ガートナー社における最新の2020 Critical Capabilities for Application & API Protection report(2020 年アプリケーション& API 保護のための重要な能力)レポートにおいて、4つのユースケースのうち2つのユースケース(API では 3.57/5 、ハイセキュリティユースケースでは 3.66/5 )で Radware が最高得点を獲得しました。
本レポートは、2020 年の Gartner Magic Quadrant for Web Application Firewalls の発表を受けて、2019 年のレポートから実行力とビジョンに関してさらに上位に位置づけられたことを受けてのものです。
また、Kuppinger Cole(分析会社)が最近、マイクロサービスとして動作するコンテナ化されたアプリケーションを保護するために設計された RadwareのKubernetes WAF を評価する記事を発表しています。
本ブログでは、WAAP エリアにおける Radware 高評価の要因を探っていきます。
ちなみに WAAP は ” Web Application and API Protection ” のことでガートナーが新たに提唱しているカテゴリです。
アナリストの見解と推奨されていること
このレポートを読み解くと、ガートナー社はコアとなる WAF の機能から、アプリケーション保護を、それぞれが異なるタイプの脅威に対処する包括的なソリューションセットへと拡張することについて述べています。これは、例えば新世代 Bot(Human-Like)のような、より洗練されたツールの出現や、API のような新しい脆弱性など、脅威として想定しなければいけない物事が増加、進化してきた結果です。
これには2つの複雑な要素が絡み合っています。第1に、必要とされる追加ツールを把握し、それらを最大限に活用すること。第2に、LAN、データセンタ、プライベートクラウド、パブリッククラウドにまたがる分散したネットワーク全体で一貫性のある包括的なセキュリティ対策を実現すること。この2つの要素を並行して処理するのは今日のアプリケーション進化と変更のスピードが非常に速いため、容易ではありません。が、この課題とセキュリティ的な脅威はさらに大きく膨れ上がり、動的な保護が求められています。
これらの理由から、ガートナー社は、企業がクラウドファーストを採用し、アプリケーションセキュリティ管理の負担を専門家であるさまざまなベンダーに委ねることを提案しています。さらに、モダンな企業はWAF、DDoS、Bot、API といった4つのセキュリティ要素を求めていると指摘し、WAAP 脅威から包括的な施策を取ることを推奨しています。
ガートナー社によれば、企業はコンプライアンスよりも、完全なカバレッジ(複数のツールが必要)に重点を置くべきだとしています。その理由として考えられるのは、現存するコンプライアンスが通常、少なくとも2~3年前の脅威の状況に対応するために書かれていることです。
鋭い方は、今年のレポートの名前が「クラウド WAF 」から「クラウド WAAP 」に変わったことに気づいていると思います。その理由は、アプリケーション、相互接続システム、バックエンド間のデータ交換の主要な形態として、API の活用が重要性(+セキュリティリスク)を増しているからです。 API を完全にコントロールできているでしょうか?一般的には、大きなセキュリティ上の穴となっていることが多いです。
これらの API は、標準であろうと文書化されていないものであろうと、きっちりと管理がされた上で、認証の必要があります。いくつかの大企業は、API セキュリティを無視して情報漏えいを引き起こしたことで、すでにニュースを賑わせています。API は、不正アクセス、DoS 、自動化された脅威の格好の標的となります。
Radware テクノロジとビジョン
幅広くディープに
Radware はセキュリティに特化し、その分野を得意としています。強みは、堅牢で効果的な Web アプリケーションと API の保護です。Radware の技術は、ポジティブとネガティブのセキュリティモデルを組み合わせ、HTTP と API コールへの高度な機械学習を導入して労力と TCO を大幅に削減し、完全に統合されたBot管理技術や、Radware WAFとDDoS間の独自のシグナリングと同期メカニズムである Defense Messaging を提供しています。
ガートナー社 Peer Insight のレビューによると、「 Radware WAF は適応性、拡張性が高く、ハイブリッドアーキテクチャもサポートしており、あらゆるセキュリティ問題から完全に保護することができます。OWASP10 カバーとゼロデイ攻撃への対策が Radware WAF の特徴です」といったコメントもあります。
イノベーションの継続性
Radware は、先見性を持って開発を進めています。課題を先取りすることで、変化していく要件を理解し、ユーザやマーケットにおける将来のソリューションを設計しています。
1つの例として、マイクロサービスとして動作するコンテナ化されたアプリケーションを保護するために設計された Kubernetes WAF は、DevOps とセキュリティの双方に「可視性」を提供します。
幅広い対応領域
ほとんどの日本企業は「クラウドネイティブ」ではないと思います、特に大企業になればなるほどクラウドを活用していますが、既存のオンプレミス基盤とのハイブリッド運用、移行に頭を悩ませていることでしょう。一方で、スタートアップ企業、もしくは大企業だとしても新規プロジェクトでは、モダンテクノロジー、アーキテクチャ、およびプラクティスを活用しています。
それぞれに何らかの調整が必要であり、ウェブアプリのセキュリティを全体的に統一して一貫性を保つことが課題となっています。Radware は、物理アプライアンスまたは仮想アプライアンス(ADC との統合も可能)、ソフトウェアプラグイン、Kubernetes サイドカー、単一のポータルを備えた完全管理型クラウドサービスなど、あらゆる環境において、同一の強力なセキュリティ技術を提供することが可能です。