに関係なく、歴史的に WAAP として認定されています。 しかし、市場は転換点にあり、多くの組織がサービスとしてのセキュリティの形でクラウドベースのWAAP プラットフォームを好むようになっています。

クラウドベースの WAAP プラットフォームへの関心が高まっている要因はいくつかあります。

  1. 詐欺や不正使用を阻止するための専門的なボット管理技術の必要性
  2. サードパーティ統合によるリスクを軽減できるAPI検出および強制制御
  3. API、開発フレームワーク、 CI/CDパイプラインを介した継続的なポリシーメンテナンス
  4. 人間が開発したAIを使用した自動保護と誤検出の修復

ビジネス成果に重点を置いたクラウドベースのセキュリティ サービスと統合されたアプライアンス ベースの WAF は、銀行および金融サービス (BFSI) などの規制の厳しい業界では、今後も実行可能な、さらには推奨される選択肢として存続するでしょう。

クラウド WAAP サービスを評価する方法

WAAP を購入する際の重要な基準として、効果と使いやすさがよく挙げられます。

クラス最高の WAAP は、組織がビジネスのスピードに合わせてセキュリティ体制を改善し、摩擦や過度の誤検知なしに侵害を軽減し、運用の複雑さを軽減して、ハイブリッド マルチクラウド アーキテクチャを重大な脆弱性、ビジネス ロジックの悪用、予期しないリスクから一貫して保護するのに役立ちます。 

主な機能は次のとおりです。

  • クラウドネイティブ インフラストラクチャとアプリケーション スタック全体にわたるユニバーサルな可観測性
  • 動的API検出と適用
  • 攻撃者の再編、エスカレーション、回避時の回復力

Web アプリと API 保護はどのように機能しますか?

WAAP ソリューションは、次のようなさまざまなセキュリティ制御を統合してアプリケーションを保護することにより、侵害、データ流出、アカウント乗っ取り、アプリケーションのダウンタイムのリスクを軽減します。

  • Web アプリケーション ファイアウォール (WAF)
  • ボット管理
  • APIセキュリティ
  • DDoS 緩和

WAAP ソリューションは、いくつかのフォーム ファクターで利用できます。

  1. クラウドベースのセキュリティサービスと統合する物理/仮想WAFアプライアンス
  2. クラウドベースのセキュリティサービスと統合されたマイクロサービスベースのWAFインスタンス
  3. WAF、ボット、API、DDoS セキュリティ制御を統合したクラウドベースの WAAP プラットフォーム

WAAP ソリューションには、悪意のあるスクリプトやスキミング ( Magecart 攻撃など) を検出するクライアント側のセキュリティ、悪意のあるアグリゲータによる攻撃を防ぐセキュリティ制御、手動による詐欺によるアカウントの乗っ取りを防ぐアカウント保護も含まれています。

アプリケーション インフラストラクチャ保護 (AIP) ソリューションは、動的な脆弱性検出とクラウド ワークロード セキュリティを通じてアプリのセキュリティをさらに強化し、修復を改善し、WAAP コントロールとの統合により基盤となるインフラストラクチャの悪用や悪用を防止します。

F5 は Web アプリと API の保護をどのように処理しますか?

F5 WAAP ソリューションは、あらゆるアーキテクチャ、クラウド、運用モデルにネイティブに適合し、セキュリティ チームとリスク チームに普遍的な可視性と一貫したポリシー適用を提供し、コアからクラウド、エッジに至るまでレガシー アプリと最新アプリを保護します。 F5 WAAP ソリューションは、導入モデルと運用モデルに関して柔軟性と選択肢を提供します。

F5 Distributed Cloud WAAP は、大規模な現実世界のデータ レイクと機械学習アルゴリズムを組み合わせた比類のない可観測性を提供し、F5 の顧客が AI ベースの付加価値サービス (VAS) を導入できるようにします。たとえば、パーソナライゼーションを改善し、摩擦をなくして正当な顧客取引を最適化し、保持、変換、忠誠心を高める認証インテリジェンスなどです。

WAAP図1

図3: F5 分散クラウド Web アプリケーションおよび API 保護プラットフォーム

F5 NGINX は、ユースケースや展開パターンに応じて、API ゲートウェイを展開および運用するためのいくつかのオプションも提供します。 ユニバーサル ツールには、クラウド、オンプレミス、エッジ環境全体に軽量で高性能な API ゲートウェイとして導入できるF5 NGINX Plusが含まれます。

Kubernetes ネイティブ ツールには、API ゲートウェイ、ID、および可観測性機能を使用して Kubernetes クラスターのエッジでアプリの接続を管理するNGINX Ingress Controllerが含まれます。