Fastly
Fastlyは、高速でスケーラブルなデジタル体験を構築、保護、配信するために設計された、最先端のエッジクラウドプラットフォームです。最新のCDN、次世代WAFなどの堅牢なセキュリティ機能、強力なサーバーレスコンピューティング環境を組み合わせています。Fastlyは、企業がパフォーマンスを向上させ、セキュリティを強化し、ユーザーに近い場所で革新を起こすのを支援し、eコマース、ストリーミング、AI搭載アプリケーション向けの特定のソリューションを提供します。
Fastlyは、高速でスケーラブルなデジタル体験を構築、保護、配信するために設計された、最先端のエッジクラウドプラットフォームです。最新のCDN、次世代WAFなどの堅牢なセキュリティ機能、強力なサーバーレスコンピューティング環境を組み合わせています。Fastlyは、企業がパフォーマンスを向上させ、セキュリティを強化し、ユーザーに近い場所で革新を起こすのを支援し、eコマース、ストリーミング、AI搭載アプリケーション向けの特定のソリューションを提供します。
ウェブアプリケーションファイアウォールについて
ウェブアプリケーションファイアウォール(WAF)は、ウェブアプリケーションとの間で送受信される悪意のあるHTTP/Sトラフィックをフィルタリング、監視、ブロックするセキュリティツールです。下位のネットワーク層で動作する従来のネットワークファイアウォールとは異なり、WAFはアプリケーション層(レイヤー7)で機能し、SQLインジェクション、クロスサイトスクリプティング(XSS)、ファイルインクルージョンなどの特定のウェブベースの攻撃から保護します。すべてのウェブ要求と応答のコンテンツを検査することで、これらのツールはウェブサイト、API、オンラインサービスに重要な防御層を提供します。多くの最新のWAFは、AIと機械学習を活用して、トラフィックパターンを分析し、リアルタイムで異常を検出することにより、新しいゼロデイ脅威を特定し、ブロックします。
主な機能
- OWASPトップ10対策:インジェクションの欠陥や認証の不備など、最も重大なウェブアプリケーションのセキュリティリスクを軽減するための専用のルールとフィルターを提供します。
- ボット対策:スクレイパー、クレデンシャルスタッフィングボット、スパムボットなどの悪意のある自動トラフィックを特定してブロックし、検索エンジンのクローラーなどの正当なボットは許可します。
- アプリケーション層DDoS対策:アプリケーション層を標的とする大量の分散型サービス妨害(DDoS)攻撃(例:HTTPフラッド)を吸収・フィルタリングし、サービスの可用性を確保します。
- APIセキュリティ:スキーマ検証、レート制限を強制し、一般的なAPIの脆弱性を悪用するリクエストをブロックすることでAPIを保護します。
- 仮想パッチ:管理者がアプリケーションのソースコードを変更することなく、新たに発見された脆弱性に対して即座に保護を適用できます。
利用シーン
WAFは、一般に公開されているウェブプレゼンスを持つあらゆる組織にとって不可欠です。eコマースプラットフォームで顧客データや支払いトランザクションを保護するため、SaaS企業でアプリケーションやAPIを保護するため、金融機関でセキュリティ規制を遵守するために広く使用されています。WordPressやJoomlaなどのコンテンツ管理システム(CMS)も、一般的なプラグインやテーマの脆弱性に対するWAFの保護から大きな恩恵を受けます。
選択のポイント
ウェブアプリケーションファイアウォールを選択する際は、インフラに最適な展開モデル(クラウドベース、オンプレミス、またはハイブリッド)を検討してください。セキュリティルールをカスタマイズする能力と誤検知率を評価します。過度に厳格なルールは正当なトラフィックをブロックする可能性があるためです。また、アプリケーションの遅延に対するパフォーマンスへの影響、セキュリティ分析のためのロギングおよびレポート機能、SIEMシステムなどの他のセキュリティツールとの統合も評価してください。
ウェブアプリケーションファイアウォール利用シーン
eコマースサイトを決済詐欺から保護する
eコマースプラットフォームの管理者は、WAFを使用してチェックアウトプロセスを保護します。WAFは、決済ゲートウェイへのすべての着信トラフィックを検査し、クレデンシャルスタッフィングやカーディング攻撃を試みる悪意のあるボットを特定してブロックします。ショッピングカートソフトウェアの既知の脆弱性から保護するために仮想パッチを適用し、ログインページへのブルートフォース攻撃を防ぐためにレート制限を使用します。これにより、顧客の支払いデータの安全性が確保され、PCI DSSコンプライアンスが維持され、重大な金銭的損失につながる可能性のある不正な取引が防止されます。
モバイルおよびWebアプリケーションのAPIを保護する
SaaS製品の開発チームは、モバイルアプリとウェブダッシュボードの両方から利用されるバックエンドAPIを保護するためにWAFを導入します。WAFは厳格なAPIスキーマを強制し、パラメータ改ざんを試みるリクエストなど、期待される構造に準拠しないリクエストを自動的にブロックします。また、オブジェクトレベルの認可の不備やマスアサインメントなどの一般的なAPI攻撃からも保護し、あるユーザーが別のユーザーのデータにアクセスしたり変更したりできないようにします。これにより、アプリケーションコードに大規模な変更を加えることなく、重要なセキュリティ層が提供されます。
アプリケーション層のDDoS攻撃を緩和する
人気のオンラインニュースポータルは、HTTPフラッドなどのアプリケーション層のDDoS攻撃に頻繁に直面し、ウェブサーバーが過負荷になり、サービス停止を引き起こします。ITチームはクラウドベースのWAFを導入します。WAFのグローバルネットワークは、ポータルのインフラに到達する前に大量の悪意のあるトラフィックを吸収します。高度なレート制限とトラフィック分析を使用して、正当な読者のトラフィックと攻撃を区別し、大規模な攻撃中でもサイトが一般に利用可能であることを保証します。この積極的な防御により、稼働時間が維持され、ポータルの評判が保護されます。
アカウント乗っ取り(ATO)攻撃を防ぐ
金融サービス会社は、高度なボット検出機能を備えたWAFを使用して、顧客ポータルでのアカウント乗っ取り攻撃を防ぎます。WAFは、ユーザーの行動、デバイスのフィンガープリント、IPの評判を分析して、クレデンシャルスタッフィングに特徴的な不審なログイン試行を特定します。潜在的なATO攻撃が検出されると、WAFは攻撃元のIPアドレスを自動的にブロックするか、ユーザーが人間であることを確認するためにCAPTCHAチャレンジを提示することができます。これにより、顧客のアカウントが不正アクセスや詐欺から保護され、信頼が構築され、会社の責任が軽減されます。
ゼロデイ脆弱性に仮想パッチを適用する
セキュリティチームは、自社の企業ウェブサイトを動かしているオープンソースCMSに重大なゼロデイ脆弱性があることを知ります。CMSベンダーからの公式パッチを待つ間(数日かかる可能性があります)、彼らはWAFを使用して仮想パッチを適用します。セキュリティ管理者は、この新しい脆弱性を悪用しようとするトラフィックパターンを具体的にブロックするカスタムルールをWAFに作成します。これにより、即時かつ的を絞った保護が提供され、セキュリティホールが効果的に閉じられ、開発チームはサイトを攻撃にさらすことなく、公式のソフトウェアアップデートをテストして展開するための重要な時間を稼ぐことができます。
悪意のあるボットとコンテンツスクレイパーをブロックする
オンライン出版社は独自のコンテンツ作成に多額の投資をしていますが、競合他社が自動スクレイパーを使用してそれを盗み、再公開していることに気づきます。彼らはWAFのボット管理機能を設定して、これらのスクレイパーをブロックします。WAFは、JavaScriptチャレンジ、デバイスフィンガープリンティング、行動分析などの技術を使用して、人間の訪問者と自動ボットを区別します。既知の悪意のあるユーザーエージェントやボットネットワークからのIPアドレスをブロックし、検索エンジンからの正当なクローラーがサイトにアクセスしてインデックスを作成できるようにします。これにより、彼らの知的財産が保護され、SEOランキングが維持されます。