Web脆弱性を突いた攻撃から、Webアプリケーションを守るセキュリティ対策として多くの企業で導入されているWAF(Web Application Firewall)」。企業のクラウド活用が加速している中、悪意のある第3者は次々に新たな手口を考案しており、サイバー攻撃の手法はますます巧妙化・多角化しています。従来のセキュリティ対策では守り切れないサイバー攻撃における新たな形のWebセキュリティ対策として、WAF、DDoS対策、ボット対策、APIセキュリティなどを組み合わせたクラウド型セキュリティサービス、「WAAP」という概念が登場しました。本記事では、WAFの進化型である「WAAP」について解説しています。
ガートナー社が提唱する「WAAP」とは?
「WAAP( Web Application and API Protection )」とは、主にIT分野でのリサーチを行っている企業であるガートナー社が提唱する概念で、Webアプリケーション保護対策に加えAPI保護機能を備えているクラウド型セキュリティサービスを示します。「2021 Gartner® Magic Quadrant™ WAAP」によると、今年「WAAP」を導入している組織の割合は10%を下回っていますが、2026年までに40%へと伸びると予想されます。また、2024年までに、マルチクラウド戦略を採用している組織の約70%がクラウド基盤のWAAPを検討するようになるということで、今後WAAPがWebセキュリティ対策の新たな主流となっていくと見られます。
前述しましたが、「WAAP」はWebアプリケーション保護対策に加えAPI保護機能を備えているクラウド型セキュリティサービスとなります。WAAPには以下の4つのコア機能が含まれています。
- WAF
- ボット対策
- DDoS対策
- APIセキュリティ
また、オプション機能としてDNSセキュリティやCDNといった機能を備えているWAAPもあります。
ガードナー社では、現在サービスを提供しているWAAP製品のアナリストたちによる評価をWebサイトで紹介しています。詳細はこちらをご覧ください。
WAFがWAAPに進化していく理由とは
WAAPは、WebアプリケーションだけでなくAPIも保護対象としています。
実は、APIはWAFでも守ることが可能です。しかし、その保護が不十分であったことが、WAFがWAAPに進化していく理由の1つです。そもそもWAFでAPIが守れるのは、APIがHTTP通信を用いられ、WAFの検査対象に含まれるためです。つまり、WAFでのAPI保護は、その通信がサイバー攻撃なのかどうかを見分けるだけです。分類し、その結果に応じて危険なら通信を禁止し、安全だと判断されたら通信を許可します。
その判断基準として脆弱性を狙うサイバー攻撃かどうかを見極めますが、そもそもWAFが主な保護対象としているWebアプリケーションの脆弱性とは、アプリケーションを構成するシステムやプログラムの実装上の不備のことです。この不備を衝くサイバー攻撃はある程度パターン化しているため、そのパターンのノウハウの蓄積情報をもとに判断しているという特性を持ちます。
APIの脆弱性も実装上の不備ともいえますが、APIは取得したい情報や処理して欲しい内容をパラメータとして付与し、通信を行います。そのため、外部サービスとAPI連携の数だけ仕様が存在していることから、仕様の不備を狙うサイバー攻撃をパターン化することは事実上困難です。さらにAPI提供元が突然仕様を変更したことで、サイバー攻撃の見分けができなくなってしまう可能性もあります。そのため、API保護では下記の2つが重要です。
- 攻撃者はAPI脆弱性調査するための、一般ユーザとは異なる挙動を検出し、アラートする機能
- API通信における正常な動作をAIを用いて自動学習し、ベースラインから乖離している通信についてアノマリー検出を行う機能
現在、APIを通じて社内外のさまざまなサービスを連携することで顧客の利便性を高めつつ、事業成長に繋げる動きが進んでいることから、APIを狙うサイバー攻撃が急増しています。しかし、主にWebアプリケーションを保護対象としているWAFのみだと、サイバー攻撃の選別に時間がかかったり、誤検知や仕様変更による検知の見逃しなどが発生しているのも現状です。そのため、API保護も考慮しているWAAPの重要性が高まりつつあります。
また、悪意のある第3者によるサイバー攻撃は多角化しているため、Bot攻撃やDDoS攻撃のなかにはWAFの保護対象外のサイバー攻撃もみられます。そのため、WAAPの今後は、WAFの機能にはないボット対策やDDoS対策の機能を超えたさらなる進化もみられるでしょう。
「Cloudbric WAF+」がガートナー社によるRepresentative Providersに選定!
新たなWAAP製品・サービスが次々と誕生しています。WAAPが全く新しい概念ではないとはいえ、がWAAP製品やサービスを選ぶ基準についてはまだ明確な基準がないのも事実です。だからこそ、ガートナーにより公開された報告書内容を前提に、WAAPについて理解し、自社システムに合った対策を導入することが重要です。
ガートナーは、 「Defining Cloud Web Application and API Protection Services」において、WAAPの定義、仕組み、特長などを解説しています。また、次のように代表プロバイダー も紹介してますので、是非参考にしてみてください。
今回、弊社の「Cloudbric WAF+」が、ガードナー社のRepresentative Providers(代表プロバイダー)に選定されました。Cloudbric WAF+は、1つのプラットフォームにて WAFサービスに加え、L3/L4/L7DDoS防御、SSL証明書、脅威IP遮断、悪性ボット遮断など、Webアプリケーションセキュリティに必要な機能を統合提供しております。APIセキュリティも提供しているため、あらゆる範囲からのサイバー攻撃に対し、強固なセキュリティでWebサイトを守ることが可能です。そして、高セキュリティでありながらリーズナブルに利用することができることから、日本国内だけでも6,550サイト以上の導入実績があります。
Cloudbric WAF+へのお問い合わせはこちら。
まとめ
今回は、ガートナー社によって提唱される「WAAP」について解説してきました。WAFだけでは守り切れない悪意のある第3者による攻撃は、今後も増えていくでしょう。そのような環境下で行うべきセキュリティ対策として、「WAAPの導入」や「API保護も可能なWAFを選ぶこと」は有効だと考えられます。ぜひ、自社にあったセキュリティ対策方法を導入して、万全なセキュリティ体制の構築してください。