Google Cloud で脅威や不正行為からのウェブアプリと API の保護を強化する

※この投稿は米国時間 2021 年 4 月 23 日に、Google Cloud blog に投稿されたものの抄訳です。

企業が顧客やパートナーと接するうえでウェブ アプリケーションと公開 API の重要度が高まる中、多くの企業がこれらの資産を保護するための専用ツールに注目しています。調査会社の Gartner は、2020 年のレポート「Defining Cloud Web Application and API Protection Services（クラウド ウェブ アプリケーションおよび API 保護サービスの概要）」の中で、次のように述べています。「2023 年までに、公開されているウェブ アプリケーションの 30% 以上が DDoS 対策、ボット対策、API 保護、ウェブ アプリケーション ファイアウォール（WAF）を組み合わせたクラウド ウェブ アプリケーション API 保護（WAAP）サービスによって保護されるようになる。なお、現在この数字は 10% 未満である。」1 現在、これらのサービスのほとんどは、脅威の種類に応じて異なるポイント ソリューションの形で提供されています。そのため、保護機能に差が生じ、サービスの取得費用と運用費用が増大しています。

このような課題に対処するため、Google Cloud は、ウェブ アプリケーションと API を包括的に脅威から保護するセキュリティ ソリューション「ウェブアプリ API 保護（WAAP）」を発表しました。

Google Cloud WAAP は、Google が自社の公開サービスをウェブ アプリケーションの悪用、DDoS 攻撃、不正なボット活動、API を標的とした脅威から保護するために使用しているのと同じ技術を基盤としたサービスです。WAAP は、サイロ化されたアプリケーション保護から統合されたアプリケーション保護への移行を象徴しています。WAAP を使用すれば、脅威対策の強化、運用効率の向上、公開設定とテレメトリーの統合を実現できます。また、クラウドとオンプレミス環境をまたいだ保護も実現できます。

Google Cloud WAAP は、3 つの主要プロダクトを組み合わせて、脅威と不正行為に対する包括的な保護を実現します。

Google Cloud Armor は、Google Cloud が世界に展開する負荷分散インフラストラクチャの一部であり、WAF と DDoS 攻撃対策機能を備えています。Open Web Application Security Project（OWASP）のトップ 10、高度なアプリケーション悪用、ボリューム型攻撃と第 7 層 DDoS 攻撃の両方からアプリケーションを保護します。

Google Cloud の API 管理プラットフォームである Apigee は、セキュリティに重点を置いた API ライフサイクル管理機能を提供します。Apigee は、API キーの検証、OAuth アクセス トークンの生成と検証、トラフィックのレート制限、クォータの適用、API トレンドの分析を行います。

reCAPTCHA Enterprise は、不正行為、スパム、さらにスクレイピング、認証情報の読み取り、自動アカウント作成、自動ボットの悪用などの不正行為から、透過的にユーザーを保護します。

SADA Systems の CTO である Miles Ward 氏は、次のように述べています。「当社のお客様は、Google Cloud WAAP の各プロダクトからすでに大きな恩恵を受けています。プロダクトがパッケージ化されたため、今後はより包括的なセキュリティ ソリューションを、より幅広い客層に、より迅速に届けることができるでしょう。SADA は、Google と提携して、お客様のミッション クリティカルなプロジェクトにこの優れたセキュリティ ソリューションを導入できることをうれしく思います。」

WAAP がお客様にどのように役立っているか

次に、2 つのシナリオを通して、セキュリティ上の高度な要求に対処するため、銀行や航空会社が Google Cloud の WAAP ソリューションをどのように活用しているのかをご紹介しましょう。

セキュリティ要件と使いやすさのバランスを取る

ある銀行がマイクロサービスを基盤とした決済アプリを新しくリリースしようとしています。アプリケーションのアーキテクチャの要件により、公開している複数の API に保護対策が必要です。このアプリに関係する部門が 3 つあり、各部門ごとに優先事項が異なるため、複数の優先事項の間でバランスを取る必要があります。

この場合、Google Cloud の WAAP ソリューションを使用すれば、銀行の複数のチームが密接に協力することで、1 つのソリューションと 1 社のベンダーだけを使用して全部門の要件を満たすことができます。

OWASP トップ 10 ウェブ アプリケーション セキュリティ リスクの管理

ある航空会社で、自社の予約サイトを OWASP トップ 10 ウェブ アプリケーション セキュリティ リスクから保護しなければならなくなりました。漏洩した、または盗まれたメールアドレスとパスワードを使用した、攻撃者によるアクセス権の不正取得（認証情報読み取り）を防ぐことが優先事項となりました。この航空会社の API は、サードパーティ旅行サイトが予約のために使用しているため、航空会社は公開 API の認証と認可も管理できる必要があります。

この航空会社では、Google Cloud の WAAP ソリューションを採用しており、WAF として Cloud Armor、API 管理層として Apigee、認証情報読み取り対策として reCAPTCHA Enterprise を使用しています。

Google Cloud WAAP ソリューションを使用したこのリクエストのワークフローを見てみましょう。

• WAAP ソリューションの最初の窓口は Cloud Armor です。Cloud Armor は、クロスサイト スクリプティング（XSS）、SQL インジェクション（SQLi）などの OWASP トップ 10 の脆弱性を保護し、さらに第 3 層、第 4 層、第 7 層の DDoS 攻撃からの保護も行います。

• Cloud Armor ポリシーに対し上記のルールがいずれも適用されなかった場合、reCAPTCHA Enterprise API にリクエストが送信され、受信トラフィックが正当なリクエストであるかどうか（機械のボットによるものか人間によるものか）が評価されます。正当なリクエストであれば、そのリクエストが航空会社のバックエンドに転送されます。正当なリクエストではない場合は、Cloud Armor が 403 レスポンス コードをユーザーに送信することで、リクエストを拒否できます。さらに Cloud Armor は、別のページにリダイレクト、リクエストをハニーポットに転送するなど、より高度な対策を取ることができます。

• どの API リクエストも、Cloud Armor の OWASP ルールと DDoS 対策の評価が完了すると、有効性を確認するため Apigee に転送されます。Apigee は、リクエストで使用された API キーやアクセス トークンが有効かどうか、また消費者に API へのアクセス権があるかどうかを判断します。リクエストが正当なものではないと判断した場合、Apigee は 403 レスポンス コードをエンドユーザーに送信でき、それ以外の場合はリクエストを航空会社のバックエンドに転送します。

WAAP ソリューションは、航空会社の予約サイトに寄せられるすべてのリクエストに対する最初の窓口となり、リクエストが航空会社のバックエンドに到達する前に水際で不正行為者を検知し、その影響を軽減します。

デジタル トランスフォーメーションを加速させる組織が増え、ビジネス プロセスや商取引のデジタルでのやり取りへの依存度が高まるにつれ、高度なセキュリティと保護の必要性もますます増大しています。Google Cloud の WAAP ソリューションのような統合型アプリケーション保護サービスに移行すれば、組織は、脅威の防止能力の改善、運用効率の向上、公開設定とテレメトリーの統合を、圧倒的な速さで実現できます。

今すぐ WAAP を使ってみる

Google Cloud によるウェブアプリと API の包括的な保護の詳細については、WAAP ソリューション ページをご覧ください。また、アプリのモダナイゼーションと保護に関するオンデマンド ウェブセミナーをご覧いただき、Enterprise Strategy Group が執筆した、最新のウェブ アプリケーションのセキュリティ対策の課題への WAAP を利用した対処に関するホワイトペーパーをお読みください。

^{1. Gartner, Defining Cloud Web Application and API Protection Services, Jeremy D'Hoinne and Adam Hils 2020 年 5 月 20 日更新。}

-セキュリティおよびコンプライアンス担当スペシャリスト Varsha Datta