
Gartnerは、ベンダー11社の「実行能力」と「ビジョンの完全性」を評価した2022年度の「Gartner® Magic Quadrant™ for Web Application and API Protection(WAAP)」レポートで、Cloudflareをリーダーとして評価しました。
レポートはこちらから無料で登録できます。
当社はユーザーや顧客に、より優れた、効果的なセキュリティソリューションの提供を目指しており、この功績は、この分野における当社の継続的な取り組みと投資に光を当てるものだと考えています。
アプリケーションセキュリティに対応
毎秒3,600万超のHTTPリクエストがCloudflareのグローバルネットワークで処理されることで、ネットワークのパターンと攻撃ベクトルにこれまでにない可視性を得ています。このスケールにより、クリーンなトラフィックと悪意のあるトラフィックの効果的な区別が可能となり、当社のWAAPポートフォリオによってCloudflareがプロキシするHTTPリクエストのおよそ10回に1回は、エッジで軽減されています。
可視性は十分なものではなく、当社は新たなユースケースやパターンが出現するに従い研究開発および新製品開発に投資しています。例えば、APIトラフィックは増加しており(総トラフィックの55%以上)、この傾向が低下するとは考えていません。このような顧客の新しいワークロードを支援するため、当社のAPI GatewayはWAF上に構築され、スタンダードなWebベースのアプリケーションと比べて異なる攻撃プロファイルが観測されている構造化の優れたAPIトラフィックに対して、より良い可視性と軽減を提供します。
当社の継続的なアプリケーションセキュリティへの投資が、この分野における地位を得る一助になったものと信じています。Gartnerには当社を評価していただき、感謝の意を表したいと思います。
Cloudflare WAAP
Cloudflareでは、WebアプリケーションとAPI保護(WAAP)に分類される、いくつかの機能を構築しています。
DDoS攻撃対策と軽減策
世界100か国以上、275都市以上に展開するネットワークは、当社のプラットフォームのバックボーンであり、あらゆる規模のDDoS攻撃を軽減できるコアコンポーネントです。
これを支援するために、当社のネットワークは意図的にエニーキャストを行い、すべてのロケーションから同じIPアドレスを宣伝しており、これによって受信トラフィックを各ロケーションが容易に処理できる、管理可能なチャンク(塊)に「分割」できるようになります。これは、大規模な分散サービス妨害(DDoS)攻撃を軽減する時に特に重要です。
このシステムは、ほぼ設定を必要としないように設計されており、また、攻撃をすぐに軽減できるように「常時稼働」しています。さらに、当社の新しい位置認識機能を備えた軽減策のように非常にスマートなソフトウェアを追加すれば、DDoS攻撃は解決できるのです。
非常に特殊なトラフィックパターンを持つ顧客に対して、DDoSマネージドルールの完全なコンフィギュアビリティはワンクリックのみで対応できます。
Webアプリケーション ファイアウォール
当社のWAFは、アプリケーションセキュリティのコアコンポーネントであり、ハッカーや脆弱性スキャナーがWebアプリケーション内の潜在的な脆弱性を見つけにくくするよう徹底しています。
ゼロデイ脆弱性が公的に利用可能になるときにこれが非常に重要なのは、悪性アクターが新しいベクトルの公開から数時間以内にそれを利用しようとするのを見たことがあるためです。Log4J、さらに最近ではConfluence CVEが、この行動が観測された、ただ2つの例です。そのため、当社のWAFもまた、常に監視およびシグネチャの開発・改善を行うセキュリティ専門家チームによってサポートされており、当社のお客様のために必要に応じて、バックエンドシステムを強化してパッチを適用するための貴重な時間を「購入」できるようにしています。さらに、WAFの機械学習システムでは、シグネチャを補完する形で各リクエストを分類し、トラフィックパターンをより広い視野で把握できます。
当社のWAFは、資格情報の流出チェック、高度な分析、アラートおよびペイロードロギングなどの多くの高度な機能を搭載しています。
ボット管理
Webトラフィックの大部分が自動化されていることはよく知られています。すべての自動化が悪いというわけではありませんが、中には不要なものもあり、悪意のある可能性もあります。
当社のボット管理製品はWAFと並行して動作し、ボットによって生成された可能性のあるすべてのリクエストをスコアリングします。WAFカスタムルールをデプロイすることで不要なトラフィックを簡単にフィルターでき、これらはすべて強力な分析によってサポートされています。また、セキュリティポリシーをさらに改善するために使用できる検証済みボットのリストを維持することで、これを容易なものにしています。
自動化されたトラフィックをブロックしたい場合、Cloudflareのマネージドチャレンジは、実際のユーザーの体験には影響を与えることなく、困難な目に合うのはボットのみであるようにします。
API Gateway
定義上、APIトラフィックはブラウザで消費されるスタンダードなWebページと比べて、非常によく構造化されています。同時に、APIは、バックエンドのデータベースやサービスにより近い抽象化されたものになる傾向があるので悪意のあるアクターからの注目が高くなり、社内のセキュリティチームからも気づかれずに済んでしまう、という場合がよくあるのです(シャドーAPI)。
WAF上に重ねることができるAPI Gatewayは、インフラストラクチャから提供されるAPIエンドポイントの発見だけでなく、侵害を示す可能性のあるトラフィックフローの異常検出を、ボリュームとシーケンシャルの両方の観点から支援します。
また、当社のWAFとは反対に、APIの特性によってAPI Gatewayはより簡単にポジティブセキュリティモデルを提供できます。既知の良性トラフィックのみを許可し、それ以外はブロックします。お客様はスキーマ保護と相互TLS認証(mTLS)を活用し、これを簡単に実現することができます。
Page Shield
ブラウザ環境を直接活用する攻撃は、バックエンドアプリケーションの侵害を必ずしも必要としないため、しばらくの間気付かれない場合があります。例えば、Webアプリケーションで使用されているサードパーティJavaScriptライブラリが悪意のある行動を取る場合、アプリケーション管理者やユーザーは、攻撃者がコントロールするサードパーティのエンドポイントにクレジットカードの情報が漏えいしているのに気付かない可能性があります。Magecartにとってこれは一般的なベクトルであり、クライアント側のセキュリティ攻撃の一つです。
Page Shieldは、サードパーティライブラリのアクティブな監視を提供し、サードパーティの資産が悪意のあるアクティビティを示す際にアプリケーション所有者に警告することによって、クライアント側のセキュリティを解決しています。Page Shieldは、コンテンツセキュリティポリシー(CSP)のようなパブリックスタンダードと、カスタム分類子の両方を活用することで、カバレッジを確保します。
当社の他のWAAP製品のように、Page ShieldはCloudflareプラットフォームに完全に統合されており、ワンクリックでオンにできます。
セキュリティセンター
Cloudflareの新しいセキュリティセンターは、WAAPポートフォリオのホームです。セキュリティ専門家がCloudflareで保護されたネットワーク資産とインフラストラクチャ資産の両方を大局的に見るための、たった一つの場所です。
今後はセキュリティセンターがフォレンジックと分析の出発点となり、インシデントを調査する際にCloudflareの脅威インテリジェンスも活用できるようにする予定です。
Cloudflareの利点
当社のWAAPポートフォリオは、単一の水平プラットフォームから送信され、追加デプロイメントなしにすべてのセキュリティ機能を活用することができます。さらに、スケーリング、メンテナンスおよびアップデートはCloudflareが完全に管理しているため、お客様はアプリケーション上でビジネス価値の提供に集中できます。
これはWAAPを超えて適用されますが、Webアプリケーションの製品やサービスを構築し始めたので、当社のネットワークにおける立場で、チーム、オフィスおよび内部アプリケーションなど、インターネットに接続されたあらゆるものを保護することができます。すべて同じ単一プラットフォームからとなります。Zero Trustポートフォリオは現在、当社のビジネスに必要不可欠なものであり、WAAPのお客様はわずか数クリックで、安全なAccessサービスエッジ(SASE)の活用を始めることができます。
セキュリティ体制の統合をお考えでしたら、管理と予算の両方の観点から、アプリケーションサービスチームは、社内のITサービスチームがスタッフと社内ネットワークの保護に使用しているのと同じプラットフォームを使うことができます。
継続的なイノベーション
一晩でWAAPポートフォリオを構築したわけではなく、当社はこの一年だけで5つ以上の主要なWAAPポートフォリオセキュリティ製品リリースを発表しました。以下は、当社のイノベーションのスピードをご紹介するために厳選した内容です。
- API Shieldスキーマ保護:従来のシグネチャベースのWAFアプローチ(ネガティブセキュリティモデル)は、APIトラフィックのような構造化の優れたデータと必ずしもうまく連携するわけではありません。ネットワーク上のAPIトラフィックの急速な増加を考慮して、当社はポジティブセキュリティモデルを用いてエッジで直接APIスキーマを適用することができる新しいインクリメンタル製品を構築し、オリジンWebサーバーに適格なデータのみを通過させます。
- APIの乱用検出:APIスキーマ保護を補完するAPIの乱用検出は、API エンドポイントに異常が検出されると警告します。これらは、異常なトラフィックフローや通常のトラフィックのアクティビティに従わないパターンがトリガーとなる場合があります。
- 新しいWebアプリケーションファイアウォール:当社の新しいエッジルールエンジン上に構築され、エンジンの内部からUIに至るまで、Webアプリケーションファイアウォールのコアの完全な見直しを行いました。悪意のあるペイロードをブロックする際の遅延と有効性の両方の観点からパフォーマンスが向上し、さらに、資格情報の流出チェック、アカウント全体の設定、ペイロードロギングなどに限定されない新機能が追加されています。
- カスタマイズ可能なDDoSマネージドルール:追加設定に柔軟性を提供するために、カスタム設定用の社内のDDoS軽減マネージドルールの一部を公開して、さらに誤検知を減らし、必要に応じてお客様がしきい値や検出値を増やせるようにしました。
- セキュリティセンター:設定ミスと潜在的なセキュリティ問題のアラートと通知に加え、インフラストラクチャ資産とネットワーク資産に関するCloudflareの考え方です。
- Page Shield:顧客要求の高まりとエンドユーザーのブラウザ環境に焦点を絞った攻撃ベクトルの増加に基づき、Page Shieldは悪意のあるJavaScriptがアプリケーションのコードに入り込んでいる可能性がある場合はいつでも、それを検出するのに役立ちます。
- API Gateway:暗号化および相互TLS認証(mTLS)を含むAPIセキュリティが組み込まれた、Cloudflareエッジからの直接ルーティングを含む完全なAPI管理を行います。
- 機械学習WAF:当社のWAFマネージドルールセットを補完する新しいML WAFエンジンは、一つ一つのリクエストを1(クリーン)から99(悪性)までスコアリングし、悪意のある有効なペイロードと悪意のある無効なペイロードの両方を可視化することで、アプリケーションへの標的型攻撃やスキャンの検出能力を向上させます。
これからのこと
当社のロードマップには、新しいアプリケーションセキュリティ機能と既存システムの改善の両方が詰め込まれています。我々がインターネットについてさらに知るほど、お客様のアプリケーションを安全に保つための装備態勢は整っていきます。今後の動きにご注目ください。
Gartner、「Magic Quadrant for Web Application and API Protection」、アナリスト:Jeremy D'Hoinne、Rajpreet Kaur、John Watts、Adam Hils、2022年8月30日
GartnerとMagic Quadrantは、Gartner, Inc.やその米国内外の関係会社の登録商標であり、ここでは許可を得て使用しています。全権留保
Gartnerは、リサーチ結果を公表した文書に記載したいかなるベンダー、製品、サービスについても推薦しておらず、技術を利用しようとするユーザーに対し、最高評価またはその他の称号を受けたベンダーのみを選ぶよう助言する意図もありません。Gartnerのリサーチ結果を公表した文書は、Gartnerのリサーチ部門の見解を示したものであり、事実の表明と解釈されるべきではありません。Gartnerは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。