Akamai App & API Protector：シンプルなソリューションで最高のセキュリティを

サーバーレスコンピューティングや、マイクロサービスベース、 IaaS 環境、APIを多用した現在のアプリケーションでは、様々な脆弱性やリスクが生じています。アジャイル型の開発でコードのアップデートのサイクルが短くなり、ITやセキュリティチームはセキュリティ上の検証を十分行えていません。一方、サイバー犯罪者は、盗まれた認証情報を購入して ボットネットをレンタルすることで、迅速かつ簡単に Credential Stuffing 攻撃を開始できます。しかし、これらの課題の解決に異なるベンダーのセキュリティ製品を導入したお客様からは「製品がバラバラで使いづらくサイバー攻撃の把握が難しい、コストも増大している」といった声もお聞きします。防御システムの複雑化は円滑な運用を阻害する要因にもなっています。 

高度なテクノロジーを集約

製品が混在するとコストや複雑さが増し、スキルの高い人材も必要になります。多くの組織が対応できないでしょう。Web アプリへの攻撃だけでなく、API の悪用、DDoS まで、多様な攻撃が進化している今、世界中に配置されたアプリと API のセキュリティを確保するためには、包括的で拡張可能であり、さらにお客様が実際に扱えるソリューションである必要があります。Akamai はお客様を重視するという命題に沿い、機械学習をはじめとする高度な技術を用いて、ユビキタスでパワフルな、アプリケーションおよび API セキュリティを実装し、かつ複雑な運用を自動化でシンプルにして、この課題を解決します。

世界的なアナリストファームや お客様から、 Akamai は、 アプリケーションおよび API セキュリティで業界のリーダーだとの評価を何年も連続で得てきました。リーダーとして、Web アプリケーションファイアウォール、ボット緩和、API セキュリティ、DDoS 防御など、当社のコアテクノロジーをまとめた次世代の Web アプリケーションと API の保護（WAAP）ソリューションを発表できることを嬉しく思います。

Akamai App & API Protector」を発表できることを嬉しく思います。 

Akamai App & API Protector は、Akamai の新たな 適応型セキュリティエンジンを搭載し、最新のアプローチで Web と APIを包括的に保護する新製品です。

導入直後から速やかに防御を強化  

App & API Protector は、強力な保護機能を包括的に取り揃え、最高のセキュリティ効果をもたらすように設計されています。「必要に足る」セキュリティを提供するソリューションとは一線を画し、App & API Protector には、そのシンプルな設計からは想像できないほど洗練された高度なテクノロジーが組み込まれています。お客様の 92% 以上が、Deny（検知した攻撃をリアルタイムにブロックする）モードで運用しているAkamaiならではの高精度な検知能力にさらに磨きをかけながら、手間とスキルが必要だった運用をシンプルにすることに成功しました。

• フォールス・ポジティブ（誤検知）を 1/5 に減らし 2 倍の攻撃を検知 — 新エンジンの多元的な適応型検知では、Akamai 独自のインテリジェンスと保護対象の各サーバーへのWeb および API リクエストのデータ／メタデータと照合し、自動化されたロジックによって攻撃を精密に特定します。自動化されたロジックによって攻撃を精密に特定します。そのサイトの環境に動的に適応する検知によって、これまで評価の高かった従来の Akamai のWAF エンジンとの比較でも、SQLi、XSS、RFI、CMDi の攻撃の特定数が 2 ～ 4 倍とさらに向上し、WAF 運用の最大の課題であるフォールスポジティブを 1/5 以下に抑えることも実証されています。つまり、正規のユーザーに影響を及ぼすことなく、最大限の保護を実現できるのです。 

•  API の自動検出とセキュリティで API のリスクを軽減 — Web トラフィックの分析により、既知、未管理の API と、そのエンドポイント、定義、トラフィックプロファイルなどの変化を自動で探索できます。さらに、API を狙う DDoS 攻撃、インジェクション攻撃、ボットによる攻撃や妨害から保護します。ポジティブセキュリティ制御を適用するか否かにかかわらず、すべての API リクエストに対して悪性コードの検査が自動で行われます。Gartner の『2021 Critical Capabilities for Cloud Web Application and API Protection』レポートでは、API セキュリティおよび DevOps のユースケースにおいて、Akamai が競合の中でトップに位置付けられました。  

• 悪性ボットの検知と阻止 — App & API Protector に直接組み込まれているボットの可視化と緩和の機能により、望ましくないボットを検知して緩和します。Akamai のボット検知は、トラフィックが増加しても自動的にスケーリングされるため、突発的なボットトラフィックの増加からサーバーの稼働を保護することも可能です。ボットの影響を可視化し、必要に応じて悪性ボットをブロックします。他社の WAAP 組み込み型の簡易的なソリューションとは異なり、Akamai には業界をリードするボット検出技術と、1,500 を超える後半な既知のボット定義ディレクトリを備えています。これに加え、お客様が独自のボット定義の作成もでき、ボット攻撃を予防的に監視し緩和する機能を提供します。 

自動化でよりスマートかつ強力に

製品が使いにくいと、リスクや運用のオーバーヘッドが生じます。だからこそ、Akamai は、App & App API Protector を設計する際に、人間による分析が必要な部分を残しながらも、可能な限り自動化することで日常業務のオフロードとシンプル化を可能にしたのです。Akamaiは今後も技術開発によって、この自動化能力を継続的に改善し、進化させていきます。

• セルフチューニング機能により運用の負担を軽減 — 真の攻撃と誤検知の両方を含む、すべてのセキュリティトリガーが、高度な機械学習を使用して自動分析され、ポリシーに応じた推奨チューニングが提示されます。管理者はその通知を受け取り、管理 UI 上で数クリックするだけで簡単に承認し、ポリシーに追加することができます。このプロセスは、API、コマンドラインインターフェース（CLI）、または Terraform プロバイダーを使用して自動化も可能です。

• Akamai のセキュリティリサーチャーが自動でルールを更新 — 新検知エンジンでは、Akamai のリサーチャーが、アプリケーションと API 攻撃検知ルールの更新を行うため、お客様に手間をかけることなく検知ルールの自動更新が可能です。330 名を超える世界トップクラスのセキュリティリサーチャーが高度な機械学習とデータマイニングの技術を駆使し、1 日に 300 TB 以上の攻撃データを継続的に分析し、最新の脅威に対する防御を自動的に更新します。

• 事業成長のペースに合わせた DevOps の統合 — Akamai CLI、Terraform、または CI／CD 自動化パイプラインのスクリプトを使用して Akamai API をと統合することで、迅速なオンボーディング、アプリケーションと API 全体の管理統合、マルチクラウド上のリソースの一元的な防御が可能になります。さらに GitOps ワークフローで DevOps チームとセキュリティチームのコラボレーションを改善するといったことが可能となり、今日の開発速度に遅れをとることなくセキュリティを確保していくことができます。

Gartner、「Critical Capabilities for Cloud Web Application and API Protection」、Watts、Hils、D'Hoinne、Handa、2021 年 9 月 20 日

ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高のレーティングまたはその他の評価を得たベンダーのみを選択するように助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。