WebアプリとAPIの保護(WAAP)を解説。高品質WAFをF5 XCで提供
クラウドやインターネットの活用が当たり前となる中で、Webアプリケーションへのセキュリティ対策は企業にとってかつてないほど重要なものになりつつあります。ITの高度化に伴ってサイバー攻撃も高度化・巧妙化している中で、Webアプリケーションを守り続けるためには、従来の対策だけでは限界が近づいています。ここでは、WebアプリケーションとAPIを守るための新しい仕組み「WAAP」について解説します。
- WAAPとは
- WAAPのコア機能
- WAAPソリューションの選び方
- まとめ
WAAPとは
ピンチアウトで拡大
従来のWebアプリケーションに対するセキュリティ対策といえば、WAF(Web Application Firewall)が主流でした。しかし、サイバー攻撃の手法は日々高度化・巧妙化していることもあり、WAFだけでは対処が難しくなっているのが現状です。そこで新たに生まれたのが「WAAP」と呼ばれるコンセプトです。
はじめに、WAAPの概要とその必要性・メリットについて解説します。
WAFとAPI保護を一体化
WAAP(Web Application and API Protection )とは、これまでのWAFが担っていたWebアプリケーションの保護に加えてAPI保護の機能を強化したクラウド型のセキュリティサービスおよびその概念を指します。WAAPは、IT系リサーチ会社のガートナーが提唱したことから、世の中でも広がり始め、昨今注目されている技術の1つでもあります。導入している企業はまだそこまで多くありませんが、今後もWAAP市場は成長していくと考えられています。
WAAPの必要性とメリット
WAAPが必要とされる背景には、アプリケーション開発の中でAPIの利用が加速し重要なものになっていることが挙げられます。昨今ではSaaSなどのクラウドサービスが急速に普及し、ユーザー企業のITシステムも、クラウドを前提としたシステム構成を取る例が多くなっています。
クラウドサービス間およびクラウドサービスを自社のシステムと連携する際に欠かせないのがAPIです。スムーズな連携によって自社の業務を効率化するほか、自社のWebサービスを強化して顧客満足度向上を図ることもできます。昨今ではこのAPI連携を前提とし、システムを機能ごとに細かく分割したうえで1つのシステムを作り上げる「マイクロサービス」も普及しています。
このようにビジネスでAPIを利用する企業が増える一方で、APIをターゲットにしたサイバー攻撃が増えていることが課題となっています。
もっとも、APIに関して従来のWAF製品でも一定のレベルは検査して保護することは可能です。しかし、従来型のWAFによるAPI保護は、高度なサイバー攻撃に対応できる機能までは備えていなかったのが実状です。
サイバー攻撃自体は年々進化しており、従来のWAFではサイバー攻撃の検知が遅れたり、適切な保護ができなかったりするリスクも発生します。このようなさまざまなリスクを防ぐために誕生したのが「WAAP」です。WAAPでは、Webアプリケーションに加えてAPIの保護が強化されている点が特徴です。
WAAPのコア機能
ピンチアウトで拡大
一般的にWAAPでは、下記の4つのコア機能を搭載しています。
- WAF
- APIセキュリティ
- 悪性ボット対策
- DDoS攻撃対策
ここでは、それぞれの機能について詳しく解説します。
WAF
WAFとは、SQLインジェクションやクロスサイトスクリプティング攻撃などWebアプリケーションやWebサーバーなどを狙う攻撃を保護するソリューションです。特にSQLインジェクションでは、Webアプリケーションの脆弱性を突いて企業のデータベースへ不正アクセスし、そこから機密情報の窃取を図り、多大な被害を引き起こします。
これらの攻撃を防ぐためには、入力フォームをサニタイズしたりWebサーバーに適切な設定を施したりなど、さまざまな対策を講じるのが理想的です。ただし、企業によっては管理するサーバーやアプリケーションは数多く存在し、これらの対策を必ずしも人の手でタイムリーに行うことは簡単ではありません。そうした中で、WAFは企業内にあるアプリケーションの保護をを効率的に実施する役割を担います。
APIセキュリティ
APIセキュリティは、REST APIやSOAP APIなどといったWeb APIを標的とする攻撃を保護する機能のことです。APIの活用でビジネス面での利便性が高まった反面、新たな脆弱性が生まれたり、データ漏えいなどのリスクが高まったりなど、セキュリティ面で考慮するべき箇所が増えました。
加えてAPIの場合、実装上の不備はAPIを提供しているサービス次第といえます。例えば、特定の外部サービスのAPI脆弱性に対策を講じたとしても、提供元での仕様変更などが発生したら、行ったセキュリティ対策が無意味となってしまうこともあります。このような理由もあり、外部サービスのAPIごとに脆弱性対策を講じるのは非常に難しいのが現状です。
WAAPではAPIの保護機能を有しています。このAPIの脆弱性を狙う攻撃への対策には「正常なAPI通信とは異なる通信を自動的に検出する」というアプローチが取られています。一例では、パラメーターを変えて大量のAPIアクセスを試みるなど、通常な使い方では行わないと思われる挙動を異常な通信と判定してアラートを挙げるというものです。正常な通信をAIで機械学習させ、そこから乖離した通信を検出できるようにした製品も存在します。
また、API通信では、リクエストに対してレスポンスを返すことになりますが、WAAPのAPI保護では、大量のレスポンスを特定のクライントに集中的に返すなど通常とは異なる不審な動きが発生した際にアラートできるようにする必要があります。
悪性ボット対策
悪性ボット対策とは、悪質なボット攻撃やWebスクレーパー、エクスプロイトなどから、アプリケーション・企業内の重要なデータを保護する機能です。もちろん、ボット攻撃は人間の動きを模倣して日々改良されているため、完全に防ぐことは非常に困難だといわれています。
ボット攻撃の被害に遭うと、アカウントを乗っ取られたり、企業内にある顧客データを盗まれて不正な取引をされたり、企業存続に関わる甚大な被害を受ける可能性が高まります。WAAPが備えるボット攻撃対策としては、「悪性のボット」と「良性のボット」を区別して、悪性のボットのトラフィックをブロックする機能があります。その判断は昨今ではより難しくなっていますが、AI・機械学習やふるまい検知などの技術を活用し、WAAP製品側の判定精度も日々進化しています。
DDoS攻撃対策
DDoS攻撃とは、不特定多数に分散したコンピュータから同時に大量のアクセスを標的となるWebサーバーに送りつけることで、企業のネットワークやWebサーバーに負荷をかけてサービス停止させる攻撃です。WAAPではこのDDoS攻撃への対策機能を備えています。
DDoS攻撃の手法は、狙う対象や利用するプロトコルごとに多彩な方法があるとされていますが、大きくは「ネットワーク帯域を枯渇させる」「サーバーの処理能力を枯渇させる」という2つの手法が知られています。前者の例では、UDPパケットを大量に送信することでネットワーク帯域を消費させてダウンさせる「UDPフラッド攻撃」があります。
後者の例では、TCPプロトコルにて接続元と接続先の間で行われるSYN、ACK、FINの各パケット通信を悪用した「SYNフラッド攻撃」「ACKフラッド攻撃」「FINフラッド攻撃」などがあります。これは、サーバーに不必要に大量の処理を行わせることでリソースを枯渇させる手口を取ります。
昨今のDDoS攻撃は、繰り返し攻撃を仕掛け、長期間に渡り1つのターゲットを狙うケースが多く見られます。そのため、Webアプリケーションを適切に保護するために大容量のキャパシティが必要であり、世界各地のアクセスポイントで分散処理を行える環境を構築することが有効です。
WAAPソリューションの選び方
ピンチアウトで拡大
ここでは、WAAPソリューションを選ぶ際の3つのポイントについて詳しく解説します。
高度なセキュリティ機能
1つ目のポイントが、高度なセキュリティ機能です。高度化・多様化しているサイバー攻撃に対応するためには、高いレベルのセキュリティ機能を搭載したWAAPソリューションを導入する必要があります。WAFやAPIセキュリティ、DDoS攻撃対策などをさまざまな対策を実行するために、別々の機器を購入しては管理が煩雑になる可能性が高く、管理者の負担も大きくなります。
「F5 Distributed Cloud WAAP」(以下、F5 XC)は、WAFやAPI保護、DDoS攻撃対策、ボット対策など、多くのセキュリティ対策機能を提供しているSaaS型セキュリティサービスです。オンプレミス、パブリッククラウドなど、複数の環境に分散されたアプリケーションへの通信を、F5 XCを経由させることで統合的に管理できることも特徴です。高いセキュリティレベルのWAFを搭載しており、柔軟なWAFのポリシー制御も可能です。さらに、プロトコル・アプリケーションレベルの通信に対して細やかな制御も行えます。
管理・運用の負荷
2つ目が、管理・運用の負荷です。例えば、企業内に異なるタイプのセキュリティ製品がある場合、セキュリティポリシーの統一が難しく、適切なセキュリティ対策を行えなくなるリスクがあります。さらに、管理画面も製品ごとに異なる状況になり、製品ごとに学習コストが掛かり、運用負荷も増大するでしょう。その観点から、一元管理できるWAAPは最適なソリューションだといえるでしょう。
F5 XCは、先述したようにWAFやAPI保護、DDoS攻撃対策、ボット対策などを始めとするさまざまな機能を1つのダッシュボードから管理できます。管理者・運用者の学習コストも減らすこともでき、空いた時間を他の業務に割り当てることも可能です。
多様な環境への対応可能性
3つ目が、対応可能な環境の幅です。昨今では、企業のIT環境は自社内のオンプレミス環境やデータセンターから複数のパブリッククラウドサービスまで、ますます多様化・複雑化しています。その中でシステムがさまざまな環境に分散すると、それぞれに対策を講じる必要があり、運用負荷が増大します。管理負担を軽減し、セキュリティの設定変更などがあった際に迅速に対応するためには、多様な環境への対策を一元管理できるソリューションが理想です。
なおF5 XCは、オンプレミス、クラウドなどを問わず共通のセキュリティ機能を各環境に適用できます。別々の環境ごとにツールを使い分けて設定・運用を行う必要はなく、業務の効率化・コスト削減を実現できるでしょう。
まとめ
昨今のサイバー攻撃は高度化・多様化しており、従来のWAFのみでのセキュリティ対策では対応が難しくなっています。このようなサイバー攻撃に対処するためには、WAAPの導入が有効です。複雑化する自社のIT環境を効率的に保護するには、環境を問わず利用できる運用管理性の高いWAAPが必須です。
F5 XCは、導入の障壁が低いSaaSという形態を実現しつつ、これまで長い実績を誇るBIG-IPのAdvanced WAFエンジンを搭載し、多様な機能を1つのダッシュボードから管理できるようにしたソリューションです。限られた人材で効率的なセキュリティ運用を実現してサイバー攻撃を防ぐために、ぜひ F5 XCをお役立てください。
製品の詳細については、下記ページをご覧ください。
