2021年09月15日 08時00分 公開
特集/連載

クラウドWAFによるWebアプリ保護の可能性安全なWeb/モバイルアプリ開発【後編】

Webアプリケーションの保護手段として、GartnerはクラウドWAFに注目する。主要なクラウドWAFプロバイダーとサービスの一部を紹介する。

[Cliff Saran,Computer Weekly]
iStock.com/kanawatvector

 前編(アプリ開発者が実践すべきセキュアコーディングの初歩の初歩)では、Webアプリケーションやモバイルアプリケーションの開発者が絶対にやるべき基本的な事項を紹介した。

 後編ではクラウドWAF(Webアプリケーションファイアウォール)の効果と注目すべきクラウドWAFプロバイダーを紹介する。

Webアプリケーションの保護

 レイヤー7(L7)攻撃として知られるアプリケーション層への攻撃は、正当なHTTP要求を連続的に送信することでサーバに過剰な負荷を掛ける。

 Cloudflareによると、大半のDDoS(分散型サービス拒否)攻撃の効果は、攻撃を仕掛けるのに利用するリソースの量とその攻撃を吸収または軽減するのに必要なリソースの量の相対的な格差から生まれるという。つまり、アプリケーション層への攻撃は総帯域幅が少ないほどダメージが大きくなる。

 ユーザーが「Gmail」などのサービスにアクセスしたりEコマースサイトで取引したりしようとすると、ブラウザからの要求をサーバが受け取る。サーバはデータベースクエリを実行したりAPIを呼び出したりすることでユーザーの要求に応える。

 多くの機器が1つのWebプロパティを対象にアクセスすると、サーバがこのタスクを完了する能力に格差が生まれる。DoS攻撃はこの格差を利用するとCloudflareは指摘する。「その効果は標的のサーバの処理能力を上回る恐れがある。多くの場合、レイヤー7攻撃でAPIを標的にするだけで、十分そのサービスをオフラインにできる」と同社は警告している。

 Gartnerの「Webアプリケーションファイアウォールのマジッククアドラント」レポート(2020年10月公開)は、パブリックに公開されるWebアプリケーションとAPIの30%は2023年までにクラウドWAAP(Web Application and API Protection)サービスによって保護されるようになると予測している。Gartnerの想定では、運用環境のWebアプリケーション用にマルチクラウド戦略を実装する企業の大半が、2024年までにクラウドWAAPサービスのみを使うようになるという。

パブリッククラウドWAF

ITmedia マーケティング新着記事

news023.jpg

「6G」の特許出願レースは中国がリード、日本は追い付けるか?
2020年台後半には実用化が始まるといわれる6Gの技術。日本は世界で存在感を示せるでしょ...

news016.jpg

「パーソナライゼーションエンジン」 売れ筋TOP10(2021年9月)
今週はパーソナライゼーション製品の売れ筋TOP10を紹介します。

news018.jpg

アフリカFinTech事情 初のキャッシュレス大陸への勢いが止まらない
FinTechのユニコーンが続々と生まれるアフリカ大陸。砂漠の南が燃えています。