WAAP、現代のウェブアプリケーションとAPIセキュリティの重要な戦略 | MONITORAPP

Blog

Get the latest cybersecurity news

ブログページへ戻す

WAAP、現代のウェブアプリケーションとAPIセキュリティの重要な戦略

企業のウェブサーバは、ウェブサービスの特性上、常に外部に公開されて運営されます。
このため、ハッキング事故の約80%がウェブサーバをターゲットに発生します。
しかし、ファイアウォール、IPS(Intrusion Prevention System)のような従来のセキュリティソリューションは、現代の複雑なネットワーク環境で明らかな限界点を有しています。

 

 

ウェブサーバはhttpのための80ポートとhttpsのための443ポートは常に開いておく必要があります。
このため、ファイアウォールはそのポートに入ってくるすべてのトラフィックを正常な通信とみなし、セキュリティリスクを増大させます。
また、IPSは詳細なポリシー設定を提供せず、システム負荷などの理由でSSL通信に対する防御能力が不十分です。

このような状況で、企業はより細分化されたセキュリティポリシーの設定が可能で、個人情報保護規制及び規定を遵守するより効果的なセキュリティソリューションの必要性が高まりました。 これに伴い、WAF(Web Application Firewall)が市場に登場しました。

 

 

WAFは、Webアプリケーションを対象とするSQLインジェクション、クロスサイトスクリプティング(XSS)、コマンドインジェクションなど、様々な形態の攻撃を検出して遮断します。
WAFは登場以来、絶えず発展してきました。 初期には主にブラックリストとホワイトリスト方式を使用しましたが、その後、ウェブトラフィックコンテンツ分析などの技法を活用して攻撃タイプに応じたポリシー管理を強化しました。

しかし、技術の発展とともにウェブアプリケーションも進化し、従来の単一アーキテクチャから脱却し、マイクロサービスアーキテクチャを使用するようになりました。 つまり、実際にウェブアプリケーションは複数の小さなサービスの集合で構成されており、この小さなサービスはAPIを通じて互いに接続され、一つのアプリケーションのように見えます。

 

 

API(Application Programming Interface)は、それぞれのアプリケーション間のデータ交換を可能にするメカニズムです。単純な数値データから、機密情報まで、APIを通じて伝達されています。このようにAPIの使用が増加し、Webセキュリティの焦点は単純なWebアプリケーションからAPIセキュリティまで拡大されました。 このような変化に伴い、GartnerはWAAP(Web Application and API Protection)を定義しました。

 

 

WAAPは従来のWAFの機能を超えて、APIセキュリティ、ボット攻撃の緩和、DDoS防御などを含む、より包括的なセキュリティソリューションです。ここでは、APIセキュリティについて説明します。

 

 

APIセキュリティは、WAAPの重要な要素であり、APIを様々な種類の攻撃から守るためのプロセスです。このためには、APIトラフィックの可視性を確保し、各エンドポイントに特定のポリシーを設定することが不可欠です。たとえば、APIをDDoS攻撃から保護するポリシーを策定したり、不正なパラメータ値の伝達を防ぐポリシーを設けたりする必要があります。また、許可されていないユーザーやアプリケーションのアクセスをブロックするポリシーも非常に重要です。

 

 

APIに送信されるすべての入力データは検証されるべきです。各APIエンドポイントは異なるパラメータの形式を必要とすることがあるため、データの形式が正しいかどうかを確認することが重要です。不正なデータや攻撃的な構文(SQL Injection、XSS攻撃など)が伝達される可能性がある場合、そのトラフィックをウェブサーバに伝達しないようにする必要があります。特に、DDoS攻撃のような悪意のあるトラフィックが増加すると、APIはターゲットにされることがあり、このような過剰なトラフィックを管理するために速度制限などの手法を使用することが不可欠です。

 

 

さらに、APIセキュリティにおいて重要なのは、認証されていないユーザーからのAPIリクエストをブロックすることです。APIはデータの送受信を行うリクエストを含むため、認証されていないユーザーがデータの送受信を行うことは、アプリケーションに致命的な影響を及ぼす可能性があります。そのため、API通信時には特定の認証ヘッダー値やトークンなどが含まれている必要があり、WAAPはこれらの値が正しくないリクエストを防ぐ役割を果たす必要があります。

 

 

最後に、WAAPはウェブサーバに到達するトラフィックのうち、APIトラフィックだけを識別し、その使用パターンをモニタリングし、異常なアクティビティや疑わしいトラフィックを検出するためにログを記録する必要があります。

 

 

MONITORAPPのAIWAFは、APIセキュリティだけでなく、ボット攻撃の緩和やDDoS防御などを含むWAAPソリューションです。

 

 

MONITORAPPのAIWAFは、従来の物理アプライアンス方式でデータセンター内に設置することもできますし、仮想マシンをパブリックまたはプライベートクラウドに配置・構成するバーチャルアプライアンス方式でも利用可能です。

 

 

 

MONITORAPPのAIWAF/AIWAF-VEを導入して、企業のウェブアプリケーションとAPIを強力に保護しましょう。

Scroll Up