WAAPとは?多様化するサイバー攻撃を防ぐためのセキュリティ対策を解説
はじめに
昨今WebアプリケーションやAPIを狙ったサイバー攻撃が多様化しています。基本的なセキュリティ対策である従来型のWAFだけでは、十分な対応と言えないかもしれません。そこで注目されているのが、「WAAP」という比較的新しいセキュリティ対策です。この記事ではWAAPの基本的な機能やCloudflareのサービスをご紹介します。
WAAPとは
まずはWAAPの基本的な概念からご紹介します。
WAAP(Web Application and API Protection)は、アメリカのITコンサルティング会社であるガートナー社が提唱した、包括的なセキュリティサービスの概念および製品群です。クラウド型WAF(Web Application Firewall)を発展させたセキュリティ対策と言われることもあります。WAAPは、サイバー攻撃の標的となりがちなWebアプリケーションとAPIを保護することを目的としています。
WAAPのコンセプトが誕生した背景にあるのは、サイバー攻撃の多様化です。
昨今ではWebアプリケーションの脆弱性を突いた攻撃や、APIを狙った攻撃、Botを用いた攻撃、DDoS攻撃といったように攻撃手法が多数登場しました。Webアプリケーションの脆弱性侵害に対するWAFを導入するだけでは、それらのさまざまな脅威をすべて防ぐのは難しいと言えます。またWAFはときに手動でチューニングする必要もあり、そうなれば専門家を確保しなければなりません。
このように多様化するサイバー攻撃に対して、個別の製品群ではなく包括的にカバーできるセキュリティ対策として、WAAPの考え方が登場しました。
ガートナー社が提唱した「WAAP」の概念
WAAP(Web Application and API Protection)は、アメリカのITコンサルティング会社であるガートナー社が提唱した、包括的なセキュリティサービスの概念および製品群です。クラウド型WAF(Web Application Firewall)を発展させたセキュリティ対策と言われることもあります。WAAPは、サイバー攻撃の標的となりがちなWebアプリケーションとAPIを保護することを目的としています。
Webアプリケーションセキュリティの変化
WAAPのコンセプトが誕生した背景にあるのは、サイバー攻撃の多様化です。
昨今ではWebアプリケーションの脆弱性を突いた攻撃や、APIを狙った攻撃、Botを用いた攻撃、DDoS攻撃といったように攻撃手法が多数登場しました。Webアプリケーションの脆弱性侵害に対するWAFを導入するだけでは、それらのさまざまな脅威をすべて防ぐのは難しいと言えます。またWAFはときに手動でチューニングする必要もあり、そうなれば専門家を確保しなければなりません。
このように多様化するサイバー攻撃に対して、個別の製品群ではなく包括的にカバーできるセキュリティ対策として、WAAPの考え方が登場しました。
WAAPを構成する4つのコア機能
WAAPを構成するのは、WAF、APIセキュリティ、DDoS対策、Bot対策の4つのコア機能です。
WAF(Web Application Firewall)とは、Webサーバーの前面に配置し、Webアプリケーションへの通信から悪意ある通信を識別して、Webアプリケーションの脆弱性を突いた攻撃を低減するセキュリティ対策です。WAFはファイアウォールやIPS/IDSなどでは防御できない攻撃を検知・遮断し、Web アプリケーションを保護します。WAFが防ぐ攻撃手法には、SQLインジェクションやクロスサイトスクリプティング攻撃があります。
WAFについて詳しくは下記記事をご参照ください。
WAFの方式としては、ソフトウェアをインストールするソフトウェア型(ホスト型)、専用機器を設置するアプライアンス型、クラウドサービスを利用するクラウド型があります。
Webサイト、Webアプリケーションを狙った攻撃へのセキュリティ対策を行っていない場合は、WAFの導入を検討すると良いでしょう。アクセリアでもクラウド型WAFサービスをご提供しています。
APIは「Application Programming Interface」の略称で、ソフトウェアやプログラム、Webサービスのデータや機能と連携し、利用できるようにするための技術です。APIを用いて機能を連携することをAPI連携と呼びます。API連携においてはAPIの接続仕様が一般公開されているため、外部サービスから呼び出して機能の利用ができる反面、APIの脆弱性や認証を狙った攻撃も可能となってしまいます。そのためAPI連携に特化したセキュリティ対策も必要です。
APIセキュリティとして代表的な技術は、API Gateway(API ゲートウェイ)です。これはクライアントとサービスの間に位置し、リバースプロキシとして機能するものです。
DDoS攻撃とは複数のコンピューターから攻撃対象に大量の通信を送り、サーバーやネットワークの負荷を高めて処理を遅延させ、Webサービスのダウンを狙う攻撃です。DDoS攻撃は世界中で発生しており、日本でも企業や官公庁、病院などさまざまな業種で被害が報告されています。
DDoS攻撃は正常な通信と見分けがつきにくい攻撃であることから、防御が難しいとされます。DDoS攻撃対策として有効であるのが、CDNです。CDNはコンテンツを複数の配信拠点にキャッシュし、そのキャッシュサーバーからコンテンツを配信する仕組みを持っており、オリジンサーバーへの負荷を軽減できます。
WAFとCDNの違いについては下記をご参照ください。
Bot(インターネットボット)は処理を自動化するためのプログラムで、単純な処理を繰り返し実行することに適しています。この特徴からBotはDDoS攻撃の手法として用いられることもあります。したがってBot対策もセキュリティ対策として重要です。
Botには、インターネットコンテンツの検索に利用されるWebクローラーなどの正当なBotと、Webサービスのダウンを狙い不正アクセスを行う悪意あるBotがあります。Bot対策としてはこの両者を判定し、悪意あるBotのみを遮断する機能が必要です。
WAF
WAF(Web Application Firewall)とは、Webサーバーの前面に配置し、Webアプリケーションへの通信から悪意ある通信を識別して、Webアプリケーションの脆弱性を突いた攻撃を低減するセキュリティ対策です。WAFはファイアウォールやIPS/IDSなどでは防御できない攻撃を検知・遮断し、Web アプリケーションを保護します。WAFが防ぐ攻撃手法には、SQLインジェクションやクロスサイトスクリプティング攻撃があります。
WAFについて詳しくは下記記事をご参照ください。
 | 参考コラム:WAFとは?ファイアウォールとの違いや仕組み、導入ポイントを解説 |
WAFの方式としては、ソフトウェアをインストールするソフトウェア型(ホスト型)、専用機器を設置するアプライアンス型、クラウドサービスを利用するクラウド型があります。
Webサイト、Webアプリケーションを狙った攻撃へのセキュリティ対策を行っていない場合は、WAFの導入を検討すると良いでしょう。アクセリアでもクラウド型WAFサービスをご提供しています。
APIセキュリティ
APIは「Application Programming Interface」の略称で、ソフトウェアやプログラム、Webサービスのデータや機能と連携し、利用できるようにするための技術です。APIを用いて機能を連携することをAPI連携と呼びます。API連携においてはAPIの接続仕様が一般公開されているため、外部サービスから呼び出して機能の利用ができる反面、APIの脆弱性や認証を狙った攻撃も可能となってしまいます。そのためAPI連携に特化したセキュリティ対策も必要です。
APIセキュリティとして代表的な技術は、API Gateway(API ゲートウェイ)です。これはクライアントとサービスの間に位置し、リバースプロキシとして機能するものです。
DDoS攻撃対策
DDoS攻撃とは複数のコンピューターから攻撃対象に大量の通信を送り、サーバーやネットワークの負荷を高めて処理を遅延させ、Webサービスのダウンを狙う攻撃です。DDoS攻撃は世界中で発生しており、日本でも企業や官公庁、病院などさまざまな業種で被害が報告されています。
DDoS攻撃は正常な通信と見分けがつきにくい攻撃であることから、防御が難しいとされます。DDoS攻撃対策として有効であるのが、CDNです。CDNはコンテンツを複数の配信拠点にキャッシュし、そのキャッシュサーバーからコンテンツを配信する仕組みを持っており、オリジンサーバーへの負荷を軽減できます。
WAFとCDNの違いについては下記をご参照ください。
| 参考コラム:CDNとWAFの違いとは?併用するメリットと構成例、注意点を解説 |
Bot対策
Bot(インターネットボット)は処理を自動化するためのプログラムで、単純な処理を繰り返し実行することに適しています。この特徴からBotはDDoS攻撃の手法として用いられることもあります。したがってBot対策もセキュリティ対策として重要です。
Botには、インターネットコンテンツの検索に利用されるWebクローラーなどの正当なBotと、Webサービスのダウンを狙い不正アクセスを行う悪意あるBotがあります。Bot対策としてはこの両者を判定し、悪意あるBotのみを遮断する機能が必要です。
CloudflareのWAAPを構成するもの
Cloudflareは、ガートナー社が認定する「Gartner® Magic Quadrant™ WAAP部門」のリーダーに選ばれています。リーダーとは、ソリューションのビジョンを実行できており、将来のポジションを確立している企業に贈られる称号です。
Cloudflareが「Gartner® Magic Quadrant™ WAAP部門」リーダーに認定された際に評価された製品や機能をご紹介します。
Cloudflare API Gateway
Cloudflare API Gatewayは、認証不正やデータ損失、不正利用、DDoS攻撃など、API攻撃の中でも重大リスクとなる10種類の攻撃をブロック。異常と思われるAPI利用を検出し、XMLやRESTful、GraphQLを帯域幅消費型攻撃から保護します。
Cloudflare Bot管理
Cloudflareは、1日に何十億件とあるリクエストからデータを集めることができ、そのデータをもとに行動分析や機械学習、フィンガープリンティング(※)といった技術でBotを判定します。
※フィンガープリンティング:ブラウザーのバージョンや設定、言語などから、個々のブラウザーやユーザーを判定する技術。
悪意あるBotと判定された場合、異なるページへ転送するか、またはアクセスできないようにブロックできます。
| 参考コラム:Cloudflareが提供する高精度のボット対策ー機能や設定方法をご紹介 |
Cloudflare DDoS防御サービス
CloudflareのDDoS防御サービスは1日あたり平均1820億件の脅威をブロックします。DDoS防御サービスを担う製品は下記の3つです。
・WebサイトのDDoS 保護(L7):全てのCloudflareアプリケーションサービスプランで無料提供されるものです。
・アプリケーションのDDoS保護(L4):リバースプロキシ製品であるCloudflare Spectrumを用います。
・ネットワークのDDoS 保護(L3):Magic TransitでIPサブネット全体をDDoS攻撃から保護し、ネットワークトラフィックの加速も行います。
Cloudflare WAF
Cloudflare 独自の管理ルールや機械学習、機密データ検出機能などで不正な通信の検出およびブロックが可能となります。
WAAPについてのご相談はアクセリアへ
アクセリアでは、Cloudflareを用いたサービス「Solution CDN」をご提供しています。Cloudflareの専門知識を持った日本人エンジニアが導入を支援し、最先端のセキュリティ対策をご利用いただけます。企業や組織の状況やご要望にあったご提案が可能です。
WAAPの機能によるセキュリティ対策を検討している場合はぜひアクセリアにご相談ください。
WAAPの機能によるセキュリティ対策を検討している場合はぜひアクセリアにご相談ください。
まとめ
サイバー攻撃は日々巧妙化しており、導入すれば万全なセキュリティとなる対策は存在しません。しかし、その中でもWAAPは現代のサイバー攻撃に対して包括的なセキュリティ対策となりえます。企業や組織の多様なWebアプリケーションを保護するため、最新のセキュリティ対策を導入しましょう。
アクセリア株式会社
サービス事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service