Web アプリケーション攻撃とは

Web アプリケーションは、今日のビジネスの中心となっており、コミュニケーションを促進し、生産性を向上させ、商取引を可能にし、事業運営を推進しています。一方、近年の Web アプリケーション攻撃は、これまで以上に標的を絞り、自動化が進んでいます。ハッカーは現在、自動化されたボットを使用して Web サイトをランダムにクロールし、ソフトウェアや API に存在する数万もの既知の脆弱性だけでなく、組織の防御を侵害するのに使用できる新たな脆弱性を探しています。これらの進化する脅威から防御するために、セキュリティチームは、攻撃方法に合わせて適応し進化できる、自動化されたテクノロジーを必要としています。

Akamai App & API Protector は、強力な アプリケーションの保護機能を包括的に提供します。この機能は、インテリジェントな自動化とシンプルさを備え、最新のアプリケーションや API に対応するように設計されています。 

Web アプリケーション・セキュリティ・ソリューションを導入する場合に、次のような重要な機能が適切なテクノロジーには含まれます。

スケーラビリティの向上。柔軟性を備え、スケーラブルなプラットフォームは、Web セキュリティに不可欠であり、トラフィックの需要に合わせて防御を拡張し、パフォーマンスを損なうことなく継続的な保護を提供できます。さらに、Web アプリケーション・セキュリティ・テクノロジーは、オンプレミスの資産だけでなく、プライベートクラウドやパブリッククラウドの資産も保護できなくてはなりません。

適応型の防御。今日の Web アプリケーション・セキュリティ・テクノロジーは、従来のシグネチャベースの検知以上の機能を提供できることが求められます。最も正確で信頼性の高いセキュリティ成果を得るには、機械学習、データマイニング、ヒューリスティックに基づいた、高度な形式の適応型 Web アプリと DDoS 防御が必要です。Web アプリケーションファイアウォール（WAF）ルールは、セキュリティリサーチャーが提供する継続的なリアルタイム脅威インテリジェンスで更新されなければなりません。また、ソリューションは、特定のユースケースに対応する幅広い要件を満たすために、完全にカスタマイズ可能な事前定義済みルールを提供する必要があります。

API 保護。API は Web アプリケーションに不可欠であるため、堅牢な API 検出、保護、および制御機能を備えたセキュリティソリューションが必要です。最高のテクノロジーには、未知の API や変化する API を自動的に検出してプロファイルする機能が含まれ、同時にリアルタイムのアラート、レポート、ダッシュボードを API レベルで提供します。

柔軟な管理。セキュリティチームにかかっている大きな負担を軽減するために、セキュリティソリューションは、投資を最大限に活用し、運用効率を向上させるシンプルで自動化されたワークフローを提供できなくてはなりません。オンプレミスおよびクラウドベースのセキュリティ情報およびイベント管理（SIEM）アプリケーションとテクノロジーを統合することが理想的です。また、適切なテクノロジーにより、人間による管理または完全に自動化された保護機能により、Web アプリケーションのセキュリティを柔軟に管理できます。

Akamai App & API Protector は SaaS ベースのソリューションで、継続的な可視性と包括的な知見を組み合わせて、最も巧妙な Web アプリケーション攻撃を特定して阻止します。Web と API の資産全体を保護し、優れたユーザー体験を保証するように設計された当社のテクノロジーは、Web アプリケーションファイアウォール、ボット緩和、DDoS 防御、API セキュリティなど業界をリードするコアテクノロジーを組み合わせています。新しい Adaptive Security Engine を搭載したこの Akamai ソリューションは、シンプルさと使いやすさを追求して設計されており、顧客視点での自動化が進められています。

Akamai の Web アプリケーションのセキュリティにより、セキュリティチームは次のことが可能になります。

• 多様な攻撃に対する防御。Akamai のソリューションは、Web アプリケーションに対する最も危険な脅威であるボリューム型 DDoS、インジェクション、自動ボットネット、API ベースの攻撃、 サイバー攻撃などを阻止します。
• 最小限のメンテナンス作業。自動アップデートにより、労力をかけずに強力なセキュリティを簡単に維持できます。自動セルフチューニングにより、アラート疲れを最小限に抑え、チームが誤報ではなく実際の攻撃に集中できるようにします。
• API アタックサーフェスの縮小。API は、強力な Web 体験を実現するための必須メカニズムですが、バックエンドのデータやロジックを公開してしまう恐れもあります。App & API Protector は、OWASP API Security Top 10 などの脆弱性から API を自動的に検出して保護します。
• セキュリティ投資の最大活用。App & API Protector を使用すれば、チームはより少ない製品でより多くの作業をこなせるようになります。当社のソリューションには、Web アプリケーションと API の保護、ボットの可視性と緩和、SIEM コネクター、DDoS 防御、Web 最適化、API アクセラレーション、エッジコンピューティングと DNS セキュリティなど、幅広い保護機能が含まれています。これらにより、応答性に優れ、24 時間利用可能な高速 DNS サービスを実現できます。

適応型のセキュリティ。App & API Protector は、多次元の脅威スコアリングモデルと意思決定ロジックを備えた、脅威ベースの適応型検知機能を採用しており、最高レベルの正確さを備えた保護機能でステルス攻撃を正確に識別して阻止します。世界で最も分散されたコンピューティングプラットフォームである Akamai Connected Cloud からの脅威インテリジェンスは、従来のルールセットの最大 2 倍の攻撃を検知します。 

セルフチューニング機能。適応型セキュリティエンジンは、フォールスポジティブ（誤検知）を減らしながら、急速に進化する脅威に対応します。機械学習を使用することで、真のセキュリティトリガーと誤認されたセキュリティトリガーが自動的かつ継続的に分析されます。その結果、ポリシーごとに高精度な調整方法が提案され、1 クリックで導入できます。これにより、誤検知が 5 分の 1 に減少し、ポリシーの維持と調整に必要な労力が大幅に削減されます。

API セキュリティの自動化。App & API Protector は、既知の API、未知の API、進化する API を継続的に発見します。すべての API リクエストは悪性コードの有無が自動的に検証されます。オプションの API セキュリティ制御機能により、エッジ部分でポジティブな API セキュリティモデルを強制的に適用できます。

ボット緩和。業界をリードする当社のボットテクノロジーは、すべてのボット活動を監視し、1,500 以上の既知のボットをまとめた広範なディレクトリを利用して良性ボットを特定し、 悪性のボット活動を阻止します。 ボット定義を作成してカスタマイズできるため、サードパーティーやパートナーのボットには阻止されることなくアクセスできます。

自動更新。当社の適応型セキュリティエンジンは、脅威リサーチャーによる毎日 300 TB を超える攻撃データの分析に基づき、最新の保護機能で自動的に更新されます。このようなマネージド型更新によって、管理オーバーヘッドや操作のフリクションが軽減されます。