Webアプリケーションセキュリティにおけるギャップ
異なるセキュリティがどのようにリスクにつながるか
A社とB社のストーリー
これはA社とB社のストーリーであり、両社は一見異なるWebアプリケーションとAPIセキュリティへのアプローチを持ちますが、微妙ではありますが重大な欠陥を互いに持っています。この欠陥は、両社のデータ漏洩(および関連するすべての負の結果)をもたらしました。
A社は、可能な限り安全なAPI保護を導入しています。同社は、すべてのスキーマ違反、レート制限超過リクエストをブロックし、既知の悪意のあるIPアドレスをブロックリストに入れるために最新の脅威インテリジェンスを使用しています。同社のパスワードベースのAPI認証は、mutual TLSで置き換えられた場合、より安全になる可能性がありますが、現時点で侵害は起こっていません。
しかし同社は、APIセキュリティ、脅威インテリジェンスフィード、WAFにはすべて異なるベンダーの製品を採用しています。また、ベンダーのアップデートにより、APIセキュリティを通知する脅威インテリジェンスは、アカウントログインページを保護するWAFと互換性がなくなりました。その結果、攻撃者は、このページで新しいSQLインジェクション攻撃を利用し、正当なユーザーのユーザー名とパスワードの情報を取得することができました。攻撃者はその後、認証されたスキーマ検証済みのリクエストをAPIに送信し、大量の機密データを取得するのです。
一方、B社のWebアプリケーションは、DDoS攻撃に対して完全に保護されています。B社はまた、B社のアプリケーションと統合したい有料ユーザーにAPIを公開しています。
攻撃者は、ダークウェブ上で正規の有料ユーザーのAPIキーを購入します。このキーを武器に、攻撃者はB社のAPIサーバーに対して低速DDoS攻撃を開始します。攻撃者は、不定期にリクエストを送信するボットを起動させます。ボットが送信する各APIリクエストは、受け入れ可能なAPIキーが付属しているため、APIサーバーによって正当なリクエストとして受け入れられます。残念ながら、B社のバックエンドチームは、他のすべてのサーバーが保護されているにもかかわらず、DDoS軽減プロバイダーを介してAPIサーバーをプロキシすることを忘れていました。
リクエストが蓄積すると、APIサーバーは過負荷状態となり、最終的にB社の他のユーザーにサービスを提供することができなくなりました。ユーザーの多くは不満から有料アカウントを解約しました。
A社とB社に共通する問題とは何でしょうか?
さまざまなソリューションを採用することが、見落としとギャップにつながる
これらの例では、両社のWebアプリケーションとAPIセキュリティへのアプローチは、複数のベンダーからのソリューションを組み合わせたものでした。このソリューションは統合されておらず、手作業によるミスも起こりやすいという問題点があります。
なぜこれが問題なのかを理解するために、WebアプリケーションとAPIセキュリティフレームワークの一般的なコンポーネントを考えてみましょう。
WAF:WebアプリケーションやWebプロパティに対する攻撃をブロックします
ボット管理:悪意のあるボットに挑んだり、そのボットをブロックしたりするのに責任を負います
DDoS軽減:DDoS攻撃(帯域幅消費型かパスワードスプレーかを問わない)に相対して、Webプロパティをオンラインに保持します
API保護:APIのレート制限、スキーマ検証、認証などを含みます
A社とB社は、これらすべての保護措置を講じていました。しかし、両社のWebアプリケーションのセキュリティソリューションは異なるベンダーのものを採用しており、(それが業界最高のものであったとしても)攻撃者が攻撃を行う上での欠陥を持っていたのです。
A社にとっては、WAFとAPIの保護は、統合されたものではなく、階層化されており、その状態で攻撃を防がなければなりませんでした。一方で攻撃を阻止できる場合でも、他方で攻撃が成功する可能性があります。B社のDDoS攻撃対策は、APIインフラストラクチャを保護せず、ボット管理は、ボットから発信されたAPIリクエストを検出せず、これらの認証は弱く、簡単に侵害されました。
これらは、潜在的なギャップの一例にすぎません。Webアプリケーションセキュリティにおけるその他の共通するギャップには、次のものがあります。
限られた脅威インテリジェンス:最新のものではない、適切な場所を網羅しない、または互換性のある形態ではない脅威インテリジェンス。これはA社が直面していたものです。
多すぎるソースからの多すぎる脅威インテリジェンス:誤検出、冗長性、その他の非効率性をもたらします。
ボットの誤検知:これは、ユーザーに不満を抱かせ、サービスの低下を招き、緩慢な実行につながる可能性があります。
アラート疲れ:2025年のPonemon Instituteの調査によると、平均的な企業は45の異なるセキュリティツールを導入しており、これは過去の調査結果と同様の傾向を示す一方で、ツールの乱立とアラート疲れの増大を裏付けています。実際、最近の業界分析によると、多くの企業が60~80種類の異なるセキュリティソリューションを使用しており、中には最大で140種類のソリューションを管理している企業も確認されており、このことからも複雑さと管理の負担はさらに増大していることがわかります。
認証不足:A社とB社はどちらも、何らかの形での認証情報の窃盗に対する脆弱性を有していました。
スケーラブルではない脅威防御:ハードウェアセキュリティアプライアンスは、トラフィックのボトルネックとなり、大規模な攻撃やさまざまな攻撃によって過負荷状態となります。
こうしたギャップは、サイバー攻撃の複雑化・巧妙化に伴い、ますますリスクが高まっています。McKinseyによると、ChatGPTの登場以来、検出されたフィッシングサイトは138%も急増しました。これは、生成AIがより巧妙なメールやディープフェイクの作成に利用されており、攻撃者の能力を大幅に加速させたためです。
現在の攻撃者は、ターゲットよりも速く進化し、戦術をより速く改良していることが多いのです。
APIに対する新たなセキュリティリスク
APIは、現代の組織のWebアプリケーションインフラストラクチャにとってますます重要になっています。現在、Cloudflareで処理されるダイナミックトラフィックのかなりの部分がAPIベースであり、その割合は増加し続けています。実際、多くの組織は自らを「API優先」と謳っています。さらに、Cloudflareでは、Webトラフィックよりも悪意のあるAPIトラフィックをより多くブロックしており、攻撃者が確実にAPIを狙っていることがわかります。
Webアプリケーションに深く組み込まれるAPIが多いことから、APIに関連するセキュリティは最優先であると考える必要があります。しかし、善意ある社内チームはしばしばAPIを迅速に、そしてセキュリティに関する考慮なしにデプロイします。その結果、多くのWebアプリケーションの侵害は、不十分なAPIセキュリティに起因することがあります。
安全でないAPIに関連するリスクの増大を示す顕著な例として、TotalEnergiesの事例があります。2025年には、不備のあるAPI基盤が原因で流出したデータが2024年のわずか210,715件から2,200万件以上へと105倍もの規模に膨れ上がり、その多くがダークウェブ市場で共有されました。この急増は、エネルギー業界をはじめすべての分野において、APIセキュリティを後回しではなく、コアインフラストラクチャとして扱うことの緊急性を強調しています。
統合型のWebアプリケーションセキュリティソリューション
A社とB社が、あらゆるベンダーからのセキュリティ製品の組み合わせの代わりに、WebアプリケーションとAPIセキュリティサービスのすべてを統合した1つのプラットフォームを利用したとすればどうでしょうか。そして他のすべてのサービスが、お互いに統合されていたとしたら?企業のインフラストラクチャの状態に関するデータが単一の場所に示されるため、攻撃とセキュリティ体制を迅速に評価することができたのではないでしょうか?
A社は、すべてが1つのプラットフォームに統合されていることから、すべてのWebアプリケーションとAPIセキュリティフレームワークのコンポーネントが最新の脅威インテリジェンスを持っていることを確認し、攻撃が開始する前に阻止することができたでしょう。B社は、設置されたすべてのサーバーにDDoS攻撃対策をより簡単に拡張できたでしょう。
1つのプラットフォームを使用するということは、ギャップが少なくなり、管理が容易になることを意味します。
Webアプリケーションセキュリティに対するこの統合されたアプローチは、あらゆる種類のトラフィックをプロキシできる、高度に拡張可能なインフラストラクチャを必要とします。過去数十年間、組織は、新たな攻撃から身を守るため、または規模を拡大するために必要な時に、アプライアンスを購入していました。ですが、クラウドベースのサービスにより、より簡単に規模を拡大し、あらゆる種類のインフラストラクチャをプロキシできるようになるでしょう。そして、統合されたプラットフォームはすべての攻撃に対して保証があるわけではありませんが、確かに上述の仮想的な企業に役立ったでしょう。
思考実験を超えるもの:WAAPの重要性の高まり
これは単なる仮想的な思考実験ではありません。WAAP(WebアプリケーションおよびAPI保護)プラットフォームは、単なる理論上のベストプラクティスではなく、不可欠なインフラストラクチャになりつつあります。DataHorizzon Researchによると、グローバルクラウドWAAP市場は、2023年に61.2億米ドルと評価され、2032年までに年平均成長率(CAGR)17.8%で成長すると予測されています。
この成長は、特にWebアプリケーションやAPIがマルチクラウド環境で複雑な脅威の増加に直面している中で、WAF、ボット対策、DDoS攻撃対策、APIセキュリティをスケーラブルなクラウドサービスに統合する必要性の高まりを反映しています。
WAAPは、ただの略称ではありません。これは、現代の組織にとってますます重要になってきている、WAF、ボット管理、DDoS攻撃対策、APIセキュリティ、その他のサービスの統合のことです。インターネットのグローバルな性質により、WebアプリケーションやAPIは、多様でますます複雑化する攻撃ベクトルにさらされています。その結果、データ漏洩にかかるコストは増大し続けています。2023年には、世界平均の侵害コストは $445万ドルにまで上昇し、米国企業の金銭的負担は1件あたり約948万ドルと、最も高額な金銭的負担を強いられています。2024年初頭現在、その世界的な数字は約488万ドルにまで成長し、わずか1年で10%もの増加という驚異の上昇率を遂げています。
その他の考慮事項:異機種混在のインフラストラクチャ
A社とB社が今日、アプリケーションとAPIをゼロから構築しようとする場合、両社はデプロイを容易にするために、1つのホスティングプロバイダーを利用して、クラウ�ドでそれら全体をホストするかもしれません。ですが実際には、ほとんどの企業は、レガシーのオンプレミスデータベースサーバー、クラウドベースのサードパーティAPI、および複数のクラウドでホスティングされたアプリケーションサービスのハイブリッドなインフラストラクチャをデプロイしています。これらのデプロイには多くの利点がありますが、同時に、固有のセキュリティ上の課題が浮き彫りになります。
例えば、あるクラウドプロバイダーの提供するネイティブセキュリティは、インフラストラクチャ全体に拡張可能でない場合があるかもしれません。まず、防御するために、保有するすべてのインフラストラクチャを発見し、マッピングするという課題を持ち合わせるかもしれません。そして最後に、使用するセキュリティ製品が、社内の技術スタックに含まれるその他のソリューションと互換性がないかもしれません。
そのため、WAAPは、重要なWebアプリケーションセキュリティ機能を統合することに加えて、インフラストラクチャに依存しない必要があります。つまり、あらゆる種類のインフラストラクチャやクラウドの前面に配置される必要があるのです。
統合された、インフラストラクチャに依存しないWebセキュリティ
Cloudflareは、クラウドネイティブでインフラストラクチャに依存しないWebアプリセキュリティを、10年以上にわたって提供してきました。そしてこれらの機能すべてを、単一の管理画面に統合されたプラットフォームとして提供しています。また、Cloudflareは、インターネットのトラフィックの大部分を確認できるという利点を持ち、毎秒平均で78百万件を超えるHTTPリクエストを処理し、~1900億件のサーバー脅威をブロックしています。これにより、Cloudflareはゼロデイ攻撃の脅威や新たな攻撃に対する固有の可視性を兼ね備えています。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
GartnerがCloudflareを2022年の『Gartner® Magic Quadrant™ for Web Application and API Protection(WAAP)』でリーダーと認定しました。
記事の要点
この記事を読めば、以下が理解できます。
異なるセキュリティソリューションがどのようにしてセキュリティギャップを生み出すか
これらのギャップがどのようにして現れるかの例
Gartnerがインフラストラクチャに依存しないWebアプリケーションセキュリティプラットフォームとの統合を推奨する理由