Blog

Adaptive Security Engine—アプリケーションとAPIの 保護能力機能が飛躍的に向上

Written by

Amol Mathur

June 14, 2021

Amol Mathur is the Vice President of Product Management where he owns the vision and execution of the application and network security business.

Akamai この取り組みの一環として Akamai は、を強化する新たなコアテクノロジーAdaptive Security Engineを発表しました。

この新たなエンジンをデザインする際に私たちが心掛けたことは、お客様に以下の能力を提供することでした。

  • 強力かつ高精度な攻撃検知能力
  • アプリケーション開発チームに制約を与えたり、正当なユーザートラフィックに影響を与えることなく、アプリケーションと API を保護する高い信頼性
  • 高度な設定と自動化の高いレベルでの両立
  • 多数のWeb アプリケーションと API エンドポイントを「面」で一括して保護するための、完全な自動化または半自動化されたオペレーション・エクスペリエンス          

上記のことは現時点でもある程度実現できていますが、Akamai は最新のテクノロジーを駆使することで、今回Webアプリケーションセキュリティの運用を次のレベルに引き上げます。アプリケーションと API の保護は、Akamai が最も得意とするところです。それは、市場をリードする Akamai のポジションと、Akamai が優れたサービスを提供しているお客様によって実証されています。この新たなエンジンではその評価の高い高精度な攻撃検知能力をさらに高めると同時に、高度なスキルと手間の掛かるルールチューニングなどの運用負荷を劇的に低減することに成功しました。    

ここでは、Adaptive Security Engine を支える最新のテクノロジーと、それらがどのように連携してお客様の保護を最適化し、複雑さを排除しているのかについてご説明します。   

適応型脅威検知

新たな脅威への自動適応能力を備えた最高峰のカバレッジと精度

Akamai は、インターネット上で毎日 13 億以上発生するクライアントとのインタラクションにおける悪性アクティビティに対する比類のない可視性により、新しい戦術、ツール、スキルを身につけた攻撃者について、独自の知見を持っています。この知見から得られたインテリジェンスにより、アプリケーションや API を攻撃しようとするリクエストのさまざまなリスクプロファイルを理解できます。

私たちは、このプラットフォームのインテリジェンスと各リクエストのデータ/メタデータを組み合わせて、多次元的な脅威スコアリングモデルを新たに作成しました。次にこのデータに、実際の攻撃内容を正確に把握するよう設計された意思決定ロジックを適用してこのデータを処理します。巧妙な攻撃者は、脆弱な攻撃のエントリーポイントを発見するためにより多くの労力をかけて偵察を行います。そのため、適応型検知は、防御をすり抜けようとする標的型かつステルス型の攻撃を特定するうえで特に効果的です。攻撃者が脆弱性や設定ミスを探っている間に、私たちは攻撃者の戦術についての相関的な証拠を収集して構築します。これにより、攻撃をすぐに特定できるだけでなく、再度発生したときに備え、活動内容についての履歴を残すことができます。攻撃者が頻繁に攻撃を試みるほど、保護は強化されます。

対象となるリクエストの実際のペイロード、ロケーションに加えて、クライアントごとに評価される他の攻撃ディメンションの例としては、以下のようなものがあります。

  • Akamai プラットフォーム上で保護されている     アプリケーションや API などに対する偵察または実際の攻撃の履歴
  • 悪性の自動化ツールや攻撃ツールの兆候の有無
  • 攻撃トラフィックの既知の発生源との相関性

基盤となる検知エンジンは完全に再調整され、2 つの新技術によって強化されました。入力内容をフィンガープリントに変換してトークン化し、精度の高い検知を行う「Smart Detect」と、リクエストボディの正しいコンテンツタイプを識別し、コンテンツマニピュレーションやバイパスを防止する「Smart Sniff」です。

適応型検知は、Akamai の脅威リサーチによって自動的に更新されるため、お客様は最新かつ最高の保護機能を利用することができます。Akamai の広範なインフラとシステムを活用して、Akamai の本番環境のトラフィック全体ですべての新しい検知をパッシブに実行し、機械学習(ML)モデルを使用して結果を分析することで、最高の精度を実現しています。これにより、自動化された保護機能は、単に合成されたトラフィックに対するラボ     テストだけでなく、現実の条件に即したバトルテストも行われているという信頼を持って頂けます。

セルフチューニング

私たちは、アプリケーションと API の保護におけるあらゆるフリクションに対する戦いに挑んでいます。                     

膨大な数のアラートが企業や組織のセキュリティチームを圧倒し続けているため、アナリストがすべてのポリシーを評価してチューニングすることは事実上不可能です。セルフチューニングの目的は、この問題に正面から取り組み、ポリシーの陳腐化、ヒューマンエラー、アラート疲れにつながるセキュリティ担当者の手動による調整を減らすことにあります。

新たな Adaptive Security Engine が、誤検知を即座かつ劇的に減らせることは実証済みですが、すべてのアプリケーションで誤検知がゼロになるとは限りませんし、そのように主張するつもりもありません。それでもセルフチューニングでは、各セキュリティポリシーのすべてのトリガーに機械学習をかけ、統計モデル、ヒューリスティックを適用し、実際の攻撃と、攻撃と誤認されたエンドユーザーのトラフィックを正確に区別することで、その結果を理想に限りなく近づけます。最も重要なのは、これが最初のオンボーディング時にのみ適用される、一般的なプラットフォーム全体のチェックではなく、お客様の個々のポリシーごとに 24 時間実行される継続的なプロセスであるという点です。しかも、お客様による設定や介入を必要としません。

図:セルフチューニング機能が付いた Adaptive Security Engine

セルフチューニング機能は、負担を強いないシンプルな設計になっています。チューニングの新たな     推奨事項が利用可能になった際には、希望に応じて電子メールでアラートを受信できます。アラートを受信したら、UI を介してワンクリックで推奨事項を簡単に確認し、承諾することができます。また、AppSec API、コマンドラインインターフェース(CLI)、または Terraform Provider を使用してこれを自動化することもできます。透明性を高めるため、事前にフィルタリングされた Web Security Analytics へのリンクには、誤検知と判断されたすべてのリクエストが表示され、各推奨事項に対してその根拠が示されます。これだけでも操作上のフリクションは大幅に軽減されますが、Akamai の取り組みはそれだけでは終わりません。Akamai ではすでにセルフチューニング機能の改良バージョンを計画しています。このバージョンでは、お客様が「推奨事項の承諾」を Akamai に事前に委任して、セルフチューニング機能と新たな検知を自動的に統合することで、完全にゼロタッチのアプリケーション/API セキュリティを実現できます。

設定と自動化の柔軟性

自由自在な設定と自動化:Akamai にはそれを実現するツールがあります

Adaptive Security Engine には、エクスペリエンスとセキュリティ上の成果の間で最適なバランスを求める大多数のお客様に適した最適解となるでしょうしかし、手動での設定を求めるユーザーに対しては、Adaptive Security Engine では、検知ロジックのシミュレーションの実行、デバッグヘッダーの動作やリクエスト検査サイズの変更、特定のポリシー、ホスト名、パスなどに対する例外や条件の複雑な設定などに柔軟に対応できるエキスパートモードを用意しています。

セキュリティチームと DevOps チームは、CLI、Akamai Terraform、または CI/CD 自動化パイプラインのスクリプトを使用して Akamai API へのコールを統合することで、セキュリティを管理することもできます。これにより、アプリケーションの迅速なオンボーディングが可能になるだけでなく、大規模なアプリケーションポートフォリオにおけるセキュリティポリシーの一元管理、ハイブリッドおよびマルチクラウドインフラでのセキュリティ適用の一元化、GitOps ワークフローによる      DevOps チームとセキュリティチームのコラボレーションの向上などを図り、セキュリティ対象範囲を最適にカバーできるようになります。柔軟な設定と自動化が可能なため、強力なセキュリティ機能により開発速度が妨げられることはありません。 

セキュリティの新世代の幕開け

セキュリティギャップを埋め、致命的なリスクを緩和するためには、最も巧妙な攻撃を特定して阻止できるだけでなく、使いやすく、保守も容易なアプリケーション/API セキュリティが必要です。現実問題として、セキュリティチームには、すべてのセキュリティトリガーを手動で調査したり、すべてのポリシーを調整したりする時間はありません。Akamai では、複雑なセキュリティ製品と運用上のフリクションがリスクにつながることを理解しています。そのため、新しい Adaptive Security Engine は、すべての脅威をインテリジェントにリアルタイムで分析し、セキュリティアナリストに貴重な情報を提供することで意思決定を容易にし、攻撃の検知とトラフィックノイズの両方で誤検知を減らすようにデザインされています。

つまり、シンプルになりました。今日のセキュリティチームは、防御を自動化し、人間の作業なしに、より効果的にエンタープライズ全体の脅威に対処できるようにするとともに、セキュリティ制御が最大限の効率性と柔軟性で運用されていることを確認する必要があります。攻撃者は、攻撃を自動化し、拡大し、コモディティ化しています。Web アプリケーションと API の防御機能を並行して自動化することで、サイバー脅威を迅速に管理する能力を高めることができます。

Adaptive Security Engine と Akamai の Web アプリケーションおよび API セキュリティソリューションの詳細については、Akamai の担当者にお問い合わせください。

 



Written by

Amol Mathur

June 14, 2021

Amol Mathur is the Vice President of Product Management where he owns the vision and execution of the application and network security business.