マクニカ
Webセキュリティ 2022.11.01

多様化する脅威からWebアプリケーションを守る「WAAP」という新常識

3 行でわかる本記事のサマリ

  • WAAP」とは、 Webアプリケーションを様々な脅威から保護するためにGartner社より提唱された概念であり、WAF、悪性Bot対策、DDoS対策、WebAPI保護の4つの要素を中心に構成されます。
  • 高度に発達した様々な脅威に対し、それぞれに特化した「専用ソリューション」が必要です。
  • WAAP」という考え方をベースとし、総合的なセキュリティ機能を提供するトータルソリューションがあります。

はじめに

Webアプリケーションのセキュリティとして、WAAPという用語はご存知でしょうか。
昨今ではWebアプリケーションの環境は大きく変化しています。環境の変化といえば、オンプレからクラウド・ハイブリッド環境への移行、開発の変化(DevSecOps)、API利用の拡大、仮想化・コンテナ・オーケストレーション技術など、様々な技術領域の発達が挙げられます。そのような変化に伴い、Webアプリケーションのセキュリティ対策は、WAFなどの従来の製品群だけでは十分とは言えない状況になっています。
では、昨今のWebアプリケーションでは、具体的にどのような対策が必要とされるのでしょうか。環境の変化に伴い様々な脅威が存在する中で適切なセキュリティを考える助けとなるのが、今回ご紹介するWAAPです。本ブログでは、WAAPという考え方に基づき、今Webアプリケーションに求められるセキュリティ対策について考えます。

目次

  1. 「WAAP」とは?
  2. Webアプリケーションの多様化する脅威
    2.1. WAF
    2.2. 悪性Bot対策
    2.3. DDoS対策
    2.4. APIセキュリティ
  3. トータルソリューションとWAAP

「WAAP」とは?

WAAPWeb Application and API Protection)は、米Gartner社がクラウド型WAFの進化版として提唱した概念です。現代のWebアプリケーションにおけるセキュリティ要件を定義したもので、従来のWAFを基本として追加の3つの要素が加えられた、計4つの要素から構成されています。

名称

提供機能

WAF

Webアプリケーションの脆弱性を狙う攻撃の遮断

悪性Bot対策

買い占めや不正ログインなどをはじめとする、悪性ツールを利用した様々なアクセスや攻撃の検知・遮断

DDoS 対策

Webサービスに高負荷をかける攻撃を遮断し、サービスを維持

Web API保護

Web APIに対する様々な攻撃の検知や遮断

WAAP-1.png

Webアプリケーションの多様化する脅威

本節では、  WAAPを構成する WAF以外の項目と脅威についてそれぞれ解説します。

悪性Bot対策

脅威とトレンド
一般的にBotとは自動化されたタスクを行うツールであり、非常に便利なツールです。一方で、Botは悪用されることも多いです。そういったBotを「悪性Bot」と呼び、これらは機械的にWebサイトにアクセスしてビジネスに悪影響を及ぼします。
悪性Botの例を下記に示します。

  1. スクレイピング

    Web    サイトで公開されている情報は、スクレイピングにより効率的に収集することが可能です。競争優位に立とうとする競合他社から情報を抜き取られたり、最安価格のかいくぐりなどが行われる可能性があります。

WAAP-Bot-1.png

  1. スキルピング

    BotはWebアプリケーション上の操作を自動で実行可能なため、 悪性Botを利用した買い占め(スキャルピング)がECサイト等で多発しています。その影響で一般のユーザは購入したいものが手に入らず、顧客満足度やブランドイメージが低下しユーザ離れを引き起こします。 ECサイトの立場では売り上げになりますが、悪性Botによるスキャルピングを放置すると結果的にビジネスに悪影響を招きます。

WAAP-Bot-2.png

  1. アカウント乗っ取り(ATO

    多くのサービスにおいてアカウントのログインに必要なものは、IDとパスワードです。攻撃者がBotを利用し、ログイン試行を繰り返し成否を確かめることで、アカウントのIDとパスワードが奪取(アカウント乗っ取り)されてしまう可能性があります。

WAAP-Bot-3.png

悪性Botはこのような不正行為に利用されています。
また悪性Botの通信は年々増加しており、全インターネットトラフィックのおよそ30%にも上るというデータがあります。悪性Botの増加に伴い多数のBot対策ソリューションが開発されていますが、このような対策をもかいくぐる高度なBotも存在しています。

対策について
悪性Bot対策では、高精度で悪性Botの判別・遮断が可能な、専用の対策ソリューションが不可欠です。 それは、悪性Botからの通信を遮断することだけでなく、サイトの利便性や悪意のない通信には影響を与えないことも重要であるためです。例えばCAPTCHA認証はBotと人を区別するために非常によく利用されていますが、ユーザにとってはとても面倒な作業が必要になるため、ユーザ離れにも繋がりかねません。また、Googleクローラーなどの悪性ではないBotを遮断してしまうことにもなり得ます。高度な専用の対策ソリューションは、効果的な悪性Bot対策を実現します。

DDoS対策

脅威とトレンド
DDoS攻撃は、サービスに多大な負荷をかける攻撃です。またWebサービスは様々な要素から構成されており、DDoS攻撃によりその1つでもダウンするとWebサービス全体が影響を受けます。そのため、Webサービスを構成する要素全体で対策する必要があります。特にWebサーバ自体やDNSサーバはダウンした時の影響範囲が大きいため、対策は非常に重要です。

実際、DDoS攻撃による被害事例は増加しており、その対象も多様化しています。アプリケーションレイヤを狙ったLayer 7 DDoS攻撃や、ネットワークレイヤを狙ったLayer 3-4 DDoS攻撃、DNSサービスに対する DDoS攻撃など、Webサービスに対しあらゆる角度のDDoS攻撃が増加しています。DDoS攻撃はその対象により防御方法も異なるため、それぞれの攻撃に適した対策が必要です。

また、攻撃者がDDoS攻撃を行う目的も多様化しており、例えば近年下記のようなDDoS攻撃が増加しています。

  • 身代金要求型DDoSRDoSRansom DDoS
    攻撃者がDDoS攻撃の継続および身代金の要求を行い、金銭を得るためにDDoS攻撃を行う事例が報告されています。
  • DoW(Denial of Wallet)攻撃
    従量課金のCloudサービスなどサーバレスアプリケーションを標的とし、クラウドプロバイダへの支払いを肥大化させようとする事例があります。
  • 煙幕としてのDDoS
    DDoS攻撃後または攻撃中に、アカウント乗っ取り(ATO)など攻撃者にとって利益の大きい攻撃を行う、DDoS攻撃を煙幕として利用しているような事例が観測されています。

このようなDDoS攻撃は、いつだれが標的になってもおかしくありません。またDDoS攻撃サービス(CaaSCybercrime-as-a-Service)の増加により、誰でも容易に大規模なDDoS攻撃を実行可能になっています。業界別にみると金融サービスへのDDoS攻撃が最も増加している傾向がありますが、どの業界においても同様に増加傾向が見られます。また件数だけでなく規模も大きくなっており、Imperva社が2022年に観測した最大規模のDDoS攻撃は、その前年の3倍以上の規模を観測しています。

 対策について
DDoS攻撃については、DDoS攻撃発生時にも一般ユーザには影響を与えず、サービスを維持できるように対策することが重要になります。しかしながら、 DDoS攻撃の通信内容そのものは一般ユーザと変わらないこともあり、攻撃通信の判別は難しいです。そのためDDoS対策には、リアルタイムでの高精度な攻撃通信の検出、迅速な緩和・ダウンタイムの最小化、アラート通知、分析とその結果の表示等の機能を持つ、DDoS攻撃専用の対策ソリューションが不可欠です。

APIセキュリティ

脅威とトレンド
今や生活に欠かすことができなくなったオンライン決済を始めとする身近なWebサービスの多くは、Web APIにより成り立っています。APIは個人情報のような機密情報を扱うことも多いため、APIを狙った攻撃がトレンドになってきています。また、APIにはセキュリティリスクが含まれたままリリースされているケースも多く、実際に世界各国で個人情報漏洩などのインシデントが発生しています。そのため、APIについても専用のソリューションで対策を実施することが重要です。

 対策について
APIの開発では、開発チームがAPIの機能を次々に追加していきます。セキュリティチームは開発チームと連携しつつ、開発と運用の両フェーズでAPIのセキュリティ対策を実施することが求められます。APIセキュリティをより強固にする実際の通信先やリクエスト内容に基づいて、APIのリスクを可視化し、不正な通信を検知・遮断することが重要です。

APIセキュリティの詳細につきましては弊社の別ブログに情報を掲載しておりますので、ぜひご覧ください。
https://mnb.macnica.co.jp/2023/02/post-32.html

トータルソリューションとWAAP

WAAPは上記4つの要素が中心ですが、Webアプリケーションにおいて対策すべきセキュリティ対策はそれだけではありません。その他の例として、下記のような要素もございます。

  • CSPClient Side Protection
    Webサイトの改ざんからクライアントを保護する仕組みです。悪意のある第三者に不正に情報が奪取されることを防ぎます。
  • セキュアCDN
    サイトコンテンツを速く安定的に供給します。ユーザ利便性やシステムの可用性を向上します。

WAAP-2.png

このように広範囲なセキュリティ対策が求められる状況で効果的な手段は、トータルソリューションを導入することです。Imperva Cloud WAFは、WAAPの中心的な4要素のほか、Webアプリケーションにおいて重要なセキュリティ対策をトータルで提供します。トータルソリューションを選択することで、効果的かつ包括的なセキュリティ対策を実現します。

Webアプリケーションセキュリティに関心のある方は、下記からお問い合わせください。


お問い合わせはこちら2.JPG

▼【ホワイトペーパー】今、攻撃者に狙われる「API」
APIセキュリティのあるべき姿とは?
HWバナー追加.pngのサムネイル画像

資料請求はこちら.png

次回予告

次回、API Protectionについて深掘りした内容をお届けします。

メルマガ登録バナー(セキュリティ).jpg

RSSで購読する
ランキング
カテゴリ
タグ
月別アーカイブ