DDoS緩和やAPIゲートウェイ保護のためのWebアプリケーションファイアウォールなどのCISサービスおよびその他のセキュリティ上の課題への対応

概要

さまざまな企業のデジタル移行の基盤となるのは、アプリケーション プログラマブル インターフェース (API) です。新しいクラウド ネイティブ マイクロ サービスやサーバーレス アーキテクチャでのアプリケーションの構築、企業間取引の自動化、モバイル アプリケーションのバックエンドとしての使用など、職場における API の重要性は高まっています。残念ながら、サイバー犯罪者は API 中心の世界へのこの動きを認識しており、API の拡大と同じ速度で新しい攻撃方法を開発しています。そのため、企業は API やその他のデジタル資産を保護するために、新しいセキュリティ対策を早急に実装する必要があります。API ゲートウェイと、慎重に監視されたポリシーとコンテキスト認識型アクセス管理を備えた集中管理ポイントを提供する API アクセス管理システムを組み合わせることは、API を保護するための理想的な方法です。Web アプリケーションと API のセキュリティ ソリューションを情報セキュリティ戦略の計画、実行、または最適化に統合すると、組織は特定のリスクを理解し、セキュリティ ホールを特定し、脅威を特定できるようになります。

Webアプリケーションのセキュリティリスクの種類

攻撃者の目的、標的の組織が行っている作業の種類、およびアプリケーションの特定のセキュリティ上の欠陥に応じて、Web アプリケーションに対して異なる種類の攻撃が使用される可能性があります。

• ゼロデイ脆弱性: これらの欠陥はアプリケーション開発者によってまだ発見されておらず、修正プログラムもまだ提供されていません。攻撃者はできるだけ早くこれらの欠陥を利用し、その後セキュリティプロバイダーの防御を突破しようとします。
• SQL インジェクション (SQi): SQL インジェクション (SQi) を使用すると、攻撃者はデータベースが検索クエリを処理する方法の欠陥を悪用できます。攻撃者は、SQi を使用して、ユーザー権限の変更や追加、許可されていない情報へのアクセス、機密データの操作や削除などを行うことができます。

2022 年 7 月、SonicWall の GMS (Global Management System) および Analytics On-Prem 製品に影響を及ぼす深刻な SQL インジェクション問題が、セキュリティ アドバイザリで最近公開されました。このバグは 9.4 の重大評価を受けており、CVE-2022-22280 として追跡されています。この脆弱性は攻撃の複雑さが最小限で、被害の可能性が非常に大きいため、SQL インジェクションに関する基本的な知識があれば誰でもこれを悪用できます。ネットワークから CVE-2022-22280 を使用するために、ユーザーの操作や認証は必要ありません。

• クロスサイトスクリプティング（XSS）：これは、攻撃者がクライアント側のスクリプトをWebページに挿入して重要な情報に直接アクセスしたり、ユーザーになりすましたり、ユーザーをだまして重要な情報を開示させたりできるセキュリティ上の欠陥です。
• サービス拒否 (DoS) 攻撃と分散型サービス拒否 (DDoS) 攻撃: 攻撃者は、さまざまなベクトルを使用して、標的のサーバーまたはその周囲のインフラストラクチャにさまざまな種類の攻撃トラフィックを大量に送信します。サーバーは、着信リクエストを効率的に処理できなくなると、動作が遅くなり、最終的には正当なユーザーからの着信リクエストに対するサービスを拒否します。

チェック・ポイントの「脅威インテリジェンスレポート 2023」によると、過去6か月間にインド企業1社が経験したサイバー攻撃は、1週間あたり平均2,146件だったのに対し、世界全体では1組織あたり1,239件だった。COVID-19によって在宅勤務用のデジタルプラットフォーム、アプリケーション、環境の導入が加速したことで、DDoS攻撃は世界的に増加した。地政学的危機、すなわちロシアとウクライナおよびそのNATO同盟国との戦争も、特に医療、電力・公共事業、物流・サプライチェーン部門に対するDDoS攻撃の大幅な増加と関連している。これらのDDoS攻撃の増加は、敵の重要なインフラを狙ったものだ。

Comcast Businessは2022年のレポートで、2021年に24,845件のマルチベクトルDDoS攻撃を阻止することに成功したと述べています。これは2020年より47%増加しています。2021年には、Comcastのクライアントの69%がDDoS攻撃を経験し、そのうち55%がマルチベクトル攻撃の標的でした。

近年、IoT 環境における DDoS 脅威の増加により、世界の分散型サービス拒否市場は大幅な成長を遂げています。さらに、マルチベクトル DDoS 攻撃の増加と、クラウドベースおよびハイブリッド DDoS 保護および緩和ソリューションの需要の高まりも、予測期間中の成長を促進する主な要因であると考えられています。

この研究の詳細については、以下をご覧ください。https://www.databridgemarketresearch.com/jp/reports/global-distributed-denial-of-service-market

• API の不正使用: 2つのアプリを接続できるようにするソフトウェアは、API（アプリケーションプログラミングインターフェース）と呼ばれます。他のソフトウェアと同様に、APIにも欠陥があり、ハッカーが特定のプログラムに不正なコードを挿入したり、アプリケーション間で転送される個人情報を盗み見たりできる可能性があります。APIの使用が増えるにつれて、このタイプの攻撃はますます蔓延しています。
• サードパーティのコードの悪用: 現代のウェブ アプリケーションでは、さまざまなサードパーティ ツールが頻繁に使用されています。たとえば、サードパーティの支払い処理サービスを利用している [e コマース サイト] があります。攻撃者がこれらのツールの 1 つに欠陥を発見した場合、そのツールで処理されるデータを盗んだり、ツールの動作を停止させたり、ツールを悪用してアプリケーションの他の部分に悪質なコードを導入したりできる可能性があります。この攻撃クラスには、支払い処理業者からクレジットカード情報を盗む Magecart 攻撃が含まれます。これらの攻撃は、ブラウザーに対するサプライ チェーン攻撃と呼ばれることもあります。
• ページスクレイピング: 攻撃者はボットを使ってウェブサイトから重要なコンテンツをスクレイピングすることもあります。この情報を使ってライバルの価格を下げたり、ページの所有者になりすまして悪意を持ったり、その他の目的に利用される可能性があります。
• メモリ破損: メモリ破損とは、メモリ位置の意図しない変更であり、ソフトウェアが予期しない動作をする可能性があります。悪意のある行為者は、メモリ破損を検出し、コードインジェクションやバッファオーバーフロー攻撃などのエクスプロイトを悪用して有利に働こうとします。
• バッファオーバーフロー: バッファと呼ばれるソフトウェアの異常は、データがメモリの指定された領域に書き込まれるときに発生します。バッファが限界に達すると、データは近くのメモリ領域に書き込まれます。この動作は、ターゲットマシンのメモリに悪意のあるコードを挿入するために使用され、脆弱性につながる可能性があります。

2023年8月、さまざまなモバイルデバイスを管理、監視、保護するために作成されたエンタープライズモビリティ管理（EMM）ツールであるIvanti Avalancheは、CVE-2023-32560として共同でタグ付けされた2つのスタックベースのバッファオーバーフローの影響を受けます。これらの脆弱性は、ユーザー認証なしでリモートから悪用可能であり、重大（CVSS v3：9.8）に分類されており、攻撃者はターゲットシステムで任意のコードを実行できます。

• CSRF (クロスサイト リクエスト フォージェリ): クロスサイト リクエスト フォージェリは、被害者を騙して認証や承認を使用してリクエストを送信させることで実行されます。攻撃者は、ユーザーのアカウント権限を使用して、ユーザーになりすましてリクエストを送信できます。攻撃者がユーザーのアカウントにアクセスすると、機密データを盗み出したり、削除したり、変更したりできます。ターゲットには、管理者や役員などの高度に保護されたアカウントが含まれることがよくあります。
• クレデンシャルスタッフィング: 攻撃者はボットを使用して、盗んだユーザー名とパスワードの組み合わせを大量にオンライン アプリケーションのログイン ポータルに素早く入力することがあります。これは「クレデンシャル スタッフィング」と呼ばれます。この手法により攻撃者が実際のユーザーのアカウントにアクセスできる場合、ユーザーのデータを盗んだり、ユーザー名を使用して不正な取引を実行したりする可能性があります。
• 攻撃対象領域の誤った構成: インターネット経由でアクセスできるサーバー、デバイス、SaaS、クラウド資産は、組織のITフットプリント全体を構成しており、サイバー攻撃の影響を受けやすい。一部のコンポーネントを省略または構成することで、攻撃対象領域が脆弱なままになる可能性があります。

Web アプリケーション セキュリティ戦略

• DDoS緩和: DDoS緩和サービスは、特殊なフィルターと非常に高い帯域幅容量を使用してサーバーとパブリックインターネットの間に立ち、悪意のあるトラフィックの急増がサーバーを圧倒するのを防ぎます。最近のDDoS攻撃の多くは、最も耐性のあるサーバーでさえ圧倒するほどの悪意のあるトラフィックを生成するため、これらのサービスは非常に重要です。
• ボット管理: この技術は、機械学習やその他の特殊な検出技術を使用して、自動化されたトラフィックを人間のユーザーから分離し、自動化されたトラフィックがWebアプリケーションにアクセスすることを禁止します。

ボットネット検出市場は、ゲーム、電子商取引など、さまざまなオンラインビジネスでの API の利用の増加により、近年大幅に成長しています。したがって、API リクエストを継続的に監視し、ゼロトラスト アーキテクチャを実装し、悪質なボットを即座に軽減する手法を導入することは、ボット攻撃から API を保護するためのいくつかの方法です。

Data Bridge Market Research の分析によると、世界のボットネット検出市場は、2022 年から 2029 年にかけて 38.30% の年平均成長率 (CAGR) で成長すると予測されています。

この研究の詳細については、以下をご覧ください。https://www.databridgemarketresearch.com/jp/reports/global-botnet-detection-market

• Web アプリケーション ファイアウォール (WAF): これらのデバイスは、Webアプリケーションの脆弱性を悪用することが知られている、または悪用すると疑われるトラフィックをブロックします。新しい脆弱性は急速かつひそかに出現するため、WAFは非常に重要です。なぜなら、ほとんどの組織が単独で脆弱性を検出できないからです。
• SSL/TLS暗号化プロセスの重要なコンポーネントの管理。秘密鍵の作成、証明書の更新、第三者による欠陥による証明書の失効など。これにより、特定のコンポーネントが見落とされて機密トラフィックが漏洩する可能性がなくなります。
• API ゲートウェイ: これらのツールは、省略された「シャドーAPI」を見つけ、APIの脆弱性を悪用することを目的とした、または意図されているとされるトラフィックを阻止することができます。APIトラフィックの管理と追跡に役立ちます。

アプリケーション プログラミング インターフェイス (API) 管理市場は、デジタル トランスフォーメーションを強化するための API のニーズの高まりと、企業がユーザーの需要を満たすためのハイブリッドおよびマルチクラウド API 管理の開発により、近年大幅な成長を遂げており、予測期間中の市場成長をさらに補完することになります。Data Bridge Market Research の分析によると、世界の予測分析市場は、2023 年から 2030 年にかけて 31.05% の複合年間成長率 (CAGR) で成長すると予測されています。

この研究の詳細については、以下をご覧ください。https://www.databridgemarketresearch.com/jp/reports/global-api-management-market

• DNSSEC: ウェブアプリケーションのDNS通信が適切なサーバーに適切に送信されるようにし、経路上の攻撃者による傍受からユーザーを保護するテクノロジー
• クライアント側のセキュリティ: これにより、組織は新しいサードパーティのJavaScript依存関係やサードパーティのコードの変更をチェックすることで、悪意のある動作を早期に検出できるようになります。
• 攻撃対象領域の管理: 1 か所で攻撃対象領域をマッピングし、潜在的なセキュリティ問題を見つけ、実用的な攻撃対象領域管理ツールを使用してそれらのリスクを迅速に軽減します。

さまざまなビジネスにおけるアプリケーション セキュリティの理想的な実践

• 安全な認可と認証の提供: 強力なパスワードセキュリティルールが組み込まれ、強制されており、ハードキー、アクセス制御機能、その他の手順を含む多要素認証の選択肢により、攻撃者がユーザーアカウントに不正にアクセスし、アプリケーション内で横方向に移動することがより困難になります。
• 入力検証の要求: 不正な形式のデータがアプリケーションのワークフローによって処理されるのを防ぐことで、インジェクション攻撃によって有害なコードがアプリケーションに侵入するのを防ぎます。
• 最新の暗号化技術の活用: ユーザーデータを暗号化された形式で保存し、HTTPSを使用して受信トラフィックと送信トラフィックの両方の送信を暗号化することで、ハッカーによるデータ盗難を防ぐことができます。
• コーディング変更ドキュメント: これにより、セキュリティチームと開発チームは新たに発見された脆弱性に迅速に対処できるようになります。
• 監視API: 気づかれずに攻撃対象になる可能性のある「シャドーAPI」を見つけるためのツールはありますが、そもそもAPIを見逃さなければAPIのセキュリティはより簡単になります。

さまざまな業界における重要なセキュリティ管理 (CIS) サービスの活用

厳しい規制がある業界を含む多くの業界の企業は、Bot Management やその他の Cloudflare を利用した CIS 製品を使用して、セキュリティ、パフォーマンス、復元力の要求を満たすことができます。例:

• 健康管理 IBM のデータ漏洩コストレポートによると、医療分野でのデータ漏洩の平均コストは、2022 年の 1,010 万ドルから 2023 年には 1,093 万ドルに上昇し、8.2% の増加となっています。医療は 13 年連続でデータ漏洩 1 件あたりのコストが最も高いため、これらの高額な攻撃を阻止するために CIS サービスがさらに重要になっています。医療のクライアントは、CIS DDoS、WAF、ボット管理を組み合わせて使用​​することで、高度なマルウェア ボット攻撃を軽減できます。
• 金融業務 - 銀行やその他の金融機関は、DDoS 緩和や Web アプリケーション ファイアウォール (WAF) などの CIS サービスを利用して、セキュリティの問題に対処できます。顧客は、ターンキー Web アプリケーション ファイアウォール (WAF) ポリシーを利用して、インターネットに接続されたアプリをデイゼロ攻撃などのさまざまな攻撃から防御できます。
• 電子商取引 - 電子商取引におけるAPIの使用増加により、APIのセキュリティ問題が発生する可能性も高まっています。電子商取引組織は、DDoS保護のためのCISサービスを使用してAPIゲートウェイを保護することができます。
• 高等教育 - 教育機関、特に高等教育機関は、学生、教授、卒業生に関する膨大なデータを広範なネットワークで管理しています。サイバー犯罪者はこのデータを利用して、特定のターゲットへの攻撃や、機関全体に対する大規模な計画を進めることができます。
• 工事 - 建設業界は「フィッシングに弱い」労働者に悩まされています。建設業界が収集するデータの種類が、このような攻撃のきっかけとなっています。サイバー攻撃者は、個人データや、企業秘密、建設スケジュール、費用見積もり、プロジェクト入札などの貴重な情報に関心を持っています。盗まれたビジネス情報は、深刻な傷害や経済的損失につながる可能性があります。CIS 管理フレームワークは、この業界に存在する問題と弱点に対処します。
• 自動車 - 自動車業界では、コネクテッドカーや自動運転車は大量のテレメトリデータを収集するインテリジェントマシンであると見なしています。この業界では、脆弱性の漏洩やAPIベースの概念実証の悪用により、APIセキュリティをより詳細に検討する動機があります。
• 中小企業 中小企業は、どのサブカテゴリにも属することができるため、業界を代表するものではありません。ハッカーは、大企業よりも比較的価値の低い資産を持つ小規模な「組織」に惹かれにくいと考えるのが理にかなっているように思えるかもしれませんが、実際はそうではありません。Verizon のデータによると、2020 年のデータ侵害の 28% が驚くべきことに小規模企業によるものでした。小規模企業は大企業よりも資金が少なく、処理するデータも少ないことが多いですが、セキュリティ ソリューションの信頼性も低いです。さらに、多くの小規模企業では、サイバー セキュリティがほとんどまたはまったく導入されていません。

各社による戦略的取り組み

• 2023年8月、Cloudflareは、Cloudflareを搭載したIBM Cloud Internet Services（CIS）が提供するサービスの範囲を拡大し、その中には、有害なボットトラフィックによる脅威の増大に対処し対抗するために、エンタープライズプレミアプランの企業が利用できるようになったCloudflare Bot Managementも含まれると発表しました。
• 2023年6月、クラウド検証プロバイダーのSecureIQLabは、3回目のWebアプリケーションファイアウォール（WAF 3.0）テストイテレーションをリリースしました。このバージョンには、初めてのAPIセキュリティテストケースが含まれます。市場をリードするセキュリティソリューションは、今日の複雑なサイバー脅威シナリオに耐える能力についてWAF 3.0によって評価されます。
• 2023年5月、ラドウェアは新しいクラウドウェブDDoS保護ソリューションを発表しました。現代のDDoS緩和技術は、一般的にウェブDDoS津波攻撃と呼ばれる、より攻撃的な新しいタイプのレイヤー7（L7）HTTPSフラッド攻撃に追い抜かれつつあります。このアプローチは、このギャップを埋めることを目的としています。誤検知を最小限に抑え、ゼロデイ攻撃や最も高度な攻撃に対して幅広い攻撃範囲を提供します。
• 2023年4月、Edgioは、さまざまな悪質なボットを積極的に緩和しながら、良いボットを観察できる高度なボット管理を考案しました。Advanced Bot Managerは、プラットフォームの大規模なグローバル展開から継続的に収集される膨大な量のデータを活用し、シグネチャと行動のフィンガープリントに基づいてボットを識別するために機械学習を使用します。Edgioグローバルネットワーク全体のすべてのトラフィックをリアルタイムでボットに分析するために、このソリューションはすべてのサーバーでネイティブに実行されます。
• 2022年10月、Akamaiは分散型サービス拒否（DDoS）防御ソリューションであるProlexicを発表しました。これは新しい第6世代プラットフォームです。これは完全にソフトウェア定義の高性能でスケーラブルなアーキテクチャであり、変化する消費者のニーズと今後のサイバーセキュリティの要件を満たす能力を向上させます。

結論

企業がクラウドに移行し、膨大なデータセット、サービス、商品のデジタル化が可能になるにつれ、API セキュリティは 2023 年以降ますます重要になります。この変化により、脆弱な API の攻撃対象領域が拡大し、ビジネス オペレーション、クライアント、データを保護するために API サービスを強化する必要が生じます。サイバー セキュリティ コミュニティ内や多くの組織では、API セキュリティが優先順位の上位に上がっています。API が公開されたり不適切に構成されたりすると、脅威アクターがネットワークに侵入する絶好の機会となるため、API セキュリティは現在非常に重要な問題です。