Web セキュリティの最新情報
Akamai の Web セキュリティポートフォリオに関して、10 月は Web Application Firewall(WAF)に焦点を当て、API ディスカバリーとアダプティブ・セキュリティ・プロファイルという魅力的な新機能を追加しました。
同業の他社様も同様と思いますが Akamai でも、当社の提供するアプリケーションにおいて従来型の Web サイトから API ベースのマイクロサービスアーキテクチャへの長期的な移行を目にしてきました。2019 年の調査では、当社プラットフォームで観測された ヒット件数の 83% は API トラフィック でした。その割合は継続しており、前年比で 30% の伸びを示しました。アタックサーフェス(攻撃の対象となり得る領域)が API に移行する中で、API リソースとそのトラフィックプロファイルに対する可視性の欠如は、引き続きセキュリティチームと開発チームの共通課題となっています。
Akamai は数年にわたって数々の API セキュリティ機能を発表してきました。2017 年には App and API Protector に、ボリューム型攻撃や脆弱性を悪用する攻撃から API を保護する新たなポジティブ/ネガティブ両方のセキュリティモデルを実装しました。2018 年には、API トラフィックをエッジで認証・認可する API Gateway をリリースしました。そして、2019 年には App and API Protector に Web アプリケーション攻撃に対する自動 API 検査機能を追加しました。こうした機能は、セキュリティチームが OWASP 発表の API セキュリティ脆弱性トップ 10 にあるような数多くの脆弱性に対応する際に役立っています。
10 月の Akamai プラットフォームアップデートでは、API エンドポイントとトラフィックプロファイルに対する継続的な自動ディスカバリーおよび可視化機能を実装します。この機能によって開発チーム、セキュリティチーム、運用チームは新しい知見の取得や API の登録、分散型サービス妨害(DDoS)やインジェクション、 Credential Stuffingをはじめとした各種攻撃からの API の保護をワンクリックで行える、効率化されたメカニズムを手に入れることができます。
今回のリリースにおける第 2 の目玉機能は、Automated Attack Groups 上に構築されたアダプティブ・セキュリティ・プロファイルです。これは Akamai の WAF エンジンを画期的に変えるものです。2017 年に導入された Automated Attack Groups はセキュリティプロファイルを提供するものであり、Akamai によって維持、自動更新されています。これにより、あまり手をかけたくないお客様にとっては WAF の設定と管理作業を大幅にシンプル化できます。
Adaptive Security Profiles は、1 つ 1 つの受信リクエストのリスクに応じた保護を適用することで、WAF 保護の能力と精度をさらに高めています。リクエストのリスクプロファイルは、Akamai プラットフォーム上の攻撃者評価や悪性オートメーションのマーカー、特定顧客に対する攻撃履歴、インターネット上の疑わしいソースからの発信など、10 種類を超える要素をもとに計算されます。こうした情報を付加することにより、フォールス・ポジティブ(誤検知)を増やさずにフォールス・ネガティブ(検知漏れ)を減らすことが可能になり、最高水準の WAF 精度を提供する Akamai のイノベーションを継続することにもつながります。Adaptive Security Profiles は App and API Protector で今すぐお使いいただけます。
WAF 以外にも、Akamai は Bot Manager、Client Reputation、 Client-Side Protection & Compliance、Prolexic など Web セキュリティ製品全体で数々の更新を行いました。お使いの製品の更新情報について詳しくは、以下を読み進めるか、 Akamai のブログをご覧ください。
Bot Manager
Bot Manager は、組織が良性ボットと悪性ボット(Credential Stuffing やオンライン詐欺に利用される非常に巧妙なものを含む)がビジネスおよび IT にもたらす影響を適切に管理する際に役立つソリューションです。
主な特長
クリプトチャレンジのアクション(モバイル):モバイルクライアントにクリプトチャレンジのアクション適用のサポートを追加
ボットエンドポイント保護レポート — チャレンジアクション:提示されたチャレンジ数または未解決のチャレンジ数を把握し誤検知を特定するための、チャレンジアクションに関する新しいセクションを追加
Akamai カテゴライズボット:以下のカテゴリーにボットシグネチャーを追加:教育および研究、ビジネスインテリジェンス、e コマース検索エンジン、エンタープライズ・データ・アグリゲーター、金融アカウントアグリゲーター、ジョブ検索エンジン、メディア/エンターテインメント検索、オンライン広告、SEO/分析/マーケティング、ソーシャルメディアまたはブログ、サイト監視/Web 開発、Web 検索エンジン
Web セキュリティ分析 — 新たなディメンションが追加:Web Security Analytics に、Bot Manager に API リソース目的名、ボットタイプ、リファラー、リファラードメイン、ルール、ルールの組み合わせ、クライアントタイプなど、新たなディメンションを追加
モバイル SDK v3.0.0:iOS 向け Bot Manager Premier ソフトウェア開発キット(SDK)プラグインでは、手作業による初期化のサポートが追加され、自動初期化のサポートが削除
Ion 統合:Adaptive Acceleration ポリシー作成時に mPulse データセットからのボットビーコンをフィルタリングし、受信するボットデータを除外することで、パフォーマンス最適化に使用されるデータセットを改善
Client Reputation
Client Reputation は、個々のクライアントがこれまで Akamai のすべての顧客に対して行ってきた悪性アクティビティに関する可視性に基づいて、保護レイヤーを追加するソリューションです。
主な特長
IP インテリジェンスの共有化:レピュテーションプロファイルを調査して確定し、レピュテーション情報をリクエストヘッダーに挿入してオリジンに転送するために、共有 IP アドレスの可視性を提供
設定 API:Client Reputation プロファイルをプログラムで作成・編集、またはレピュテーション情報をリクエストヘッダーに付加するための新しい API
App & API Protector
App & API Protector は、厳しい要件や複雑なアプリケーション環境を持つ組織向けに、DDoS 攻撃と Web アプリケーション攻撃からの包括的かつカスタマイズ可能な保護機能を提供します。
主な特長
API ディスカバリー:Akamai プラットフォーム上のトラフィックを分析して、(エンドポイント、定義、特徴などを含み)保護されている API と保護されていない API の両方を見つけ出し、その後それら API を登録し、 DDoS 攻撃、インジェクション、Credential Stuffing 攻撃から保護するための、シンプルなワークフローを提供
アダプティブ・セキュリティ・プロファイル:Automated Attack Groups が顧客ごとに異なる脅威の状況に合わせてセキュリティプロファイルをカスタマイズ。各リクエストの特徴を脅威スコアに付与して保護を動的に修正し、極めて巧妙な攻撃を検知
設定 API:お使いの WAF 設定(レートコントロール設定の変更、WAF ルールの更新、評価モードの設定、カスタム拒否の設定など)をプログラムで管理する新しい API
Client-Side Protection & Compliance
Client-Side Protection & Complianceは、悪性のスクリプトアクティビティを検知してウェブページの整合性を保護し、企業を守るために設計されたふるまいアプローチによるスクリプト保護を提供します。
主な特長
ドメインレピュテーション:インシデントとダッシュボードに表示されているリスクスコアの算出方法に関する詳細情報を提供することにより、リスクの特定および修復機能を強化
スクリプト・インテリジェンス・コンソール・フィルター:ユーザーインターフェースの拡張により、ドメインレピュテーションや Common Vulnerability and Exposure(CVE)のフィルター機能を追加。Client-Side Protection & Compliance によってフラグが付けられたスクリプトを分析するためのその他のスクリプトインテリジェンス変数もフィルター可能
Payment Card Industry(PCI)コンプライアンス:個人を特定できる情報(PII)の保護のため、Client-Side Protection & Compliance により、PCI-DSS 認証の全範囲における完全性を証明
シングルページのアプリケーションをサポート:Client-Side Protection & Compliance がシングルページ・アプリケーション・アーキテクチャで設計された Web サイトに、ブラウザー内の脅威に対する防御を提供
Managed Security Service:イベントの監視とアラート、Security Operations Command Center(SOCC)による攻撃防御サポート、設定支援、セキュリティ体制の検証、割り当てられたセキュリティエキスパートからの高度なアドバイスレポートを提供するオプションサービス
Prolexic
Prolexic は、データセンター内の Web および IP ベースのアプリケーション、クラウド・サービス・プロバイダー、コロケーション施設など、インフラ全体を DDoS 攻撃から保護したい組織に有用なソリューションです。
主な特長
IP Protect:ドメイン・ネーム・システム(DNS)リダイレクトを使用して、個々の Web および IP ベースのアプリケーションに関する顧客のトラフィックをオンボーディングする DDoS スクラビングソリューション。/24 よりも小さい IP アドレス範囲を保護することが可能
ブラジルにスクラビングセンターを設置:ブラジルのサンパウロに新しい Prolexic スクラビングセンターを設置し、ラテンアメリカ地域のお客様にローカルでの緩和とパフォーマンス向上を提供
フローの異常検知:新しい検知テクノロジーがフローの異常に基づいて潜在的な DDoS 攻撃を特定し、セキュリティセンター内の緩和促進とアラートのために分析データを SOCC スタッフに提供
テレメトリー API の強化:更新された API により、個々の IP アドレスのテレメトリデータと履歴データを取得可能
Edge Live | Adapt では、さらに多くの情報を入手いただけます。 ご登録 いただくと、顧客がこうした改善をどのように活用しているか確認し、詳細な技術解説を参照し、Akamai の今後の方向性について当社の重役から直接聞くことができます。
