Web アプリケーションおよび API 保護 (WAAP) とは、Web アプリケーションとアプリケーション プログラミング インターフェイス (API) をさまざまなサイバー脅威から保護することに重点を置いた、包括的なセキュリティ技術とプラクティスのスイートを指します。Web アプリケーションと API は現代のビジネス オペレーションに不可欠なものとなっており、サイバー犯罪者の標的としての魅力を考慮すると、そのセキュリティは非常に重要です。
We have come a long way since the time of applications that run only upon installation on local devices. With the rise of cloud computing, network penetration, and advancement in internet speeds, accessing modern web applications has become as easy as entering a web address on a browser. The term was coined by Adam Hils and Jeremy D’Hoinne of Gartner to describe cloud-based services created to safeguard vulnerable APIs and web apps.
In the digital landscape, web applications, and APIs are essential for facilitating online transactions, communications, and data exchanges. However, this criticality also makes them vulnerable to various forms of cyberattacks. According to the State of Web Application & API Protection Report 2023 from CDNetworks, the threat landscape has reached alarming heights. The report revealed that security platforms intercepted 451.5 billion DDoS attacks (a 26.05% year-on-year increase) and 6 billion web application attacks (a 4% increase from 2022). Perhaps most concerning is that 63% of all attacks now target APIs specifically. Bot attacks have also surged, with over 239.3 billion attacks intercepted, marking a dramatic 46.63% year-on-year increase.
WAAPの重要性
The statistics above underscore the evolving sophistication of cyber threats, particularly as generative AI, machine learning, and automation accelerate the development of new attack techniques. Common threats include malware, cross-site scripting (XSS), adversarial bots, and volumetric Distributed Denial of Service (DDoS) campaigns, all of which pose significant risks. These attacks can lead to data breaches, service disruptions, and compromised application integrity, resulting in reputational damage and financial losses.
With new functionalities and features, attackers have more surface area to try and target. Adopting agile methodologies and DevOps practices has also resulted in a rapid increase in the pace of development, software updates, and new feature releases.
These trends in development have also resulted in traditional web application firewalls (WAFs) being unable to keep up with the security needs. WAF relies on manual tuning and constant maintenance and generally only monitors for the top 10 most critical threats listed by the Open Web Application Security Project (OWASP Top 10). This means today’s developers, application security teams, and DevOps need a better solution to provide security that scales with their web application deployment.
Web アプリケーションと API 保護でビジネスを安全に保つには?
WAAP services have an edge over traditional application security solutions because the latter often fails when protecting web applications and API. Here are some of the ways in which WAAP solutions protect your business.
シグネチャベースの検出よりも優れています
Web アプリケーションに対する脅威は常に進化しているため、シグネチャ ベースのソリューションを使用してこれらを検出しようとしても効果的ではありません。今日機能するものが翌月には機能しない可能性があり、たとえ機能したとしても、組織全体に拡張することは容易ではありません。 WAAP ソリューションは、継続的な自己学習が可能で、脅威環境の一歩先を行くのに役立ちます。
ポートベースの検出が失敗した場合に機能します
ファイアウォールのような従来のソリューションは、通常、使用中のポートまたはプロトコルに基づいてトラフィックを除外またはブロックすることで機能します。攻撃者はユーザーと同じ Web ポートとプロトコルを利用するため、これらは Web アプリケーションと Web API を標的とする攻撃に対しては機能しない可能性があります。これは、悪意のあるトラフィックを選択的にフィルタリングすることが非常に難しくなり、WAAP ソリューションによって提供されるより高度な検査機能が必要になることを意味します。
HTTP トラフィックに隠された悪意のあるコンテンツを検出できます
Web アプリケーションは、サイバー犯罪者が悪意のあるコンテンツを隠すために使用できる HTTP トラフィックを使用します。侵入検知および防止システム (IDS/IPS) は、ある程度のアプリケーション セキュリティを提供する可能性がありますが、これらの脅威を検出して Web アプリケーションを保護するには十分ではありません。対照的に、WAAP ソリューションは TLS 接続を検査するため、トラフィックに隠れているマルウェアや悪意のあるコンテンツを特定できます。今日のすべての Web トラフィックの半分以上が TLS 暗号化を使用しているため、これはビジネスにとって重要です。
How WAAP Differs From Other Security Measures
WAAP solutions possess certain features that allow them to be better than traditional security measures such as the WAF:
次世代 Web アプリケーション ファイアウォール (次世代 WAF)
Next-Gen WAF provides better protection than traditional WAF solutions because of their unique capabilities such as behavioral analysis and artificial intelligence (AI). Since these don’t depend on known attack patterns and manual tuning with set security rules, they allow for protection against a broad spectrum of attacks.
悪意のあるボットやトラフィックに対する保護
従来のセキュリティ ソリューションでは、多くの場合、正当なトラフィックと悪意のあるトラフィックを区別できませんが、WAAP ソリューションは、疑わしいトラフィックを分離してボット保護を提供しながら、安全なトラフィックを通過させて意図したとおりにアプリケーションに到達させることができます。
分散型サービス妨害 (DDoS) に対する保護
DDoS 攻撃は、アプリケーションを標的とする最も一般的な脅威の 1 つです。 WAAP ソリューションは、アプリケーション層での DDoS 攻撃からアプリケーション、API、およびマイクロサービスを保護します。このタイプの保護は、攻撃の量に合わせてスケールアップすることもできます。
高度なレート制限
レート制限は、アプリケーション レベルで不正行為を制限する 1 つの手法です。基本的に、ボットがアプリケーションへの総当りログインを試行する回数など、特定の期間内に誰かがアクションを繰り返すことができる頻度に上限を設けます。このようなアクティビティを制限することで、WAAP ソリューションの高度なレート制限機能がアプリケーションと API を保護し、パフォーマンスを維持します。
マイクロサービスと API の保護
API、マイクロサービス、Web アプリケーションには個別のセキュリティ要件があり、個別の保護が必要です。 WAAP ソリューションは、それぞれにセキュリティを配置し、必要に応じてデータとコンテキストを認識する境界を使用することで、これを実現します。
アカウント乗っ取り対策
One way in which cybercriminals access sensitive data is by using compromised credentials from previously obtained data dumps and password lists. Account takeover protection tools prevent this by detecting unauthorized access using authentication APIs or an application’s customer-facing authentication process.
コンテンツ配信ネットワーク (CDN)
Some WAAP solutions comprise Content Delivery Networks which also enhance the protection of the applications. CDNs help reduce the server’s load in the event of a spike in malicious traffic, such as during a DDoS attack, by distributing the load to a network of globally distributed servers. This way, it can help in content caching, load balancing and failover, to ensure that your applications keep performing and being accessible to your users across the globe.
The Future of WAAP
クラウド コンピューティングの導入拡大、最新の DevOps プラクティス、マイクロサービス アーキテクチャの急増、アプリケーションと API の継続的な進化により、Web アプリケーションと API のセキュリティはさらに複雑になっています。したがって、WAAP ソリューションは、テクノロジ環境の急速な変化に対応できるように、適応性と拡張性を備えている必要があります。最新のデジタル運用に不可欠な俊敏性とパフォーマンスを妨げることなく、堅牢なセキュリティを提供する必要があります。
さらに、WAAP ソリューションでは、その有効性を高めるために人工知能と機械学習がますます取り入れられています。これらのテクノロジーにより、より洗練された脅威検出および対応メカニズムが実現し、攻撃をリアルタイムで識別して軽減し、進化する攻撃パターンに適応できるようになります。
要約すると、Web アプリケーションおよび API 保護 (WAAP) は、Web ベースのテクノロジがビジネス運営の中心となっている時代に、サイバーセキュリティの重要な側面を表しています。包括的で動的かつ適応性の高いセキュリティ ソリューションを提供することで、WAAP は、Web アプリケーションと API を標的とする、絶えず進化し、ますます高度化するサイバー脅威から保護するのに役立ちます。
WAAP セキュリティのための CDNetworks との提携
CDNetworks WAAP Capabilities のコア機能は、ボット軽減、WAF、API 保護、および DDoS 攻撃からの保護を中心としています。これらのクラウド WAAP サービスは、CDNetworks のセキュリティ モジュールで構成されています。 サービス特徴 組織が異種のデジタル インフラストラクチャ全体にクラウド インフラストラクチャを展開できるようにします。
CDNetworks のクラウド セキュリティ ソリューションは、コンテンツ配信ネットワーク (CDN) の堅牢なパフォーマンスと強化されたセキュリティを組み合わせて、Web サイトのコンテンツを迅速かつ安全に配信します。 Web サイト、アプリケーション、および API 用の多層セキュリティ テクノロジが付属しており、企業が柔軟かつ経済的な方法で事業運営を保護するのに役立ちます。
CDNetworks も提供しています Application Shield
(マルチレイヤWAF)、Bot Shield、API Shield は、Web アプリケーションと API を一緒に保護するソリューションです。アプリケーション シールドは、Web アプリケーション ファイアウォール (WAF)、DDoS 保護、および CDN アクセラレーションを統合して、トロイの木馬、クレデンシャル スタッフィング、Web アプリケーション攻撃などのさまざまな脅威から保護します。 Bot Shield - Bot対策 はクラウドベースのボット管理ソリューションであり、企業が正当な人間のトラフィックとボット トラフィックを簡単に区別し、善良なボットと悪意のあるボットを区別するのに役立ちます。 API Shield は、組織の API リソースを保護するフルサイクル管理であり、繰り返されるリクエストに対する API 保護も提供します。
