Web アプリおよび API 保護 (WAAP) 購入ガイド
あらゆる場所のアプリとAPIをエンドツーエンドで保護
導入
API と AI に基づく分散型アプリケーション アーキテクチャは、新世代のデジタル イノベーションを推進します。 ただし、これらの動的な分散環境では、脅威の対象範囲も拡大し、侵害、ダウンタイム、ビジネス ロジックの悪用などの機会も増加します。 効果的なセキュリティ ソリューションが、データ センター、クラウド、エッジ全体で、コードからテスト、実行時まで、従来のアプリ、最新のアプリ、AI アプリを重大なリスクから保護する方法を学びます。
Web アプリと API 保護 (WAAP) はどのようにして実現したのでしょうか?
Web アプリケーション セキュリティ市場は、新しいデジタル経済に合わせて進化してきました。 ウェブ アプリケーション ファイアウォール (WAF) はアプリケーションの脆弱性を軽減する効果的なツールであることが証明されていますが、API、サードパーティ エコシステムの急増、攻撃者の巧妙化により、WAF、API セキュリティ、ボット管理、DDoS 軽減が WAAP ソリューションに統合され、ゼロデイ攻撃、ビジネス ロジック攻撃、アカウント乗っ取り (ATO) につながる自動化された脅威など、さまざまなリスクからアプリと API エンドポイントが保護されるようになりました。
競争の激しいデジタル環境により、組織は市場で優位に立つために最新のソフトウェア開発を採用するようになり、新しい機能や統合、フロントエンド ユーザー インターフェイス、バックエンド API のマッシュアップを導入するためのリリース サイクルが急速に増加しています。 ショッピングカートやロイヤルティプログラムがあることは弱点や欠陥ではありませんが、商取引や顧客エンゲージメントを促進するエンドポイントは攻撃者の主なターゲットであり、すべてのユーザーインタラクションとビジネスロジックをソフトウェアの脆弱性だけでなく、ログオン、アカウント作成、カートへの追加の悪用につながる可能性のある固有の脆弱性から保護する必要があります。 ボットや悪意のある自動化を介して機能します。
API は、従来の Web アプリと同様に、認証/承認制御の弱さ、構成ミス、サーバー側リクエスト偽造 (SSRF) など、さまざまなリスクにさらされています。 適切な API セキュリティ対策を講じている企業であっても、危険にさらされる可能性があります。 ハイブリッドおよびマルチクラウド環境にまたがるサードパーティの統合と AI エコシステムにより、防御側にとっての脅威対象領域が大幅に増加します。 シャドウ API やゾンビ API と呼ばれることが多い不正な API エンドポイントにより、コード内、テスト中、実行時に、継続的な検出と自動保護が必要になります。
今日、顧客はこれまでにないほど多くの選択肢を持ち、悪い体験に対する許容度が低くなっています。 パフォーマンスの遅延や過度の認証の課題など、取引時にセキュリティ インシデントや摩擦が発生すると、収益の損失やブランドの放棄につながる可能性があります。
したがって、新しいデジタル経済では、イノベーションを安全に実現し、リスクを効果的に管理し、運用の複雑さを軽減するために、アプリケーション セキュリティの新しい時代が必要です。
WAAP が緊急に必要である理由とは?
クラウドの広範な導入とそれに続く生成 AI の台頭により、さまざまなアーキテクチャとアプリケーション コンポーネント間の相互依存性が生まれました。 従来の 3 層 Web スタックは、API 間通信を容易にするためにマイクロサービスに基づく分散アーキテクチャを活用する最新のアプリに改造されたり、置き換えられたりしています。 複数の環境にわたる複数のセキュリティ スタックとクラウド ネイティブ ツールキットの管理は、AI によって急速に武器化される脅威を手動で修復することは非現実的であるため、耐え難い複雑さを招き、インシデント対応者にとって大きな課題となっています。しかし、簡単にアクセスできるモバイル アプリと API 経由のサードパーティ統合により、市場投入までの時間が短縮され、絶え間ないデジタル イノベーションが特徴の市場で競争上の優位性を維持するための鍵となります。
アーキテクチャの分散化、アジャイル ソフトウェア開発、複雑なソフトウェア サプライ チェーンにより、脅威の対象範囲が拡大し、未知のリスクが生じているため、脅威モデリング、コード スキャン、侵入テストなどのシフト レフトの原則に改めて重点を置き、環境全体で一貫したセキュリティ体制を維持するための協調的な取り組みが必要になっています。 情報セキュリティでは、エクスプロイトや誤った構成を軽減するだけでなく、ソフトウェア開発ライフサイクル (SDLC) 全体にわたってアプリと API を保護し、重要なビジネス ロジックを悪用から守るよう努める必要があります。
API の急増とツールの無秩序な拡散があまりにも広範囲に及んでいるため、私たちは転換点に達しつつあります。 セキュリティ チームは、実用的な洞察を得るためにテレメトリを活用し、リスクを適切に軽減するためにセキュリティ対策を自動的に調整するために人工知能を活用する必要があります。
顧客と収益の成長
安全なデジタル エクスペリエンスを一貫して提供する組織は、顧客と収益の増加を達成します。
競争上の優位性
サイバーセキュリティ インシデントと顧客との摩擦は、デジタルの成功と競争上の優位性に対する最大のリスクです。
脅威の拡大
アーキテクチャの無秩序な拡大と相互依存性により、高度な攻撃者にとっての脅威の対象範囲が劇的に拡大しました。
優れた WAAP とは?
絶え間ない攻撃や不正使用から Web アプリや API を保護するのは複雑なため、クラウド配信の as-a-Service WAAP プラットフォームの人気が高まっています。 これらのプラットフォームは、CDN の既存企業、アプリケーション配信の先駆者、買収を通じて隣接市場に進出した純粋なセキュリティ ベンダーなど、さまざまなベンダーから登場しています。
WAAP の重要な購入基準として、効果と使いやすさが挙げられますが、これらは主観的なものであり、ベンダーの選択時に検証することが困難です。
より実用的なアプローチは、WAAP の価値提案をテーブル ステークス、ショート リスト機能、差別化要因に定義してグループ化し、組織が十分な情報に基づいて選択できるようにすることです。
| テーブルステークス | ショートリスト機能 | 差別化要因 |
|---|---|---|
| 簡単なオンボーディングとメンテナンスの少ない監視 |
自動学習によるポジティブセキュリティモデル
|
あらゆる場所のアプリとAPIに普遍的な可視性と一貫した適用を実現 |
包括的なセキュリティ分析
|
行動分析と異常検出 | 最大検出率(有効性) |
| シグネチャ、ルール、脅威インテリジェンスを超えた洗練 |
誤検知の修復
|
自動化オペレーション |
| API の検出とスキーマの適用 | セキュリティ エコシステムと DevOps ツールとの統合 | ライフサイクル全体のAPIセキュリティ
|
| ボットや自動攻撃に対するスケーラブルな保護 | 回避対策 |
ユーザーの摩擦を軽減する透明な保護
|
最高の WAAP とは?
クラス最高の WAAP は、組織がビジネスのスピードに合わせてセキュリティ体制を改善し、摩擦や過度の誤検知なしに侵害を軽減し、運用の複雑さを軽減して、アプリや API が必要な場所であればどこでも、安全なデジタル エクスペリエンスを大規模に提供できるように支援します。
継続的な保護と一貫したセキュリティ
- ハイブリッドおよびマルチクラウド環境にわたるユニバーサルな可観測性
- 一貫したポリシーの施行と修復
- コード内およびテスト中のリスクの早期検出
ビジネスのスピードに合わせてセキュリティ体制を向上
- CI/CDパイプラインの統合
- 動的API検出とスキーマの適用
- 自動保護と適応型セキュリティ
摩擦と誤検知を最小限に抑えて侵害を軽減
- リアルタイムの緩和と遡及分析
- 厳しいセキュリティ上の課題なしに正確な検出
- 攻撃者の再編、エスカレーション、回避時の回復力
運用の複雑さを軽減
- 「シャドーIT」や安全でないサードパーティ統合のリスクを軽減
- データセンター、クラウド、エッジ全体のセキュリティを合理化
- アーキテクチャ上の制約を取り除き、必要に応じてセキュリティをオンデマンドで導入する
最高の WAAP は、分散プラットフォーム上で効果的かつ操作しやすいセキュリティを提供します。
| 効果的なセキュリティ | 分散プラットフォーム | 操作が簡単 |
|---|---|---|
| 継続的な検出と軽減 |
クラウドとアーキテクチャ全体にわたる普遍的な可視性
|
セルフサービス展開 |
遡及分析 |
すべてのアプリとAPIに固有のセキュリティ
|
自己調整セキュリティ
|
| 低摩擦 |
一貫したセキュリティ体制とインシデント対応
|
包括的なダッシュボードとコンテキスト分析 |
| 誤検出率が低い |
新たな脅威のシームレスな修復
|
AI支援による運用
|
F5 WAAP の利点
F5 WAAP は、アプリや攻撃者の進化に合わせて適応し、新しいデジタル経済における顧客体験を保護します。 |
リアルタイム緩和
強力なセキュリティ、脅威インテリジェンス、異常検出により、すべてのアプリと API をエクスプロイト、ボット、不正使用から保護し、侵害、ATO、詐欺をリアルタイムで防止します。 |
遡及分析
複数のベクトルにわたる相関分析と、セキュリティ イベント、ログイン失敗、ポリシー トリガー、動作分析の ML ベースの評価により、継続的な自己学習が可能になります。 |
自動保護
動的検出とポリシー ベースライン設定により、開発/展開ライフサイクル全体にわたって、自動緩和、チューニング、誤検知の修復が可能になります。
適応型セキュリティ
攻撃者がツールを変更したときに反応する自律的なセキュリティ対策により、顧客体験を混乱させる緩和策に頼ることなく、悪意のある行為者を欺き、有罪判決を下します。
分散プラットフォーム
統合アプリケーション ファブリックは、アプリからエッジまで一貫した保護を実現するために、必要な場所にオンデマンドでセキュリティを展開します。
エコシステム統合
より広範な開発フレームワーク、CI/CD パイプライン、イベント管理システムに簡単に統合できる API 駆動型のデプロイメントとメンテナンス。
クレデンシャルスタッフィング攻撃の例
| 状態 | 識別 |
|---|---|
乱用
|
異常検出
|
意図
|
行動分析
|
起源
|
ステージ1 ML
|
回避
|
ステージ2 ML
|
正確な検出と自動緩和
クレデンシャル スタッフィング プレイブック
