【クラウドの浸透とWAAPの必要性】
多くのWebサービスのプラットフォームがオンプレからクラウドへの移行が検討されています。クラウドへ移行するメリットとして、イニシャルコストが安いこと、システム構築期間が短期間で済むこと等があげられます。また、同様の理由からWeb APIの需要も高まり、多くのWebサービスで利用されています。
このような変化により、セキュリティのニーズも変化してきました。ガートナーは2017年より次世代のWebセキュリティの概念としてWAAP(Web Application and API Protection)を提唱しています。WAAPはWAF(Web Application Firewall)の基本的な機能に加え、API保護(REST APIやSOAP APIなどWeb APIを標的とする攻撃を保護する機能)、DDoS対策(大規模な処理要求からWebアプリケーションを保護する機能)、Bot対策(悪意のあるボットを識別し、有害な通信をブロックする機能)から構成されます。
【ラドウェアのWAAPソリューション】
このような背景のもとアズジェントはラドウェアのWAAPソリューションの取り扱いを開始いたします。多くのWAFベンダーが、シグネチャを用いて既知の攻撃をブロックするネガティブセキュリティモデルを採用しているのに対して、ラドウェアのWAAPソリューションはネガティブセキュリティモデルだけでなく、正規のトラフィックを学習し、通常とは異なるアクセスをブロックするポジティブセキュリティモデルの両方を採用することで、既知と未知の攻撃両方に対応し、「Log4Shell」や「Spring4shell」といった重大な脆弱性に対しても、攻撃の観測が見られた初日からブロックを行った実績※1があります。
ラドウェアのWAAPソリューションは、クラウドサービスとして提供され、2つのサービスで構成されています。
Cloud Application Protection Services (WAF、API保護、Bot対策)
参考提供価格(月額、税抜):320,000円~
・ネガティブ、ポジティブ双方のセキュリティモデルを採用することにより、既知の攻撃をシグネチャベースで、未知の攻撃は機械学習を用いたポリシー作成により検知、防御。
・OWASPトップ10※2の攻撃すべてを防御。
・IPに依存しないソース追跡によって、Webスクレイピング、DDoS攻撃/Web DDoS攻撃、ブルートフォースアタック等を防御。
・機械学習をベースとした固有のアプローチを用いて、有害なボットを検知。
・検索エンジンのクローラや悪意のあるボットなど、様々な種類の非人間型トラフィックを細かく分析。
・APIまたはOut-of-Pathモード(スクラビングセンターソリューション)を使用し、高度に人間に似たボットをリアルタイムで検出およびブロック
Cloud DDoS Protection Services (DDoS対策)
参考提供価格(月額、税別):1,200,000円~
・独自のふるまい分析機能により正規トラフィックと不正なトラフィックを判別し、DDoS攻撃に対するネットワーク層(L3-4)およびアプリケーション層(L7)を保護。
・ネットワークレベル、アプリケーションレベルの各種DDoS攻撃はもちろん、近年増加する回線飽和型攻撃やSSLベースのDDoS攻撃にも対応。
なお、アズジェントはラドウェアのWAAPソリューションを2023年6月より順次販売する予定で、3年間で5億円の販売を目指します。
※1 Log4Shell: Critical log4j Vulnerability
(リンク »)
Spring Hell: CVE-2022-22965 (Spring4Shell)
(リンク »)
※2 OWASPトップ10:Open Web Application Security Project(国際ウェブセキュリティ標準機構)が発表した危険度が最も高い10項目のWebの脆弱性。定期的(2~3年周期)に発行しているセキュリティレポート内で発表している。
このプレスリリースの付帯情報
お問い合わせにつきましては発表元企業までお願いいたします。