Web アプリケーションおよびAPI保護 (WAAP) とは何ですか?
Web アプリケーションおよびAPI保護 (WAAP) では、今日の複雑なアプリケーションを検出して保護する一連のセキュリティ ツールについて説明します。 今日の Web アプリケーションの大部分は、アプリケーション プログラミング インターフェイス (API) を介して構築および実行されます。これは、アプリケーションがデータを共有できる軽量のソフトウェア インターフェイスです。 しかし、この双方向性により新たな攻撃手段が生まれ、WAAP は API が従来のネットワーク セキュリティに開けた穴を塞ぐことを目的として構築されています。
従来のWAFの限界
WAAP の機能を詳しく検討する前に、その対象となっている脅威の状況を理解しておくことが重要です。API はデータを迅速かつ簡単に共有できるように設計されています。これにより、古いネットワーク セキュリティ プラットフォームが安全を保っていたソフトウェアとは大きく異なります。Web アプリケーション ファイア (WAF) は、主に静的な動作を持つ Web アプリケーションと、主に事前定義された方法で通信するユーザー ベースを保護するために構築されました。 これは、ルールベースのセキュリティ ポリシーに最適な環境です。WAF は、各 HTTP 通信を内部ポリシーと照合するだけで、攻撃が内部ユーザーに到達する前に、疑わしい動作に類似するものをすべてブロックできます。
WAF のポリシーベースのアプローチがなぜ制限されているのかを示すために、 API セキュリティが直面する一般的なリスクのいくつかを評価してみましょう。
正しいユーザー認証
Web アプリを操作する場合、ユーザーは自分のロールの権限レベルに対応するリソースにのみアクセスできる必要があります。ただし、一部の API はユーザー認証チェックを実行するようにコーディングされていません。これは非常に一般的な脆弱性であるため、OWASP ではこれを「Broken Object Level Authorization」と呼んでいます。このアクションを実行しない API を使用すると、攻撃者がAPIを呼び出し、ユーザー パラメーターに偽のユーザー ID を配置し、そのユーザーまたはエンドポイントの詳細にアクセスできるようになります。
Token Theft
あるいは、ユーザーを認証する API はトークン盗難のリスクがある可能性があります。ユーザーまたはエンドポイントが API の認証サーバーで ID を確認するたびに、基盤となる API へのアクセスを確認するトークンが発行されます。これらのトークンは定期的に期限切れになるように設定する必要がありますが、一部の開発者は永続的なトークンを発行することを選択します。このトークンが、たとえば中間者攻撃によって盗まれた場合、攻撃者はユーザーのアカウントに無期限にアクセスできるようになります。
WAFルールの制限
WAF ルールは、本質的に API 内の不適切なアクセスを見つけることができません。HTML パターンを見つけるために構築された WAF は、API で使用される複雑でネストされた構造に対して非常に苦労します。署名は、ビジネスおよび認証プロセスを確実にエンコードするための最適な形式ではありません。
さらに悪いことに、API コンテキストで WAF シグネチャを実装しようとすると、多くの場合、多数の誤検知が発生します。つまり、WAF は正当な API の使用に関してアラートを発行し、場合によってはブロックすることもあります。
WAAP: 仕組みとコアコンポーネント
これは WAF が時代遅れであると宣言するものではありません。WAAP の中核となるのは Web アプリケーション ファイアウォールです。 WAAP も、ユーザーとバックエンド サービスの間に位置するリバース プロキシとして位置付けられているため、同じアーキテクチャ設計に従います。
ただし、WAAP は WAF 機能のみに頼るのではなく、その上にいくつかの追加コンポーネントを活用することでメリットを得ています。ガートナーは、WAAP が組織の既存のネットワーク ツールとの統合だけでなく、継続的に更新される脅威インテリジェンスのバックボーンも必要とするため、WAAP をクラウド ベースとして定義していることに注意してください。
Webアプリケーションファイアウォール(WAF)
WAF は、効率的で拡張性の高い防御層として機能し続けます。これは、アプリケーションとそのユーザーとの間で送受信されるすべての HTTP/S トラフィックを検査します。これは、Web アプリケーションを保護するための基本的なベースラインです。 高度な WAF モジュールは継続的に更新されるルールセットに基づいており、脅威が新たに発見されたときに仮想パッチを適用できます。リアルタイムの脅威フィードには、プロバイダーの脆弱性インテリジェンス フィード全体を組み込むことができるため、ほぼリアルタイムの保護が可能になります。
それに加えて、高度な WAF はディープ パケット インスペクション (DPI) を提供できます。従来の WAF は、ユーザー リクエストのパケット ヘッダーを調べます。これにより、パケットの送信先と送信先、およびそのルーティング方法が示されます。DPI は、データ パケットがネットワークを通過するときにその完全な内容とペイロードを検査することで、これに取って代わります。
この詳細な分析により、WAF エンジンは個々の危険なパケットをブロックできるだけでなく、コマンド アンド コントロール サーバーへの接続を要求し始める侵害されたアプリケーションなどのより複雑な攻撃もブロックできるようになります。したがって、コンテキスト駆動型プロトコルは、ユーザー ID、場所、時間、デバイス、リクエスト内でのデータの出現場所など、各リクエストのより広範なコンテキストを考慮できます。
最後に、このリアルタイム HTTPS トラフィック データはすべて、行動分析プラットフォームに送られます。これにより、WAF は、各アプリケーションが時間の経過とともにどのように呼び出されるか、およびさまざまなユーザーがどのように動作するかのプロファイルを作成できます。
API Gartner マジック クアドラント
API セキュリティは WAAP のコア コンポーネントです。API ゲートウェイとしてアーキテクチャ化された WAAP は、各リクエストを取り込んで適切なバックエンド サービスにルーティングするか、要求されたバックエンド サービスを呼び出してその結果を集約する単一のエントリ ポイントとして機能します。
セキュリティの可視性の観点から見ると、これにより API の可視性が大幅に向上します。WAAP ソリューションはトラフィックと関連するエンドポイントをスキャンして現在使用されている API を検出するため、 API検出は半自動化できます。 インベントリに追加されると、手動レビューが実行されます。検証済みの API はベースライン インベントリに移動され、予期しない検出はシャドウ API としてフラグ付けされ、さらなる検証のためにリストされます。
このプロセスの一部には、各 API が準拠しているスキーマの検証が含まれます。各 API が検出されると、WAAP ツールはサンプルされたリクエストと応答データを取り込み、共通スキーマの内部リストと照合します。一般的でないスキーマは手動で検証できます。この WAAP 検出には、スキーマに加えて、各 API の認証要素が含まれます。
学習またはインポートされた API スキーマを使用すると、受信リクエストと送信リクエストに検証を適用できます。したがって、これにより、サードパーティの API であっても、OAuth 2.0 認証、入力サニタイズ、レート制限などのベストプラクティスに準拠していることが保証されます。最新の WAAP プラットフォームでは、多くの場合、リアルタイムのトラフィック可視性と自動化された API インベントリ管理のために API ゲートウェイが統合されています。
ボット管理
API と個々のユーザーのセキュリティを確保することは重要ですが、アプリケーションのセキュリティを確保する際には、ボットという別の要素も考慮する必要があります。ありがたいことに、ボットは本物のユーザーや API 呼び出しとは異なる動作をすることがよくあります。たとえば、人間はマウス ポインターをランダムかつ自然に動かしますが、ボットはマウスの動きを機械的な直線でシミュレートするか、まったく動かないかのいずれかです。WAAP は、デバイス、ブラウザ、ネットワークなどのパラメータとともに、クライアント側のアクティビティを収集します。
WAAP のベスト プラクティスでは、疑わしいボットには JavaScript や CAPTCHA などのチャレンジを発行する必要があることが示されています。ボットとして検証されると、ブロックされるか、適切なレート制限が課せられるようになります。
アクセス管理
先ほど、安全な API 認証の重要性について触れました。WAAP は、組織の既存の ID およびアクセス管理 (IAM) プロバイダーと統合することで、これに可視性と強制力を与えます。
統合されると、WAAP は API 認証で発行されたすべてのアクセス トークンをキャプチャして検証し、各 API 呼び出しが有効で期限切れでない資格情報を持つことを保証できます。これにより、組織はアクティブな API 内で定期的なトークンの更新を実施しながら、盗まれたアクセス トークンを検出して削除できるフレームワークが提供されます。
エンドユーザーの観点から見ると、WAAP ツールはフェデレーション ID と SSO 統合をサポートしているため、認証プロセスを高速化できます。つまり、信頼できるデバイスの認証はバックグラウンドで実行できます。
チェック・ポイントでAPIセキュリティを最大化
Check Point offers transparent API discovery and schema enforcement: it then applies dual AI engines – one trained on vast volumes of malicious and benign traffic, the other continuously modeling the unique context of your applications – to automatically block threats with near-zero false positives.
Finally, Check Point collates all ongoing API and web application data into a unified dashboard. Reporting is made fast and efficient thanks to audit-ready logs, while Check Point’s global infrastructure provides local Points of Presence that keep latency low and maintain a high level of scalability.
Explore the Check Point dashboard for yourself with a demo and start unveiling the APIs within your organization.
