※本ブログは米国時間2025年10月9日に公開されたA10本社ブログの日本語訳です。原文はこちらからご覧ください。

A10ネットワークスは、2025年初めにThreatX製品を買収しました。この製品は、CWAAP、CNAPP、WAAPiなどと呼ばれることもありますが、私たちはこれをWAPP(Web Application Protection Platform)と呼んでいます。なぜでしょうか?これは将来を見据えたものであり、お客様のアプリケーションエコシステムの保護をFuturize(次世代化)、Unite(統合)、Simplify(簡素化)する基盤(FUS基盤)となるからです。

従来のアプローチの問題

Webアプリケーションを保護する従来のアプローチは、静的な正規表現ベースの防御に大きく依存していましたが、これは現代の脅威には到底対応できません。例えば、従来のネットワークファイアウォールは、暗号化されたトラフィックの検査が困難であり、それ単体では不十分になっていました。攻撃を封筒内に隠されたメッセージだと例えるのなら、従来のネットワークファイアウォールでは封筒の外側しかみることができないのです。次世代ファイアウォールはコンテキストを考慮したより優れたセキュリティを実現できるかもしれませんが、それでも封筒の外側の検査に限られ、内部のメッセージは検査できません。同様に、レイヤ7を標的としたより高度な攻撃は、復号機能がないセキュリティデバイスでは検知できません。Webアプリケーションファイアウォールが導入された当時でさえ、それは莫大なリソースを消費するものでした。さらに、アプリケーション層で使用されるプログラミングは柔軟であるため、悪意のある攻撃を通常のトラフィックに偽装することがはるかに容易でした。

一方で、攻撃者は進化しています。

  • 高度なアプリケーション攻撃は、難読化や断片化されたペイロードから多様なインジェクション手法に至るまで、アプリケーション層の複雑さを悪用します。そのため、既存のWAFは、より適応性の高い検知と緩和機能を備えて進化することを迫られています。
  • アプリケーション層DDoS攻撃は、大規模なネットワークフラッド攻撃よりも安価で容易に実行できる新たな攻撃手段となり、多くの場合「slow-and-low」手法を用いてシステムを静かに機能不全に陥らせます。攻撃者はもはや、超大規模DDoS攻撃のために多額の資本を投じ大規模なインフラを構築する必要がなくなりました。
  • APIの急増は、攻撃対象領域を拡大しました。APIはバックエンドシステムに直接接続され、組織をまたいで統合されることも少なくありません。そのため、正当な動作を模倣しながら、わずかな欠陥を悪用するビジネスロジック攻撃の格好の標的となっています。
  • ボットは現在、インターネットトラフィックのほぼ半分を占めています。ボットの攻撃手法は、複雑さと規模を増しています。例えば、攻撃者はブルートフォースログインの代わりに、クレデンシャルスタッフィング(複数のアプリから盗んだ認証情報を利用して大規模な侵入を行う)を利用することが増えています。

こうした変化により、攻撃対象領域は拡大し、攻撃の複雑さは増しましたが、防御策は必ずしもそれに追いついていません。

静的アプローチは時代遅れ

従来の防御は主にシグネチャベースであり、綿密なチューニングが必要でした。こうした静的アプローチは、脅威の性質が単純で規模が小さかった時代には有効でした。今日、アプリケーションはデジタル経済の基盤となっています。機密データがやり取りされ、ビジネストランザクションが実行され、顧客の大きな信頼はこれらのアプリケーションの稼働時間に依存しています。シグネチャベースの検出と手動チューニングでは、平均検出時間や精度、柔軟性が、進化する脅威の状況に対抗するには低すぎるのです。

今日の「ベスト・オブ・ブリード」のトレンド

現代の防御システムは、AIとMLの活用とコンテキストベースの検知を可能にするアルゴリズムの強化によって、その精度を大幅に向上させています。さらに、新たな攻撃ベクトルの急増に対抗するため、防御システムは「ベスト・オブ・ブリード」のトレンドを取り入れています。組織は複数のポイントソリューションを「アラカルトスタイル」で組み合わせ、ボット、API、WAF、L7 DDoS対策といったベンダをそれぞれ個別に選定し、それらを組み合わせようとします。しかし、その結果は期待どおりにはいきません。これらの多様な製品を導入するにはコストが高額になるだけでなく、膨大な技術的負債、オーバヘッドコスト、そしてサイロ化された製品に起因する非効率性(誤検知など)も発生します。結果として、組織は製品が多すぎる状態になり、生成される膨大な情報をどう活用すべきか分からなくなってしまいます。

一部のベンダは、自社内で製品をつなぎ合わせ、複数のツールからデータを集約する「中間頭脳」を搭載したフランケンシュタインのような「バンドルソリューション」として販売することで、この問題を解決しようとしています。しかし、これではサイロ化された製品が相互に連携することなく独自のベクトルで動作してしまうという問題は解決されません。依然として、選別が必要な無数の誤検知が発生し、その負担は組織のセキュリティチームの負荷となります。

次世代のスタンダード:デザインされた連携

将来に向けて必要なことは、ツールを追加購入したり、SIEM に無数のベクトルの相関関係の調査を強いたりすることではありません。真のプラットフォームを開発し、このアプローチの中で「シフトレフト」を進めることです。このプラットフォームは、事後的にパッチを当てるのではなく、設計によって連携する、ネイティブに統合された保護機能を備えている必要があります。バスケットボールを例に挙げてみましょう。Luka Doncic 選手と LeBron James選手を同じチームに入れることは、理論上は素晴らしいように聞こえます。彼らはどちらもスーパースターですが、同じようにボールを必要とし、役割が重複しています。その結果、全体が部分の総和よりも小さくなる可能性があります。次に、Steph Curry 選手と Draymond Green選手についてお話しましょう。理論上、彼らはそれほど圧倒的ではないかもしれませんが、一緒にいると完璧に互いを補い合います。彼らはボールをさまざまな方法で使い、お互いの弱点をカバーし、長所を増幅させます。これが、才能の集合体(最高級の人材を集めたもの)と、まとまりのあるチーム、つまり WAPP 統合プラットフォームとの違いです。

FUS(次世代化、統合、簡素化)の実現方法

未来のソリューションが今ここにあるとしたらどうでしょう? ThreatX by A10 Networksは、APIやWebの保護、Bot対策、そしてDDoS攻撃対策を統合したプラットフォームです。その仕組みは以下のとおりです。

  • 次世代化(Futuriz):

    ThreatXは、高度なAI、行動学習、リスクベースプロファイリングを活用し、攻撃者の先手を打つことができます。例えば、ある攻撃者が疑わしいAPIリクエストを実行すると、ThreatXはリスクスコアを動的に調整します。その後、その攻撃者がボットのような行動を試みた場合、意思決定エンジンは過去の状況を考慮し、継続的に理解と防御策を洗練させ、それに応じた行動をとります。

  • 統合(Unite):

    ThreatXは、サイロ化された防御ではなく、攻撃ベクトル全体の活動を相関させ、その情報を統合的に活用して検出および緩和戦略を調整します。エンティティベースおよびトランザクションベースの追跡を実装することで、攻撃者と攻撃の全体像を把握できます。

  • 簡素化(Simplify):

    従来製品の導入では数週間から数ヶ月かかるところ、ThreatXでは数分から数時間で完了します。WAFを購入し、API保護を追加し、さらにボットやDDoS防御を重ねるのではなく、ThreatXは統合プラットフォームで保護を提供します。AI強化の仕組みを補完するために、ThreatXはマネージドSOCも提供しており、AIだけでは代替できない重要な人的要素も加わります。

WAPP:次世代の統合プラットフォーム

世界はもはやサイロ化されたツールを必要としていません。必要なのは、ThreatX by A10 NetworksのようなWebアプリケーション保護プラットフォームです。ThreatXは、時代遅れの静的防御を置き換えるだけではありません。アプリケーション保護に対する私たちの考え方を根本から変えるものです。私たちは、ばらばらのスター選手たちの「ドリームチーム」ではありません。2017-2018シーズンのゴールデンステート・ウォリアーズです。あらゆるコンポーネントが連携し、個々の要素の総和よりも全体を向上させるシステムであり、真に統合されたプラットフォームなのです。