ブログに戻る

フォロー&ご登録

最先端の Web アプリと API のセキュリティツールに欠かせない6つの機能

Julie Rockett

Director of Product Marketing, Fastly

API がオンラインエクスペリエンスの向上に欠かせない存在となる中、現在2つの変化が起こっています。一つは、高度にパーソナライズされたコンテンツ、超高速なストリーミングメディア、エッジで構築された複雑なロジックなどによって、あらゆる機能を備えた、より魅力的なエクスペリエンスをユーザーに届けることが可能になったことです。もう一つは、このようなエクスペリエンスを可能にするテクノロジーに、セキュリティツールが追いついていない現状です。この矛盾に疑問を持つ人は少なくありません。

Fastly と Enterprise Strategy Group (ESG) が共同で作成したレポート「転換期を迎えた Web アプリと API のセキュリティ」では、回答者の半数以上が今後2年間でほとんど、もしくはすべてのアプリケーションにおいて API を使用する予定であると答えています。しかしその一方で、パブリッククラウドや API 中心のアプリケーションへの移行により、2年前と比べて Web アプリケーションや API を保護することが困難になっているとも感じています。

この調査では、最先端のアプリケーションには、柔軟なデプロイ、DevOps サポート、強力な API 保護を可能にする最先端のセキュリティツールが必要であることが分かりました。今、求められているのはこれらを実現できる幅広い機能を備えた最先端の Web アプリケーションと API の保護 (WAAP) ソリューションです。この記事では、最先端の Web アプリと API のセキュリティツールにおいて最も重要な6つの特徴をご紹介します。

1. 優れた可視性と保護機能

現在セキュリティ市場の注目が、Web アプリケーションファイアウォール (WAF) から Web アプリケーションと API の保護ソリューションへと移行しています。この市場動向を見ても分かる通り、API はセキュリティ戦略の重点になりつつあります。その結果、統合ソリューションには、使用されている API や API を通過するトラフィック、それらのリクエストに対するエンドポイントのレスポンスなどの可視化が不可欠です。また、GraphQL などの新しい API テクノロジーのサポートも欠かせません。

2. あらゆる環境に対応

オンプレミスやクラウド環境で、レガシー、コンテナベース、サーバーレスアプリケーションを保護するには、柔軟なデプロイが可能な最先端のソリューションが必要です。ロードバランサーや API ゲートウェイとの統合が可能で、リバースプロキシとして動作し、Kubernetes にデプロイできる、または SaaS (software-as-a-service) として機能する柔軟なセキュリティソリューションは、アプリケーションの種類に関わらず、一貫した保護を提供することができます。

3. DevOps ツールとの統合

どんなにデプロイオプションが柔軟であっても、CI/CD プロセスに直接統合し、本番環境にプッシュされるアプリケーションを確実に保護することができないソリューションでは、最先端の環境のニーズに合ったスケーラビリティを実現することはできません。アプリケーションチームは、セキュリティの取り組みにおいて大きな役割を担っています。そのため、Web アプリと API を保護するセキュリティツールは、Slack や PagerDuty、Jira など、DevOps チームが使い慣れているプロセスやツールに統合できることが重要です。

4. 自動化とオーケストレーション

DevOps ツールとの統合に加え、Web アプリケーションと API のセキュリティソリューションには、アプリのインフラ全体における自動化とオーケストレーション技術が必要です。アプリケーションのデプロイ時に設定やルール作成、ポリシーの書き換えを手作業で行っていては、イノベーションのペースについて行くことはできません。迅速なリリースサイクルに対応できる WAAP ソリューションは、きめ細かいイベント分類とコンテキストに基づいてセキュリティイベントのフローを自動化することで、インシデントレスポンスのワークフローを強化し、担当チームにリアルタイムで指標を送信することができます。

5. 継続的なアップデート

アップデート、テスト、ルールセットのデプロイを手作業で行っていては、動的な脅威のランドスケープには対応しきれません。統合ソリューション導入すると、アップデートを自動化し、手作業の負担を取り除くことができるため、運用面でのメリットが得られます。

6. 動作に基づいたブロック機能

シグネチャベースの検出機能は、進化し続ける攻撃手法に対して効果を発揮することができない上、誤検知の多発の原因となります。Fastly の調査では、アラートの約半数が誤検知であることが分かっています。リクエストが悪質であると認識されて検出されるのを待つのではなく、リクエストの意図を見極めることが重要ですが、それと同時に誤検知を防止することも欠かせません。

今後の対策

新たなツールを見つけ、スタックをアップデートするのは容易なことではありません。しかし、セキュリティツールを最新化する一時的な手間は、従来型や時代遅れのツールがもたらすリスクを考えれば、小さなものです。

プロセスとセキュリティスタックのアップデートと統合を始める際には、こちらの記事をご参考にしてください。また、この喫緊の課題について詳しくは、レポートをダウンロードしてください。