Webアプリケーションセキュリティにおけるギャップ
異なるセキュリティがどのように侵害につながるか
A社とB社のストーリー
これはA社とB社のストーリーであり、両社は一見異なるWebアプリケーションとAPIセキュリティへのアプローチを持ちますが、微妙ではありますが重大な欠陥を互いに持っています。この欠陥は、両社のデータ漏洩(および関連するすべての負の結果)をもたらしました。
A社は、可能な限り安全なAPI保護を導入しています。同社は、すべてのスキーマ違反、レート制限超過リクエストをブロックし、既知の悪意のあるIPアドレスをブロックリストに入れるために最新の脅威インテリジェンスを使用しています。同社のパスワードベースのAPI認証は、mutual TLSで置き換えられた場合、より安全になる可能性がありますが、現時点で侵害は起こっていません。
しかし同社は、APIセキュリティ、脅威インテリジェンスフィード、WAFにはすべて異なるベンダーの製品を採用しています。また、ベンダーのアップデートにより、APIセキュリティを通知する脅威インテリジェンスは、アカウントログインページを保護するWAFと互換性がなくなりました。その結果、攻撃者は、このページで新しいSQLインジェクション攻撃を利用し、正当なユーザーのユーザー名とパスワードの情報を取得することができました。攻撃者はその後、認証されたスキーマ検証済みのリクエストをAPIに送信し、大量の機密データを取得するのです。
一方、B社のWebアプリケーションは、DDoS攻撃に対して完全に保護されています。B社はまた、B社のアプリケーションと統合したい有料ユーザーにAPIを公開しています。
攻撃者は、ダークウェブ上で正規の有料ユーザーのAPIキーを購入します。このキーを武器に、攻撃者はB社のAPIサーバーに対して低速DDoS攻撃を開始します。攻撃者は、不定期にリクエストを送信するボットを起動させます。ボットが送信する各APIリクエストは、受け入れ可能なAPIキーが付属しているため、APIサーバーによって正当なリクエストとして受け入れられます。残念ながら、B社のバックエンドチームは、他のすべてのサーバーが保護されているにもかかわらず、DDoS軽減プロバイダーを介してAPIサーバーをプロキシすることを忘れていました。
リクエストが蓄積すると、APIサーバーは過負荷状�態となり、最終的にB社の他のユーザーにサービスを提供することができなくなりました。ユーザーの多くは不満から有料アカウントを解約しました。
A社とB社に共通する問題とは何でしょうか?
さまざまなソリューションを採用することが、見落としとギャップにつながる
これらの例では、両社のWebアプリケーションとAPIセキュリティへのアプローチは、複数のベンダーからのソリューションを組み合わせたものでした。このソリューションは統合されておらず、手作業によるミスも起こりやすいという問題点があります。
なぜこれが問題なのかを理解するために、WebアプリケーションとAPIセキュリティフレームワークの一般的なコンポーネントを考えてみましょう。
WAF:WebアプリケーションやWebプロパティに対する攻撃をブロックします
ボット管理:悪意のあるボットに挑んだり、そのボットをブロックしたりするのに責任を負います
DDoS軽減:DDoS攻撃(帯域幅消費型かパスワードスプレーかを問わない)に相対して、Webプロパティをオンラインに保持します
API保護:APIのレート制限、スキーマ検証、認証などを含みます
A社とB社は、これらすべての保護措置を講じていました。しかし、両社のWebアプリケーションのセキュリティソリューションは異なるベンダーのものを採用しており、(それが業界最高のものであったとしても)攻撃者が攻撃を行う上での欠陥を持っていたのです。
A社にとっては、WAFとAPIの保護は、統合されたものではなく、階層化されており、その状態で攻撃を防がなければなりませんでした。一方で攻撃を阻止できる場合でも、他方で攻撃が成功する可能性があります。B社のDDoS攻撃対策は、APIインフラストラクチャを保護せず、ボット管理は、ボットから発信されたAPIリクエストを検出せず、これらの認証は弱く、簡単に侵害されました。
これらは、潜在的なギャップの一例にすぎません。Webアプリケーションセキュリティにおけるその他の共通するギャップには、次のものがあります。
限られた脅威インテリジェンス:最新のものではない、適切な場所を網羅しない、または互換性のある形態ではない脅威インテリジ�ェンス。これはA社が直面していたものです。
多すぎるソースからの多すぎる脅威インテリジェンス:誤検出、冗長性、その他の非効率性をもたらします。
ボットの誤検知:これは、ユーザーに不満を抱かせ、サービスの低下を招き、緩慢な実行につながる可能性があります。
アラート疲れ:平均的な企業は、複数のベンダーからなる45のサイバーセキュリティツールを利用しており、それらのツールすべてがアラートを発信します。あまりにも多くの種類の製品を使用することにより、人間の従業員が自分の仕事を遂行する上で脅威を無視することにつながる可能性があります。
認証不足:A社とB社はどちらも、何らかの形での認証情報の窃盗に対する脆弱性を有していました。
スケーラブルではない脅威防御:ハードウェアセキュリティアプライアンスは、トラフィックのボトルネックとなり、大規模な攻撃やさまざまな攻撃によって過負荷状態となります。
こうしたギャップは、サイバー攻撃の複雑化・巧妙化に伴い、ますますリスクが高まっています。McKinseyによると、今日の攻撃者には、「人工知能と機械学習を利用した統合ツールと機能を活用する、非常に高度化した組織が含まれている」ことを明らかにしています。現在の攻撃者は、ターゲットよりも速く動き、戦術をより速く改良していることが多いのです。
APIに対する新たなリスク
APIは、現代の組織のWebアプリケーションインフラストラクチャにとってますます重要になっています。現在、Cloudflareで処理されるダイナミックトラフィックの58%がAPIベースであり、その割合は増加し続けています。実際、多くの組織は自らを「API優先」と謳っています。さらに、Cloudflareでは、Webトラフィックよりも悪意のあるAPIトラフィックをより多くブロックしており、攻撃者が確実にAPIを狙っていることがわかります。
Webアプリケーションに深く組み込まれるAPIが多いことから、APIに関連するセキュリティは最優先であると考える必要があります。しかし、善意ある社内チームはしばしばAPIを迅速に、そしてセキュリティに関する考慮なしにデプロイします。その結果、多くのWebアプリケーションの侵害は、不十分なAPIセキュリティに起因することがあります。
例えば、リアルタイムパッケージトラッキングをサポートするAPIが基本的な認証を欠いていたことから、API関連の侵害がUSPSに被害をもたらしました。ログイン済みのユーザーはワイルドカード検索パラメータにより他のすべてのユーザーのアカウント情報に対するクエリを実行することでデータセットのすべてのレコードを明らかにすることができました。これにより、6,000万人のUSPSアカウント保持者のデータがリスクにさらされました。
統合されたソリューション
A社とB社が、あらゆるベンダーからのセキュリティ製品の組み合わせの代わりに、WebアプリケーションとAPIセキュリティサービスのすべてを統合した1つのプラットフォームを利用したとすればどうでしょうか。そして他のすべてのサービスが、お互いに統合されていたとしたら?企業のインフラストラクチャの状態に関するデータが単一の場所に示されるため、攻撃とセキュリティ体制を迅速に評価することができたのではないでしょうか?
A社は、すべてが1つのプラットフォームに統合されていることから、すべてのWebアプリケーションとAPIセキュリティフレームワークのコンポーネントが最新の脅威インテリジェンスを持っていることを確認し、攻撃が開始する前に阻止することができたでしょう。B社は、設置されたすべてのサーバーにDDoS攻撃対策をより簡単に拡張できたでしょう。
1つのプラットフォームを使用するということは、ギャップが少なくなり、管理が容易になることを意味します。
Webアプリケーションセキュリティに対するこの統合されたアプローチは、あらゆる種類のトラフィックをプロキシできる、高度に拡張可能なインフラストラクチャを必要とします。過去数十年間、組織は、新たな攻撃から身を守るため、または規模を拡大するために必要な時に、アプライアンスを購入していました。ですが、クラウドベースのサービスにより、より簡単に規模を拡大し、あらゆる種類のインフラストラクチャをプロキシできるようになるでしょう。そして、統合されたプラットフォームはすべての攻撃に対して保証があるわけではありませんが、確かに上述の仮想的な企業に役立ったでしょう。
思考実験を超えるもの:WAAPの重要性の高まり
これは単なる仮想的な思考実験ではありません。Gartnerは、これらの統合されたサービスを、「WebアプリケーションとAPI保護」、つまりWAAPと�定義しています。Gartnerは2022年に、「2024年までに、本番環境でWebアプリケーションのマルチクラウド戦略を取り入れる企業の70%が、WebアプリケーションとAPI保護プラットフォーム(WAAP)アプライアンスやIaaSネイティブなWAAPよりも、クラウド型のWAAPサービスを好むだろう」と予測しています。
WAAPは、ただの略称ではありません。これは、現代の組織にとってますます重要になってきている、WAF、ボット管理、DDoS攻撃対策、APIセキュリティ、その他のサービスの統合のことです。インターネットのグローバルな性質により、WebアプリケーションやAPIは、多くの場所、様々な規模や複雑さのレベルからの攻撃に継続的にさらされています。IBMが2022年に、調査対象の83%がデータ漏洩を経験したと報告したことは、驚くにあたりません。調査対象企業の侵害に対する平均コストは、世界平均で435万ドル、米国平均で944万ドルでした。
その他の考慮事項:異機種混在のインフラストラクチャ
A社とB社が今日、アプリケーションとAPIをゼロから構築しようとする場合、両社はデプロイを容易にするために、1つのホスティングプロバイダーを利用して、クラウドでそれら全体をホストするかもしれません。ですが実際には、ほとんどの企業は、レガシーのオンプレミスデータベースサーバー、クラウドベースのサードパーティAPI、および��複数のクラウドでホスティングされたアプリケーションサービスのハイブリッドなインフラストラクチャをデプロイしています。これらのデプロイには多くの利点がありますが、同時に、固有のセキュリティ上の課題が浮き彫りになります。
例えば、あるクラウドプロバイダーの提供するネイティブセキュリティは、インフラストラクチャ全体に拡張可能でない場合があるかもしれません。まず、防御するために、保有するすべてのインフラストラクチャを発見し、マッピングするという課題を持ち合わせるかもしれません。そして最後に、使用するセキュリティ製品が、社内の技術スタックに含まれるその他のソリューションと互換性がないかもしれません。
そのため、WAAPは、重要なWebアプリケーションセキュリティ機能を統合することに加えて、インフラストラクチャに依存しない必要があります。つまり、あらゆる種類のインフラストラクチャやクラウドの前面に配置される必要があるのです。
統合された、インフラストラクチャに依存しないWebセキュリティ
Cloudflareは、クラウドネイティブでインフラストラクチャに依存しないWebアプリセキュリティを、10年以上にわたって提供してきました。そしてこれらの機能すべてを、単一の管理画面に統合されたプラットフォームとして提供しています。また、Cloudflareは、インターネットのトラフィックの大部分を確認できるという利点を持ち、毎秒平均で57百万件を超えるHTTPリクエストを処理し、2090億件のサーバー脅威をブロックしています。これにより、Cloudflareはゼロデイ攻撃の脅威や新たな攻撃に対する固有の可視性を兼ね備えています。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
GartnerがCloudflareを2022年の『Gartner® Magic Quadrant™ for Web Application and API Protection(WAAP)』でリーダーと認定しました。
記事の要点
この記事を読めば、以下が理解できます。
異なるセキュリティソリューションがどのようにしてセキュリティギャップを生み出すか
これらのギャップがどのようにして現れるかの例
Gartnerがインフラストラクチャに依存しないWebアプリケーションセキュリティプラットフォームとの統合を推奨する理由