目次

WebアプリケーションとAPIの保護とは?

目次

WebアプリケーションおよびAPI保護(WAAP)は、インターネットに面したWebアプリケーションとWeb API(アプリケーションプログラムインタフェース)を保護するために設計されたクラウドWebアプリケーションファイアウォールサービスの進化版です。アプリケーションプログラミングの進化に伴い、開発者は組織のために最新のWebアプリケーションやWebインタフェースを作成しています。クラウドネイティブアーキテクチャは 、最新のアプリケーションプログラミングの未来です。ウェブアプリケーションと API プロトコルは多くの機密データにアクセスできるため、ハッカーの格好の標的です。従来のセキュリティソリューションでは、これらのアプリケーションやプロトコルを十分に保護することができなくなっており、WAAPが必要となっています。

ウェブアプリケーションは、インターネットに公開されたウェブサーバ上で実行され、ユーザはウェブブラウザを通してソフトウェアのインタフェースと対話することができます。ユーザー・エクスペリエンス全体と、そのエクスペリエンスを促進するコンテンツを包括しています。一方、 APIは 、データストレージ、分析、外部のスタンドアロンサービスとの統合などの機能でフロントエンドをサポートする バックエンドのサービスまたはプロトコル です。

これらはすべてクラウド コンピューティング プラットフォームによって可能になったもので、開発者は HTML、JavaScript、CSS SQL、JSON などのソフトウェア言語を使用してコードを記述し、堅牢な機能を備えた最新のウェブ アプリケーションを作成できます。このような新しいマイクロサービスと機能の爆発的な増加は、対処しなければならない新しいセキュリティ脅威と脆弱性をも生み出しました。

 

ウェブアプリケーションとAPIセキュリティの脅威

最新のウェブアプリケーションが進化するにつれて、悪意のある行為者が使用するテクニックも進化しています。開発者が新しい機能、特徴、サービスを作れば、アタックサーフェス領域も増えます。手作業によるチューニングやメンテナンスが必要な従来のウェブアプリケーションファイアウォール(WAF)では、絶え間ない変化に対応できません。開発者、DevOps、アプリケーション・セキュリティ・チームは、Webアプリケーションを大規模に拡張でき、包括的なセキュリティを提供できるソリューションを必要としています。

WebアプリケーションとAPIセキュリティは、組織がWeb APIを発見・保護し、使用ポリシーを実施し、アクセスを制御できるようにするAPI管理機能を提供します。さらに、WebアプリケーションとAPIのセキュリティは、次のような脅威から保護します:

  • クロスサイトスクリプティング(XSS):これは、悪意のあるコードが良性のウェブアプリに注入され、実行されることです。
  • クロスサイトリクエストフォージェリ(XSRF):これは、認証されたユーザーを介して、外部ソースが本人の同意なしにコマンドを実行したり、特定のアクションを実行したりすることです。
  • SQLインジェクション、OSコマンドインジェクション:これらは、悪意のあるSQLコードを使用してバックエンドのデータベースを操作し、表示されることを意図していない情報にアクセスする一般的な攻撃ベクトルです。
  • バッドボットこれらのボットは、インターネット上で悪意を持って自動タスクを実行するソフトウェアアプリケーションで、最悪のボットは詐欺や完全な窃盗などの犯罪行為を行います。
  • サービス拒否(DoS)攻撃:これは、ウェブアプリやAPIに大量の偽トラフィックを流し込んでブロックしようとする攻撃です。

The Open Web Application Security Project(OWASP )は、ウェブアプリケーションで発見された最も重大なセキュリティ問題 のトップ 10 のリストを提供しています。このリストには、アプリケーションが悪用可能であることを認識する方法など、各脆弱性に関する具体的な詳細が、サンプルシナリオや予防のヒントとともに含まれています。

 

WebアプリケーションおよびAPI保護とWebアプリケーションファイアウォールの比較

Web アプリケーションおよび API 保護(WAAP)は、Web アプリケーションファイアウォールとは異なります。WAAPはWAFの進化版。

A ウェブアプリケーションファイアウォール(WAF )は、ウェブアプリケーションとAPIを保護するコンポーネントです。WAFは、攻撃パターンを認識し、ターゲットとなるアプリやAPIへのアクセスを防止するフィルタを提供することで、WebアプリケーションやAPIの保護レイヤーを補完します。WAFのフィルタリング機能を決定するルールはポリシーと呼ばれます。最新のWAFは、クラウドネイティブのダイナミッククラスター、サーバーレス機能、仮想マシン、ハイブリッド環境など、アプリの実行環境に適応して動作します。

Webアプリケーション・セキュリティとAPI保護について

WebアプリケーションとAPIのセキュリティは、開発者、DevOps、セキュリティチームにとって継続的な関心事です。依存関係、統合、プロトコルは悪意のある行為者によって攻撃される可能性があるため、アプリケーションとウェブAPIを監視する必要があります。鎖は一番弱い鎖ほど強いということを忘れないでください。

Prisma Cloudの WebアプリケーションおよびAPIセキュリティは 、あらゆるクラウドネイティブアーキテクチャのWebアプリケーションとAPIの包括的な検出と保護を提供する、業界唯一の統合プラットフォームソリューションです。

関連コンテンツ
最新のWebアプリケーションとAPIを保護するための5つのベストプラクティス
ウェブアプリケーションとAPIは、データを共有し変更するための最も一般的な媒体です。それらが進化するにつれ、アタックサーフェスも進化します。アプリケーション・セキュリティ、開発、クラウド・アーキテクトが必要...
クラウドネイティブ時代のAPIセキュリティ
APIはクラウド・ネイティブ・アプリケーションで重要な役割を果たします-マイクロサービス間の接着剤の役割を果たします。クラウド ネイティブ アプリケーションと API をセキュアにするための全体的なアプローチについて学びます。
ウェブアプリとAPIセキュリティの水準を向上
定量的な分析と市場比較により、最新のクラウドアーキテクチャを支えるウェブアプリケーションとAPIのセキュリティを強化します。
WebアプリケーションとAPIのセキュリティ
最新のアプリケーションは、セキュリティチームにとって、監視・保護すべきアタックサーフェスが無数に存在するため、従来のWebアプリケーションファイアウォール(WAF)やポイントソリューションでは監視・保護が困難でした。

最新ニュース、イベント情報、脅威アラートを配信