WAFだけでは防げない脅威に、Webアプリ保護の進化した概念「WAAP」はどう有効か

　WAF（Web Application Firewall）は、SQLインジェクションやクロスサイトスクリプティング（XSS）など、ソフトウェアの脆弱性を狙う攻撃からWebアプリケーションを保護する役割を担っている。既知の脅威に対して、極めて高い防御力を持っており、長年にわたりWebアプリケーション保護の定番製品とされてきた。しかし、近年の巧妙化したサイバー攻撃への備えとしては、不十分になりつつある。

　現代のサイバー攻撃は、一見正規ユーザーに見える通信で、攻撃を仕掛けてくる。そのため、以前よりWebアプリケーションに容易に侵入できるようになっており、こうした悪質な攻撃をWAFで検知することは難しい。そこで注目されているのが、WAFを含めた4つのコア機能で構成され、WAFの弱点をカバーする「WAAP（Web Application and API Protection）」という概念だ。

　本資料では、新たなWebアプリケーション保護の形としての「WAAP」を構成する「WAF」「悪性bot対策」「DDoS対策」「Web API保護」という4つの要素について解説する。併せて、WAAPを実装するために推奨される製品を紹介しているので、ぜひ参考にしてほしい。