API Gateway と WAAP の違い — なぜ両方必要なのか
Akamai API Gateway と Akamai App & API Protector の概要
今日のデジタル環境には Web アプリケーションと API の保護(WAAP) に関する動的課題がまん延しています。こうした変化に対応するため、Akamai では日々進化を続けています。Akamai は、サイバーセキュリティに真摯に取り組むパートナーとして、 アプリケーション・プログラミング・インターフェース(API) に対する最新の脅威について詳しく調査しています。だからこそ、大切なお客様を最も効果的に守る堅牢なソリューションを構築できるのです。
今回は、併用することによってエンタープライズ組織のセキュリティアーキテクチャを強化する 2 つの Akamai ソリューションについて、その主な機能をご紹介したいと思います。この 2 つのソリューションとは、 Akamai API Gateway(Akamai の API トラフィック制御ソリューション)と Akamai App & API Protector(Akamai のクラウド WAAP ソリューション)です。
Akamai API Gateway について
API Gateway は、組織ネットワークの API 管理とセキュリティを最適化します。また、重要な中継点として機能し、着信する API リクエストの認証、許可、ルーティングを実行します。このゲートウェイは防御の最前線に位置し、API リクエストがバックエンドシステムとやり取りする前にリクエストを検査します。つまり、トラフィックの認証と許可を通じて API を調べ、その API がアクセス可能で効率的かつ安全であることを確認します。
Akamai App & API Protector について
Akamai の App & API Protector は従来の Web Application Firewall(WAF) を進化させた製品であり、Web アプリケーションと API の両方に対して包括的な保護を提供します。このソリューションには次世代の WAAP テクノロジーが実装されているので、自動化やインテリジェンスを活用しながら、資産を高度なセキュリティ脅威から大規模かつ統一的に保護することができます。さらに、全世界のトラフィックや脅威から継続的に学習することで適応型のセキュリティを実現し、変化するサイバーセキュリティ課題に最新の防御策で対抗できます。
この包括的な WAAP ソリューションは、常に更新されていく強力なテクノロジーや手法を通じて、エンタープライズ組織のセキュリティ状況を従来の WAF から大きく進化させます。
「WAF」と「クラウド WAAP ソリューション」は紛らわしく、特に OWASP Top 10 Web Application Security Risks と OWASP Top 10 API Security Risks に対する防御の文脈では混同されがちです。私たちは、Web アプリケーションと API の両方に対する保護が含まれていることを考慮して「クラウド WAAP ソリューション」という用語を使っています。
図 1 に示されているとおり、お客様の環境にアクセスしようとするトラフィックは、正当なものも悪性なものも、API Gateway による認証を受け、さらに App & API Protector によって防御、可視化、エッジ・キャッシュ・スケーリングが適用されます。このような仕組みを通じ、正当なトラフィックだけがお客様のところに到達します。
図 1:トラフィックは、API Gateway、そして App & API Protector による防御を通過してからお客様の環境に到達します
API ゲートウェイと WAAP の連携
API リクエストのプロセスは、API Gateway から始まり、ここで API の調査、認証/許可、インテリジェントルーティングが実行されます。
ゲートウェイを通過すると、App & API Protector に進み、そこでさらに詳しいセキュリティチェックが行われます。これには、分散型 サービス妨害(DDoS) 攻撃の緩和、ボット管理、SSL と TLS の暗号化などが含まれます。App & API Protector は、セキュリティポリシーを適用することで、攻撃試行を緩和し修正します。
Akamai の多層型セキュリティモデルでは、お客様の重要なバックエンドサービスやマイクロサービスに到達してこれらとやり取りできるのは、安全かつ正当なリクエストに限られます。
API Gateway と WAAP の違い
API Gateway と WAAP は、Akamai のセキュリティ制御やアーキテクチャの不可欠なコンポーネントとして、相互に補完しあいながら機能していますが、API の脅威緩和における役割はそれぞれ異なります。
API Gateway は、API トラフィックの認証、許可、ルーティングを処理し、トラフィックのランタイムパフォーマンスと初期のセキュリティチェックを最適化します。
一方、App & API Protector(Akamai の WAAP ソリューション)は、より詳細できめ細かなセキュリティを提供します。Akamai Adaptive Security Engine のような最先端のセキュリティテクノロジーを活用し、巧妙な Web 攻撃や API の悪用など、多くの悪性ハッカーが使用する手口を防御します。
API Gateway をセキュリティスタックに統合する理由
着信する API トラフィックすべてに対する最初のチェックポイントとして API Gateway を使用することにより、以下の機能が可能となります。
アクセス制御: API Gateway は、エッジで JSON Web Token(JWT)を検証し、API キーを管理します。これにより、不要なトラフィックがコアシステムに到達するのを防ぎ、アイデンティティプロバイダーの負荷を軽減しながら、ネットワークレイテンシーを大幅に改善できます。
トラフィック管理: API リクエストに制限を設定し適用する機能を活用することで、過剰なコールが発生してもサービスを維持できます。誰が何にどの程度の頻度でアクセスできるかを細かく制御できます。
レポートとポリシー適用の強化: API Gateway は、API の使用パターンに関する知見に加え、ルーティングルールや API プライバシー設定などのポリシーを適用する機能も提供します。これにより、最適なパフォーマンスが実現され、多様な標準への確実な準拠が可能となります。
App & API Protector の多機能一体型アプローチ
App & API Protector は、単一のフレームワーク内に複数の高度な機能と多層防御を組み込んだ、高速かつ信頼性の高い包括的セキュリティソリューションとして設計されています(図 2)。
図 2:App & API Protector は多機能一体型ソリューションとして設計されています
業界をリードするアプリケーションセキュリティ
多層的に組み込まれた機能とカスタマイズ可能なきめ細かい設定(高度なレート制限など)により、すべてのアプリケーションを効果的に保護できます。これらの機能は最も高度な脅威を阻止し、脆弱性に対処できるように設計されています。また、プラットフォームに関する広範な可視性を活用してクライアントレピュテーションなどの要因への防御を提供する機能もあり、企業が予防的なセキュリティ体制を確立するために役立ちます。
API 保護
Akamai の WAAP ソリューションには、 API 攻撃 に対する防御に加え、API 探索の機能もあります。これは、新規の API、変更された API、または脆弱な API についてセキュリティチームに警告するとともに、クレジットカード番号や、電子メールアドレス、アカウント情報などの個人情報の使用またはアクセスを試行している API について予防的に報告する機能です。この機能は、データ漏洩の防止や、機微な情報の保護に関する法規の遵守に役立ちます。
DDoS 防御
DDoS 緩和の市場リーダーとして認められている App & API Protector は、お客様から遠く離れたネットワークエッジで攻撃トラフィックを吸収し消失させることで、インフラを効果的に保護します。最近のイノベーションにより、レート制限などのレイヤー7 DDoS 防御も強化され、アプリケーションを標的とするボリューム型攻撃を防御します。
ボットの可視化と緩和
1,700 を超える既知のボットから成る Akamai の広範なディレクトリにアクセスすることで、ボットトラフィックをリアルタイムで可視化できます。また、偏った Web 分析の調査や、オリジンの過負荷を防ぐことができるほか、独自のボット定義を作成することでサードパーティやパートナーのボットが阻止されずにアクセスできるようにすることも可能です。
Akamai Edge プラットフォームとコンテンツ・デリバリー・ネットワーク(CDN)
App & API Protector は、 業界をリードする Akamai Edge プラットフォーム が提供する最先端のパフォーマンスに、効果的なセキュリティを結び付け、Akamai CDN ソリューションの 100% 可用性サービスレベル契約を可能にしています。お客様に好評の機能、たとえば Akamai Site Shield、 Akamai Image and Video Manager、 Akamai mPulse Lite、 Akamai EdgeWorkers、 Akamai API Acceleration なども含まれています。
あらゆる脅威から常にネットワークを守る
API Gateway と App & API Protector は、堅牢なセキュリティアーキテクチャの重要なコンポーネントとして機能し、API 管理や予防的セキュリティを最適化するとともに、複雑化する脅威に対する強力かつ包括的な防御を提供します。この 2 つのツールの連携によって、常に変化するサイバー脅威からアプリケーションと API を効果的に保護できるのです。
これらのソリューションが提供するクラス最高レベルのセキュリティにアクセスし、しっかり活用することで、安全かつ効率的なデジタル環境を実現できます。その結果、重要資産を確実に保護しながら、ビジネスを拡大し、魅力的なユーザー体験を提供することが可能となります。
詳細を見る
詳細については、 2024 Gartner® Peer Insights™ Voice of the Customer: Cloud WAAP レポート をご覧ください。エンタープライズ組織は Web アプリケーションと API を守るためになぜ Akamai の WAAP および AppSec ソリューションを使用するのか、その理由をご確認いただけます。
