アカマイ・テクノロジーズは11月16日、ウェブサイトやAPI環境を包括的に保護するセキュリティ新サービス「App & API Protector」を発表した。ウェブ環境に対する攻撃の面的な広がりに対応するとともに、セキュリティ対策の運用の自動化も促進するとしている。
同日の記者発表会でプロダクト・マーケティング・マネージャーの中西一博氏は、これまで主にウェブアプリケーションファイアウォール(WAF)で対処していたウェブ環境を狙うサイバー攻撃の脅威が面的な広がりを見せていると指摘した。モバイルアプリケーションからのAPIリクエストなどが増えていることを背景に、ウェブサイトのバックエンド側にあるAPIサーバーなどにも脅威が及ぶようになり、同社が観測する不正ログイン試行全体に占めるAPIのエンドポイントを狙う攻撃の割合は20%に達しているという。また、企業の海外現地法人が独自に運用するマーケティングサイトなどが攻撃の踏み台にされるリスクも高まっており、脅威が面的な広がりに包括的な対応を講じる必要性が生じているとする。
このため対策技術としては、従来のWAFの機能を進化させると同時に、API保護などを加えた「Web Application and API Protection」(WAAP)が注目され始めているという。新サービスの「App & API Protector」は、同社がこれまで提供していたWAFサービスなどの後継に当たる位置付けで、対策機能の強化・進化と、新たに運用自動化のための機能を組み合わせて提供するものになる。
「App & API Protector」サービスの概要
WAAPの機能としては、組織が保有するAPIサーバーなどのAPIエンドポイントを自動検出する「APIディスカバリー」や、APIリクエストの自動検査、ウェブ環境を攻撃する悪質なボットネットの検知や判定、防御と、コンバージョン率などデジタルマーケティングの指標におけるボットの影響を排除する機能を提供する。
サービスの中核となる「Adaptive Security Engine」も強化しており、保護を適用するウェブサイトの状況やアクセス履歴などを基に、個々の環境に合わせて柔軟にルールやポリシーなどを適用できるようにしたほか、正しく検知する確率を2~4倍に向上させる一方、誤検知の発生率を約5分の1に低減して精度を高めたという。
運用面では、これまでWAFの防御を高精度に行う上で課題だった専門家によるシグネチャーやルールの適用といった人的な作業などの自動化を図る。同社がサービスで培ったノウハウに基づく自動的なルールの更新や推奨のチューニングの実行が可能な「Automatic Mode」を備えている。なお、ユーザーが手動設定するマニュアルモードも用意している。先行利用ユーザーによる評価では、ルールの自動更新については95.7%、自動チューニングについは96.3%が前向きなものだったとしている。
セキュリティ運用の自動化による負荷軽減も特徴付ける
同社では、機械学習技術を活用して攻撃や状況を自動学習させながら脅威の変化に、高精度に対処していく「適応型防御」を推進しているとしたほか、今回のWAAPの提供によりDevOpsなどの新しい開発・運用スタイルに適したセキュリティの保護を提供できるとも強調した。
発表会には、11月1日付で職務執行者社長に就任した日隈寛和氏も登壇。「アカマイのテクノロジーに魅力を感じて入社を決めた。コンテンツ配信ネットワークからセキュリティ、そして、エッジコンピューティングへのポートフォリオの広がりを通じて、インターネット空間の支えていくアカマイの認知度を今まで以上に高めていきたい」と、これからの意気込みを語った。
11月1日付でアカマイの職務執行者社長に就任した日隈寛和氏
