アプリケーションのセキュリティ(アプリのセキュリティまたは AppSec と呼ばれることもあります)とは、IT エコシステムへの不正アクセスを試みるサイバー犯罪者からアプリケーションを防御するためのセキュリティ対策、セキュリティプログラム、セキュリティ制御のことです。
アプリのセキュリティが最優先事項である理由
現在の Web アプリケーションと API は、オンラインでのあらゆるやり取りを可能にする、ビジネスクリティカルなテクノロジーです。これらの IT 資産を利用している組織であれば、さまざまな脅威からの保護がより必要となります。しかし、これらのデジタル資産のセキュリティ保護は、かつてないほど困難になっています。
既知の Web の脆弱性は引き続きリスクとなっており、新世代のコード作成者がソフトウェア開発プロセス中にその脆弱性をアプリケーションに引き継いでしまいます。アプリと API の複雑化に伴い、新たな脆弱性や潜在的なエンドポイントが生まれ、ハッカーに悪用されます。サイバー犯罪者は、ボットやマルチベクトル攻撃を用いて、Web アプリや API に攻撃を仕掛け、脆弱性を発見することで、データベースにアクセスしたり、悪性ファイルをロードしたり、サイトに大量のトラフィックを流し込んだりします。
Akamai App & API Protectorは、Web アプリケーションと API の保護(WAAP)ソリューションです。Web サイト、API、 アプリケーションのセキュリティを確保するための包括的なツールを備えています。労力とオーバーヘッドを抑えながら、ネットワーク/アプリケーションレイヤーに対するさまざまな脅威からアプリケーションと API を保護できる、適応型セキュリティエンジンを搭載した、妥協のないワンストップセキュリティ製品です。
アプリのセキュリティの課題
従来のアプリ・セキュリティ・ソリューションは、Web アプリケーションファイアウォールを展開して、さまざまなタイプの脅威(Web アプリケーション攻撃、DDoS 攻撃、API 攻撃など)を緩和します。しかし、このようなソリューションの場合、脅威の進化やアプリ/API のアップデートに合わせて、 サイバーセキュリティ チームが常に分析し、ルールをチューニングしなければなりません。このような作業は通常、手作業で行うため、熟練したオペレーターが必要で、時間がかかり、拡張性がありません。その結果、セキュリティ権限を最新の状態に保つのが難しく、実際の攻撃とフォールス・ポジティブ(誤検知)を正確に区別できないため、アラート疲れに陥ることになります。認証/検証ルールを効果的にチューニングできないと、セキュリティチームはルールを削除してしまう可能性があります。誤検知によるアラートが正当なユーザーに影響を及ぼし、業務の中断を招く恐れがあるためです。これがセキュリティ体制の弱体化につながり、サイバー犯罪者に悪用されるのです。
今日の攻撃者は、ありとあらゆる手法を用いて、大混乱を引き起こし、大損害を与え、アプリケーション防御を突破します。ハッカーが、機微な情報を盗んだり、DDoS 攻撃でサイトをダウンさせることに成功すると、企業は、甚大な被害を被り、顧客ロイヤルティの低下、ビジネス機会の喪失、罰金、訴訟、評判の失墜などの損害を受けることになります。
Akamai によるアプリセキュリティの強化
Akamai App & API Protector は、アプリのセキュリティをシンプル化しながら、保護を強化して、常に進化する脅威環境から防御するためのクラウドベースのソリューションです。この Akamai ソリューションにより、従来のファイアウォールソリューションではセキュリティチームが解決できない問題の多くを解決できます。セルフサービスのオンボーディングウィザードやセルフチューニング案の推奨など、App & API Protector のセキュリティ機能により、保護を自動化し、その管理を Akamai に任せることができるため、セキュリティチームは無干渉でセキュリティリスクとアプリセキュリティを管理できます。
App & API Protector は、Web アプリケーションファイアウォール、ボット緩和、API セキュリティ、DDoS 防御などのコアテクノロジーを 1 つにまとめた、使いやすいソリューションです。このソリューションにより、Web と API の資産全体を保護できます。
Akamai の自動保護により、継続的なメンテナンスを必要とせずに、SQL インジェクション、クロスサイトスクリプティング、ローカル・ファイル・インクルージョンなどの Web 攻撃から強力に防御できます。また、ヒューリスティック(フレームワーク)および機械学習により、一般的なネットワーク全体のチェックではなく、ポリシーごとにトラフィック全体の誤検知パターンを正確に特定し、実用性と関連性の高い結果を得ることができます。これらのセルフチューニング機能により、Web サービスの操作の負担や管理オーバーヘッドを抑えながら、一般的な攻撃と高度な標的型攻撃の両方をリアルタイムの精度で阻止できます。
アプリのセキュリティを強化するメリット
Akamai App & API Protector は、セキュリティチームに以下のようなメリットをもたらします。
少ない投資で大きな効果。顧客視点での自動化とシンプル化を念頭に設計された App & API Protector は、Web アプリケーションと API の保護、ボットの可視化と緩和、DDoS 防御、Web 最適化、エッジコンピューティング、SIEM コネクター、API アクセラレーションなどのテクノロジーが含まれているため、セキュリティ製品への投資を最大限に活用できます。
メンテナンスのシンプル化。自動更新により、メンテナンスの負担を軽減し、セルフチューニング機能により、セキュリティチームと DevOps チームは、誤検知に振り回されることなく、本当のセキュリティ問題の調査に専念できます。
API のアタックサーフェスを縮小。Akamai ソリューションにより、API を自動的に検出し、セキュリティの脆弱性(OWASP API Security Top 10 に含まれる脆弱性など)から保護できます。
幅広い保護機能を備えた単一製品。App & API Protector の卓越したアプリ/モバイル・アプリ・セキュリティ機能により、自動ボットネット、インジェクション、ボリューム型 DDoS、API ベース攻撃など、さまざまな脅威から防御できます。
App & API Protector は、アプリ/API セキュリティのための統合型テクノロジースイートの一部です。このスイートには、他にも次のようなソリューションとセキュリティツールがあります。
- Prolexic。DDoS 攻撃がデータセンター、アプリケーション、オペレーティングシステム、およびインターネットに面したインフラに影響を及ぼす前に、クラウド内で DDoS 攻撃を阻止します。
- Edge DNS。 Akamai Edge DNS は、 Akamai Connected Cloudの数千台の DNS サーバーを活用することで、Fast DNS サービスと 24 時間の可用性を保証する、グローバルかつスケーラブルなソリューションです。
- Client-Side Protection & Compliance。スクリプトの疑わしいふるまいを検知および緩和することで Web ページの整合性を強化するソリューションです。
よくある質問(FAQ)
アプリケーションに対する脅威の多くは、ソフトウェアの弱点や脆弱性を悪用するものです。アプリケーションに脆弱性があると、攻撃者が、データベースへのアクセス、情報の破損、機微な情報の流出、マルウェアのダウンロードなどを行ったり、分散型サービス妨害(DDoS)攻撃でアプリケーションをダウンさせたりする危険性があります。
アプリケーションセキュリティのベストプラクティスでは、マルチレイヤー型のセキュリティアプローチこそが、Web およびエンタープライズ・アプリケーション・ソフトウェアを保護するための最良の方法だと考えられています。Web アプリケーションファイアウォールにより、悪性トラフィックを検査およびフィルタリングできます。ボット管理ソリューションにより、悪性ボットを阻止しながら、良性ボットにアクセスを許可できます。DDoS 緩和テクノロジーにより、パフォーマンスを低下させる攻撃や、マシンやアプリケーションをオフラインにする攻撃を防止できます。そして、API セキュリティソリューションにより、API の脆弱性を悪用する攻撃から防御できます。
Akamai が選ばれる理由
Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。