This post is also available in: 簡体中国語 繁体中国語 英語 フランス語 ドイツ語 イタリア語 韓国語 ポルトガル語(ブラジル) スペイン語 ロシア語

ホーム カテゴリーなし

カテゴリーなし

ビジネスを成功に導くAPIの保護とアプリケーションの保護

あなたの組織は、アプリケーション・セキュリティ・イベントに対する望ましい可視性を持っていますか?複数のプラットフォームで一貫したアプリケーション保護を実施できていますか?何個の API を使用していて、どのようなデータを処理していますか?アプリケーションセキュリティは、継続的なデプロイメントパイプラインにうまく統合されていますか? これらの質問やその他の質問について、業界の専門家からのコメントをご紹介します。 ラドウェアはOsterman Research社と提携し、アプリケーション インフラストラクチャとデータセキュリティの分野における最近の動向を調査しました。このブログでは、従業員数1000人以上の企業から世界中の200人以上の専門家を対象に調査を行い、その主な洞察を共有したいと思います。 アプリケーション開発と配信の現状 アプリケーション開発と本番環境は、これまで以上にアモルファスで弾力性に富み、相互運用し、安全なアプリケーションの提供を容易にする多くの独立したコンポーネントが集まっていることが明らかになっています。これらの新しいアーキテクチャの基盤となるのは、データ交換、統合、自動化を可能にする API...

パブリッククラウドが再びダウン? 2021年の予測

昨年、クラウドの可用性の問題の終焉したはずだった。結局のところ、障害が発生してもアプリケーションを利用可能な状態に保つための信頼性と十分な処理能力を持つことは、クラウドへの移行やクラウドでアプリケーションをネイティブに開発することの大きなメリットの1つです。 しかし、答えは違いました。今年のAWSの停止は、かつて見たことのないような現象で、RokuやVonage、Adobe、Washington Post、Flickr、Autodeskなどの多くのサービスに8時間以上の影響が出ました。このようなサービスの中断は、顧客体験の低下につながることが多く、攻撃者やハッカーはこのことを知っており、幅広いテクニックを駆使して被害をもたらしています。今回の停止でクラウドへの移行は遅れはしないでしょう。しかし、企業は、今後1つのベンダーのカゴにすべてのコンピューティングの卵を入れてしまうことに対して、より積極的にヘッジをかけるようになるでしょう。 2021年の私の予測は以下の通りです。 クラウドへの継続的な移行 企業は、プライマリ・クラウド・プロバイダーの停止を回避するために、マルチベンダーやマルチクラウドのオプションを選択することになるでしょう。 収益に影響を与えるビジネス・アプリケーションは複数のプロバイダーにまたがってホストされるようになり、企業はサービス・レベル・アグリーメントを必要とし  高可用性の高いソリューションを要求するようになります。

APIをボット攻撃から安全に保つ方法

モバイルやIoTデバイスの普及、パブリッククラウドでホストされる「サーバーレス」アーキテクチャの台頭、マシン間通信への依存度の高まりなどが、現代のアプリケーション・アーキテクチャの変化の理由となっています。 アプリケーション・プログラミング・インターフェース(API)は、異なるアプリケーション・アーキテクチャ間の通信を容易にする架け橋として登場しました。APIは、より迅速な統合と新しいサービスの迅速なデプロイを可能にします。さらに、DevOpsでは、サービスのプロビジョニング、プラットフォーム管理、および継続的なデプロイメントのためにAPIを活用したエンド・ツー・エンドのプロセス自動化が必要となります。 APIは急速に普及しているにもかかわらず、その保護が不十分なままであり、自動化ゆえの脅威が増大しており、個人を特定できる情報(PII)、クレジットカードなどのペイメントカードの詳細、ビジネスに不可欠なサービスがボット攻撃によって危険にさらされています。 APIに対するボット攻撃の症状

ゲームのサービス停止を招く攻撃が狙う3つの対象領域

新型コロナウイルスが蔓延し、ストリーミングコンテンツの消費がますます伸びています。このような背景から、ゲーム業界は、かつてないほど収益性の高い、注目の産業となっています。オンラインゲームサービスを混乱に陥れ、マルチプレイヤーエクスペリエンスに悪影響を与えるボット攻撃や不正操作、サイバー犯罪を企てる者が想像以上にいるのも、そのためです。 DDoS攻撃は、サービスの提供を阻害し、損害を招くものが一般的です。しかし、ゲームの場合には、DDoSが仕掛けられる独特の理由が他にあります。特定の1人または複数のプレイヤーが有利になる状況を不正に作り出すため、他のプレイヤーの速度を落としたり、競合プレイヤーがゲームルームに入れないようにしたりするために使われています。ゲームシステムは、全体で見るとさまざまな領域からDDoS攻撃を受ける可能性があります。攻撃が発生すると、プレイヤーの不満につながるばかりか、ブランドの評判にも深刻な影響を与えるおそれがあります。 最近の数か月は、オンラインゲーム業界を標的とする、インセッション型の低ボリュームUDPフラッド攻撃が行われるケースが増えており、有名なオンライントーナメントが中止や延期に追い込まれる例がいくつも起きています。 ゲームサービスの中断につながりかねない攻撃対象領域には、次の3つがあります。 ゲームサーバーに対する攻撃

Eリテーラーが自動攻撃の脅威から自社を守るには

急速に成長するEコマース業界。Eコマースでは、わずか数秒の間に収益性の高い買い物が行われ、取引が成立します。企業は、この便利なショッピングを実現するアプリケーションの保護にしっかり対応できるITインフラを用意しておかないと、瞬く間に仕掛けられる巧妙な自動攻撃の餌食となってしまいます。 あらゆる業界で、悪質なボットがますます巧妙化しています。第4世代に入った不正ボットは、人間の挙動をまねできるだけでなく、多数のIPアドレスに分散して潜り込み、さらに自己変異してサイバー攻撃を実行するようになっており、Eコマース企業とそのアプリケーションにとっては深刻な懸念となっています。 Eコマース企業は、ビジネスの推進を「善良なボット」に頼っています。デジタル広告や検索エンジン、ソーシャルネットワーク、アフィリエイトプログラムなどを用いて、ボットが仮想空間における企業の露出向上を支援しています。これらのボットは、ネットショッピングにおいて重要な役割を果たしていますので、行動を許可する必要があります。しかしながら、「悪意のあるボット」はサイバー攻撃を実行するため、正確な区別が極めて大切であり、ただちにビジネスに影響を与えます(ROI) 。 では、ネットリテーラーが、「善良なボット」と「悪意のあるボット」の双方を含めてボットを管理するにはどうすればよいでしょうか。 ボットを管理するには

増加するボット攻撃を相手に企業の対策が効果を発揮できない理由

自動攻撃の増加に伴い、ボットマネジメントの必要性が高まりつつあります。初期のボットは、小規模なスクレイピングやスパムに用途が限られていました。現在では、様相が大きく変わり、ユーザーアカウントの乗っ取りやDDoS攻撃、APIの悪用、特定のコンテンツや価格情報を対象とするスクレイピング、その他にボットが使われるようになっています。Gartnerは、「アプリケーションセキュリティのハイプ・サイクル:2018年」で、ボットマネジメントを「効果大」のカテゴリーに位置づけ、「『過度な期待』」のピーク期」にあるとしています。 では、ボットによる深刻な脅威に対し、企業がボット・マネジメント・ソリューションを採用しているかといえば、そうではありません。依然、企業の多くは導入に否定的です。こうした企業は、社内のリソースやソリューションでボットを抑制しようとしていますが、これがかえってユーザーのセキュリティを危険にさらす結果となっています。ShieldSquareのセキュリティ調査チームがまとめた最近のレポート「Development of In-house Bot Management Solutions and their Pitfalls」(社内ボット・マネジメント・ソリューションの開発とその落とし穴)によれば、社内リソースによるボットマネジメントでは、効果があるどころか害の方が大きいことが分かっています。 悪意のあるボットのトラフィックが実際には22.39%あったのに対して、高度な社内ボット・マネジメント・ソリューションを使っても、「検出率」は11.54%どまりでした。また、これらの社内ソリューションは、悪意のあるボットのほとんどを検出できなかったばかりか、「検出」した11.54%のほぼ半数が誤検出でした。

ガートナー、RadwareをAPI & High Securityユースケースで1位にランク付け

最新の「2020年アプリケーション&API保護のための重要な能力」レポート*において、4つのユースケースのうち2つのユースケース(APIでは3.57/5、ハイセキュリティユースケースでは3.66/5)において、Radwareが最高得点を獲得しました。 本レポートは、2020年のGartner Magic Quadrant for Web Application Firewallsの発表を受けて、2019年のレポートでラドウェアが実行能力とビジョン軸の完全性に関してさらに上位に位置づけられたことを受けてのものです。 また、Kuppinger Cole(欧州の分析企業)が最近、マイクロサービスとして動作するコンテナ化されたアプリケーションを保護するために設計されたRadwareの最新のKubernetes WAFを評価する記事を発表したことも注目に値します。

Must Read

ビジネスを成功に導くAPIの保護とアプリケーションの保護

あなたの組織は、アプリケーション・セキュリティ・イベントに対する望ましい可視性を持っていますか?複数のプラットフォームで一貫したアプリケーション保護を実施できていますか?何個の API を使用していて、どのようなデータを処理していますか?アプリケーションセキュリティは、継続的なデプロイメントパイプラインにうまく統合されていますか? これらの質問やその他の質問について、業界の専門家からのコメントをご紹介します。 ラドウェアはOsterman Research社と提携し、アプリケーション インフラストラクチャとデータセキュリティの分野における最近の動向を調査しました。このブログでは、従業員数1000人以上の企業から世界中の200人以上の専門家を対象に調査を行い、その主な洞察を共有したいと思います。 アプリケーション開発と配信の現状 アプリケーション開発と本番環境は、これまで以上にアモルファスで弾力性に富み、相互運用し、安全なアプリケーションの提供を容易にする多くの独立したコンポーネントが集まっていることが明らかになっています。これらの新しいアーキテクチャの基盤となるのは、データ交換、統合、自動化を可能にする API...

ガートナー、RadwareをAPI & High Securityユースケースで1位にランク付け

最新の「2020年アプリケーション&API保護のための重要な能力」レポート*において、4つのユースケースのうち2つのユースケース(APIでは3.57/5、ハイセキュリティユースケースでは3.66/5)において、Radwareが最高得点を獲得しました。 本レポートは、2020年のGartner Magic Quadrant for Web Application Firewallsの発表を受けて、2019年のレポートでラドウェアが実行能力とビジョン軸の完全性に関してさらに上位に位置づけられたことを受けてのものです。 また、Kuppinger Cole(欧州の分析企業)が最近、マイクロサービスとして動作するコンテナ化されたアプリケーションを保護するために設計されたRadwareの最新のKubernetes WAFを評価する記事を発表したことも注目に値します。

APIをボット攻撃から安全に保つ方法

モバイルやIoTデバイスの普及、パブリッククラウドでホストされる「サーバーレス」アーキテクチャの台頭、マシン間通信への依存度の高まりなどが、現代のアプリケーション・アーキテクチャの変化の理由となっています。 アプリケーション・プログラミング・インターフェース(API)は、異なるアプリケーション・アーキテクチャ間の通信を容易にする架け橋として登場しました。APIは、より迅速な統合と新しいサービスの迅速なデプロイを可能にします。さらに、DevOpsでは、サービスのプロビジョニング、プラットフォーム管理、および継続的なデプロイメントのためにAPIを活用したエンド・ツー・エンドのプロセス自動化が必要となります。 APIは急速に普及しているにもかかわらず、その保護が不十分なままであり、自動化ゆえの脅威が増大しており、個人を特定できる情報(PII)、クレジットカードなどのペイメントカードの詳細、ビジネスに不可欠なサービスがボット攻撃によって危険にさらされています。 APIに対するボット攻撃の症状

増加するボット攻撃を相手に企業の対策が効果を発揮できない理由

自動攻撃の増加に伴い、ボットマネジメントの必要性が高まりつつあります。初期のボットは、小規模なスクレイピングやスパムに用途が限られていました。現在では、様相が大きく変わり、ユーザーアカウントの乗っ取りやDDoS攻撃、APIの悪用、特定のコンテンツや価格情報を対象とするスクレイピング、その他にボットが使われるようになっています。Gartnerは、「アプリケーションセキュリティのハイプ・サイクル:2018年」で、ボットマネジメントを「効果大」のカテゴリーに位置づけ、「『過度な期待』」のピーク期」にあるとしています。 では、ボットによる深刻な脅威に対し、企業がボット・マネジメント・ソリューションを採用しているかといえば、そうではありません。依然、企業の多くは導入に否定的です。こうした企業は、社内のリソースやソリューションでボットを抑制しようとしていますが、これがかえってユーザーのセキュリティを危険にさらす結果となっています。ShieldSquareのセキュリティ調査チームがまとめた最近のレポート「Development of In-house Bot Management Solutions and their Pitfalls」(社内ボット・マネジメント・ソリューションの開発とその落とし穴)によれば、社内リソースによるボットマネジメントでは、効果があるどころか害の方が大きいことが分かっています。 悪意のあるボットのトラフィックが実際には22.39%あったのに対して、高度な社内ボット・マネジメント・ソリューションを使っても、「検出率」は11.54%どまりでした。また、これらの社内ソリューションは、悪意のあるボットのほとんどを検出できなかったばかりか、「検出」した11.54%のほぼ半数が誤検出でした。

パブリッククラウドが再びダウン? 2021年の予測

昨年、クラウドの可用性の問題の終焉したはずだった。結局のところ、障害が発生してもアプリケーションを利用可能な状態に保つための信頼性と十分な処理能力を持つことは、クラウドへの移行やクラウドでアプリケーションをネイティブに開発することの大きなメリットの1つです。 しかし、答えは違いました。今年のAWSの停止は、かつて見たことのないような現象で、RokuやVonage、Adobe、Washington Post、Flickr、Autodeskなどの多くのサービスに8時間以上の影響が出ました。このようなサービスの中断は、顧客体験の低下につながることが多く、攻撃者やハッカーはこのことを知っており、幅広いテクニックを駆使して被害をもたらしています。今回の停止でクラウドへの移行は遅れはしないでしょう。しかし、企業は、今後1つのベンダーのカゴにすべてのコンピューティングの卵を入れてしまうことに対して、より積極的にヘッジをかけるようになるでしょう。 2021年の私の予測は以下の通りです。 クラウドへの継続的な移行 企業は、プライマリ・クラウド・プロバイダーの停止を回避するために、マルチベンダーやマルチクラウドのオプションを選択することになるでしょう。 収益に影響を与えるビジネス・アプリケーションは複数のプロバイダーにまたがってホストされるようになり、企業はサービス・レベル・アグリーメントを必要とし  高可用性の高いソリューションを要求するようになります。