Web アプリケーション & API 保護 (WAAP) とは何ですか
Gartnerによると、クラウドWebアプリケーションおよびAPI保護サービスは、クラウドWebアプリケーションファイアウォールサービスの進化であり、範囲とセキュリティの深さを拡大しています。 従来のファイアウォールとは異なり、WAAPはWebアプリケーションとAPIを保護するために特別に設計された高度に専門化されたセキュリティツールです。
WAAPは、実際にはWebアプリケーションのパブリック側の前のネットワークの外側のエッジに常駐し、着信トラフィックを分析します。 これがすべてですが、非常にうまくいきます。 WAAPは、 OSIモデルのアプリケーション層(第7層)にのみ焦点を当てています。
WAAPセキュリティが重要な理由
WebアプリケーションやAPIは公共のインターネットに公開されており、大量の機密データにアクセスできるため、サイバー犯罪者にとって格好の標的となっています。 しかし、従来のセキュリティソリューションではこれらのアプリケーションの保護に効果的ではないため、 WAAP は必須です。 従来のソリューションでは解決が困難な課題の例をいくつか紹介します。
- 署名の照合は、アプリケーションのセキュリティでは機能しません。 Webアプリケーションは常に攻撃にさらされており、これらの脅威は定期的に変化しています。 従来のシグネチャベースの検出ソリューションでそれらを保護しようとするのは、スケーラブルでないアプローチです。 WAAPソリューションは、継続的な自己学習により、急速に進化するアプリケーションセキュリティの脅威の状況に遅れないようにするのに役立ちます。
- 最新のアプリケーションは頻繁に変更されます。 アジャイル開発手法とDevOpsの台頭は、最新のWebアプリケーションとAPIが常に流動的な状態にあることを意味します。 この絶え間ない変化は、手動によるチューニングとルール開発を必要とする従来のWebアプリケーションファイアウォール(WAF)では対応できないことを意味し、自動化とハンズオフ管理が組み込まれたソリューションが必要になっています。
- ポートベースのブロックが機能しない:従来のファイアウォールは、使用中のポートとプロトコルに基づいてトラフィックをフィルタリングするように設計されています。 WebアプリケーションやWeb APIに対する攻撃は、HTTP(S)などの正規のWebポートやプロトコルを使用するため、この方法で悪意のある攻撃トラフィックのみをフィルタリングすることは不可能です。 正当なトラフィックと潜在的な攻撃を区別するには、より深いレベルの検査が必要です。
- HTTP トラフィックは複雑になる可能性があります。 Webアプリケーションは 複雑になる可能性があり、攻撃者はこの複雑さを利用して悪意のあるコンテンツを隠します。 従来の侵入検知・防御システム(IDS/IPS)によるセキュリティ検査のレベルは、Webアプリケーションに対する脅威を特定して保護するには不十分です。
- 暗号化トラフィック インスペクションが必要です。 現在、全Webトラフィックの半数以上がTLS暗号化を使用しており、プライバシーには適していますが、マルウェアやその他の悪意のあるコンテンツの検出には適していません。 WAAPソリューションはTLS接続を終端し、Webアプリケーショントラフィック内の悪意のあるコンテンツや機密データを特定できるようにします。
Webアプリケーションと API Protection の主な機能
WAAPソリューションは、多くの監視や実践的な管理を必要とせずに、組織のWebアプリケーションをさまざまな攻撃から保護できる必要があります。 WAAPソリューションがこれらの目標を達成するために必要な重要な機能には、次のようなものがあります。
- 自動化とインテリジェンス: WAAPソリューションは、保護するアプリケーションの変化や直面する脅威に適応するために、自ら学習する必要があります。 これには、組み込みの自動化とインテリジェンスが必要です。
- API とマイクロサービスの保護: 多くのWebセキュリティソリューションはWebアプリケーションの保護に重点を置いていますが、APIとマイクロサービスは攻撃の標的になりつつあります。 WAAPソリューションは、組織のWebプレゼンス全体を包括的に保護する必要があります。
- 次世代Webアプリケーションファイアウォール(NGWAF): 従来のシグネチャベースのWAFは、ゼロデイ攻撃に対して盲目です。 NGWAFは、追加のセキュリティ機能を統合して、より広範な脅威から保護します。
- ランタイムアプリケーションセルフプロテクション(RASP): RASPは、アプリケーションの入力、出力、動作を監視して異常を検出し、パーソナライズされた保護を提供します。 これにより、RASPソリューションは、WebアプリケーションやAPIに対するゼロデイ攻撃も検出できます。
- 悪質なボット対策: 悪意のあるボットは、偵察、クレデンシャルスタッフィング、スクレイピングなどの自動化された攻撃をWebアプリケーションに対して大規模に実行します。 悪意のあるボットと人間のユーザーを区別する機能は、アプリケーションの使いやすさとセキュリティのバランスをとるために不可欠です。
- 分散型サービス妨害攻撃 (DDoS) 保護: モノのインターネット(IoT)とクラウドコンピューティングの成長により、サイバー犯罪者が安価なコンピューティングパワーにアクセスできるようになるため、DDoS攻撃の脅威が高まっています。DDoS攻撃対策は、WAAPソリューションにおいて、組織のWebアプリケーションやAPIの可用性を確保するために不可欠です。
- 高度なレート制限: レート制限は、悪意のあるユーザーが貴重なリソースを消費しないようにするために不可欠です。 高度なレート制限技術により、正当なアプリケーションの使用に影響を与えることなく、悪意のあるユーザーを効果的に取り締まることができます。
CloudGuardによるWAAPセキュリティの実現
チェック・ポイントのCloudGuard AppSecは、同時に動作する一連のAIエンジンを使用してWebトランザクションを分析し、最も高度な攻撃から保護します。 CloudGuard AppSec には、APIセキュリティ、Webアプリケーション保護(WAF)、ボット保護の3つの主要なセキュリティコンポーネントがあります。
CloudGuardは、クラウドベースのWebアプリケーションをセキュリティで保護するために必要な、次のようなすべての機能を組織に提供します。
- 正確な防止:CloudGuardは、特許出願中のコンテクスチュアルAIエンジンを使用して、各アプリケーションリクエストのリスクスコアを構築します。 このコンテキストアプローチは、脅威シグネチャマッピングを使用して二者択一の判断を下すのではなく、誤検知を排除し、OWASP 10攻撃からゼロデイAPI攻撃までの高度な脅威を特定します。
- 管理オーバーヘッドのゼロ: CloudGuardは、従来のWAFソリューションに典型的なセキュリティレベルとメンテナンスレベルのトレードオフを排除します。 このソリューションはルールに依存せず、アプリケーションとユーザーの動作の両方を継続的に学習するため、CloudGuardは継続的な調整を必要とせずに新しいコンテンツに適応します。
- 完全自動化: CloudGuardは、ハンズオフ管理を提供し、インテリジェンスを統合して、Webアプリケーショントラフィックのコンテキスト分析を提供します。 これにより、従来のWAFのバイナリ署名マッチングエンジンと比較して、優れた保護が提供されます。
- 柔軟な展開: CloudGuardには、リバース・プロキシ、プロキシ・サーバー・アドオン、 K8sのイングレス・コントローラなど、さまざまなデプロイメント・オプションが用意されています。
CloudGuard AppSec は、クラウド内のミッションクリティカルな資産にWAAPを提供しますので、アカウントを開設してチェックしてください。
Feedback