Akamai、Guardicoreを買収。ゼロトラスト・ソリューションを拡張し、ランサムウェアの阻止能力を強化。 続きを読む

ブログ

Akamai App & API Protector:シンプルなソリューションで最高のセキュリティを

Written by

Charles Choe

November 04, 2021

Charles Choe is a Senior Product Marketing Manager at Akamai Technologies. He brings more than fourteen years of product management and technical marketing experience. He writes about market trends, industry challenges, and solutions in the areas of web application, infrastructure, and API security.

[サムネ画像] サーバーレスコンピューティングや、マイクロサービスベース、IaaS 環境、APIを多用した現在のアプリケーションでは、様々な脆弱性やリスクが生じています。アジャイル型の開発でコードのアップデートのサイクルが短くなり、ITやセキュリティチームはセキュリティ上の検証を十分行えていません。その一方で、サイバー犯罪者はボット(自動実行プログラム)操り攻撃を繰り返しています。しかし、これらの課題の解決に異なるベンダーのセキュリティ製品を導入したお客様からは「製品がバラバラで使いづらくサイバー攻撃の把握が難しい、コストも増大している」といった声もお聞きします。防御システムの複雑化は円滑な運用を阻害する要因にもなっています。 

高度なテクノロジーを集約

製品が混在するとコストや複雑さが増し、スキルの高い人材も必要になります。多くの組織が対応できないでしょう。Web アプリへの攻撃だけでなく、API の悪用、DDoS まで、多様な攻撃が進化している今、世界中に配置されたアプリと API のセキュリティを確保するためには、包括的で拡張可能であり、さらにお客様が実際に扱えるソリューションである必要があります。Akamai はお客様を重視するという命題に沿い、機械学習をはじめとする高度な技術を用いて、ユビキタスでパワフルな、アプリケーションおよび API セキュリティを実装し、かつ複雑な運用を自動化でシンプルにして、この課題を解決します。

「大規模な分散プラットフォームで動き、API への依存度が高いと、セキュリティが大きな問題になります。それで私たちは Akamai のエッジ保護を選んだのです。」それで私たちは Akamai のエッジ保護を選んだのです。」— ソフトウェアアナリスト、サービス業界、出典:Gartner Peer Insights、2021 年 7 月 16 日

世界的なアナリストファームや お客様から、 Akamai は、 アプリケーションおよび API セキュリティで業界のリーダーだとの評価を何年も連続で得てきました。そのご期待に応え、Web アプリケーションファイアウォール、ボット緩和、API セキュリティ、DDoS 防御など、当社のコアテクノロジーを集約した、次世代の Web アプリケーションおよび API 保護(WAAP:Web application and API protection)ソリューション「

Akamai App & API Protector」を発表できることを嬉しく思います。 

Akamai App & API Protector は、Akamai の新たな 適応型セキュリティエンジンを搭載し、最新のアプローチで Web と APIを包括的に保護する新製品です。

導入直後から速やかに防御を強化  

App & API Protector は、いくつもの強力な保護機能を包括的に備え、最高の防御を展開できるよう設計されています。「必要最低限」のセキュリティを提供する他のWAF/WAAP製品とは一線を画し、App & API Protector には、洗練された高度なテクノロジーが数多く組み込まれています。お客様の 92% 以上が、Deny(検知した攻撃をリアルタイムにブロックする)モードで運用しているAkamaiならではの高精度な検知能力にさらに磨きをかけながら、手間とスキルが必要だった運用をシンプルにすることに成功しました。

  • フォールス・ポジティブ(誤検知)を 1/5 に減らし 2 倍の攻撃を検知 — 新エンジンの多元的な適応型検知では、Akamai 独自のインテリジェンスと保護対象の各サーバーへのWeb および API リクエストのデータ/メタデータと照合し、自動化されたロジックによって攻撃を精密に特定します。自動化されたロジックによって攻撃を精密に特定します。そのサイトの環境に動的に適応する検知によって、これまで評価の高かった従来の Akamai のWAF エンジンとの比較でも、SQLi、XSS、RFI、CMDi の攻撃の特定数が 2 ~ 4 倍とさらに向上し、WAF 運用の最大の課題であるフォールスポジティブを 1/5 以下に抑えることも実証されています。つまり、正規のユーザーに影響を及ぼすことなく、最大限の保護を実現できるのです。 

  •  API の自動検出とセキュリティで API のリスクを軽減 — Web トラフィックの分析により、既知、未管理の API と、そのエンドポイント、定義、トラフィックプロファイルなどの変化を自動で探索できます。さらに、API を狙う DDoS 攻撃、インジェクション攻撃、ボットによる攻撃や妨害から保護します。ポジティブセキュリティ制御を適用するか否かにかかわらず、すべての API リクエストに対して悪性コードの検査が自動で行われます。Gartner の『2021 Critical Capabilities for Cloud Web Application and API Protection』レポートでは、API セキュリティおよび DevOps のユースケースにおいて、Akamai が競合の中でトップに位置付けられました。  

  • 悪性ボットの検知と阻止 — App & API Protector に標準実装されるBot Visibility and Mitigation 機能により、アプリケーションにとって望ましくないボットを検知し緩和します。Akamai のボット検知は、トラフィックが増加しても自動的にスケーリングされるため、突発的なボットトラフィックの増加からサーバーの稼働を保護することも可能です。ボットの影響を可視化し、必要に応じて悪性ボットをブロックします。他社の WAAP 組み込み型の簡易的なソリューションとは異なり、Akamai には業界をリードするボット検出技術と、1,500 を超える後半な既知のボット定義ディレクトリを備えています。これに加え、お客様が独自のボット定義の作成もでき、ボット攻撃を予防的に監視し緩和する機能を提供します。 

図 1:App & API Protector の Bot Visibility and Mitigation 機能 図 1:App & API Protector の Bot Visibility and Mitigation 機能

自動化でよりスマートかつ強力に

製品が使いにくいと、リスクや運用のオーバーヘッドが生じます。App & App API Protector の設計では、人間による分析が必要な部分を残しながら、可能な限りの自動化で、日常の業務のオフロードとシンプル化を可能にしました。Akamaiは今後も技術開発によって、この自動化能力を継続的に改善し、進化させていきます。

  • セルフチューニング機能により運用の負担を軽減 — 真の攻撃と誤検知の両方を含む、すべてのセキュリティトリガーが、高度な機械学習を使用して自動分析され、ポリシーに応じた推奨チューニングが提示されます。管理者はその通知を受け取り、管理 UI 上で数クリックするだけで簡単に承認し、ポリシーに追加することができます。このプロセスは、API、コマンドラインインターフェース(CLI)、または Terraform プロバイダーを使用して自動化も可能です。

  • Akamai のセキュリティリサーチャーが自動でルールを更新 — 新検知エンジンでは、Akamai のリサーチャーが、アプリケーションと API 攻撃検知ルールの更新を行うため、お客様に手間をかけることなく検知ルールの自動更新が可能です。330 名を超える世界トップクラスのセキュリティリサーチャーが高度な機械学習とデータマイニングの技術を駆使し、1 日に 300 TB 以上の攻撃データを継続的に分析し、最新の脅威に対する防御を自動的に更新します。

  • 事業成長のペースに合わせた DevOps の統合 — Akamai CLI、Terraform、または CI/CD 自動化パイプラインのスクリプトを使用して Akamai API をと統合することで、迅速なオンボーディング、アプリケーションと API 全体の管理統合、マルチクラウド上のリソースの一元的な防御が可能になります。さらに GitOps ワークフローで DevOps チームとセキュリティチームのコラボレーションを改善するといったことが可能となり、今日の開発速度に遅れをとることなくセキュリティを確保していくことができます。

図 2 - HCL コードの例:Terraform を使用して App & API Protector で保護されるホスト名を管理 図 2 - HCL コードの例:Terraform を使用して App & API Protector で保護されるホスト名を管理

「シンプルは複雑に優る」 — Zen of Python

これまでの製品、Kona Site Defender と Web Application Protector に代わり新たにリリースした App & API Protector は、開発者の教訓にもあるように「Simplicity First」の思想で設計されています。ベンダーは自社の WAAP ソリューションについて、保護能力の強化だけでなく、使いやすさについても考える必要があります。ベンダーは自社の WAAP ソリューションについて、保護能力の強化だけでなく、使いやすさについても考える必要があります。それは、リスクの軽減につながり、サイバー攻撃の状況の的確な把握と意思決定にも繋がります。それは、リスクの軽減につながり、サイバー攻撃の状況の的確な把握と意思決定にも繋がります。さらに Akamai のプラットフォームが実現する、画像と動画の最適化や、API 高速化、エッジコンピューティングなどとの組み合わせによって、これまでにないデジタル体験を生み出すアプリケーションと API を、セキュアに、利用者に提供できるようになります。

強力、自動化、シンプル。App & API Protector の詳細については、 製品概要をご覧ください。 または Akamai の 担当営業までお問い合わせください。

Gartner、「Critical Capabilities for Cloud Web Application and API Protection」、Watts、Hils、D'Hoinne、Handa、2021 年 9 月 20 日

ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高のレーティング又はその他の評価を得たベンダーのみを選択するように助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。



Written by

Charles Choe

November 04, 2021

Charles Choe is a Senior Product Marketing Manager at Akamai Technologies. He brings more than fourteen years of product management and technical marketing experience. He writes about market trends, industry challenges, and solutions in the areas of web application, infrastructure, and API security.