　多くの機器が1つのWebプロパティを対象にアクセスすると、サーバがこのタスクを完了する能力に格差が生まれる。DoS攻撃はこの格差を利用するとCloudflareは指摘する。「その効果は標的のサーバの処理能力を上回る恐れがある。多くの場合、レイヤー7攻撃でAPIを標的にするだけで、十分そのサービスをオフラインにできる」と同社は警告している。

　Gartnerの「Webアプリケーションファイアウォールのマジッククアドラント」レポート（2020年10月公開）は、パブリックに公開されるWebアプリケーションとAPIの30％は2023年までにクラウドWAAP（Web Application and API Protection）サービスによって保護されるようになると予測している。Gartnerの想定では、運用環境のWebアプリケーション用にマルチクラウド戦略を実装する企業の大半が、2024年までにクラウドWAAPサービスのみを使うようになるという。

パブリッククラウドWAF

　前述のマジッククアドラントレポートでは、WAFの分野でAkamai TechnologiesとImpervaを「リーダー」に指名している。

　「チャレンジャー」クアドラントには、Cloudflare、Fortinet、F5 Networks、Barracuda Networksが挙げられている。リーダーに指名された2社とチャレンジャーがWAFを探すIT意思決定者の候補リストに載るだろう。

　Gartnerの「ビジョナリー」クアドラントにはDDoS保護サービスプロバイダーRadwareとWAFスタートアップ企業Signal Sciencesが挙げられており、製品提供における技術の革新的な使い方が認められている。Gartnerは、RadwareのWAFが機械学習を使っていること、Signal Sciencesがクラウドネイティブアプリケーションのセキュリティに重点を置いていると指摘している。

　パブリッククラウドプロバイダーもプラットフォームの一部としてWAF機能を提供している。ただし、Gartnerは「Microsoft Azure」と「Amazon Web Services」（AWS）を「ニッチ」プレイヤーと見なしている。

　このマジッククアドラントレポートの執筆者は、AWSのWAFは基本的なbot保護を提供するが、機器のフィンガープリント機能、ユーザーの行動検知、JavaScriptチャレンジ（訳注）といった競合製品にある高度なbot保護機能の多くが欠けていると注意を促す。

訳注：アクセス元がブラウザ（人間による正当な操作）なのかbot（攻撃ツール）なのか、JavaScriptで問い合わせ（チャレンジ）を送って識別すること。相手がブラウザであればJavaScriptによる問い合わせに対してレスポンスを返す。

　Gartnerは、AzureのWAFが多くのAzureリージョンで利用可能になりつつあると述べ、Azure WAFを他のAzureサービスと統合するMicrosoftの取り組みに注目する。例えば、Azure WAFが「Azure Kubernetes Service」のイングレスコントローラーとネイティブに統合されてイベントを「Azure Sentinel」に送信できるようになる。そのため、既知のbotのブロックにMicrosoftの技術インフラをより適切に利用できるようになるとGartnerは指摘している。

　Gartnerのレポートは、「Google Cloud Platform」で使えるWAF「Google Cloud Armor」とDDoS軽減サービスも取り上げている。同レポートによると、GoogleはIP制御リストや地理的位置に基づくIPフィルタリングなどを追加し、XSS（クロスサイトスクリプティング）攻撃やSQLインジェクション攻撃をブロックするルールを事前定義している。カスタムルールの作成も可能だ。Googleは機能を拡張する意欲の兆しを見せているというのがGartnerの見解だ。

TechTargetジャパントップシステム開発